Data-Lake-Uploads

Sie können Geräte und Produkte so konfigurieren, dass Sicherheitsdaten in einen Data Lake hochgeladen werden, sodass Sie sie mit Live Discover abfragen können.

Wir hosten den Data Lake für Sie in der Cloud, aber Sie können die Daten-Uploads in den Data Lake steuern.

Sie können Daten aus Drittquellen in unseren Data Lake einfügen. Diese Daten können Sie dann in Ihre Abfragen aufnehmen. Sie können sie mit Daten aus Sophos-Produkten kombinieren. Im Moment können Sie Microsoft 365-Überwachungsprotokolldaten hinzufügen. Wir fügen dieser Funktion weitere Datenquellen von Drittanbietern hinzu.

Anmerkung Sie müssen dem EAP „XDR - Erkennung und Analyse“ beitreten, um Microsoft 365-Überwachungsprotokolldaten verwenden zu können.

Sie können wie folgt vorgehen:

  • Uploads für alle Geräte aktivieren.
  • Uploads für bestimmte Geräte deaktivieren. Dies ist möglicherweise der Fall, wenn diese Geräte zu viele Daten senden oder Sie eine Fehlerbehebung durchführen müssen.
  • Aktivieren Sie Uploads für alle Sophos Cloud Optix-Cloud-Umgebungen.
  • Aktivieren Sie Uploads für bestimmte Sophos Cloud Optix-Cloud-Umgebungen.
  • Stellen Sie eine Verbindung zu Ihrer Microsoft 365-Domäne her und laden Sie Überwachungsprotokolldaten hoch.

Hilfe zu Live Discover finden Sie unter Live Discover.

Uploads für Geräte aktivieren

Einschränkung Zur Änderung der Einstellungen für Geräte-Uploads müssen Sie ein Superadmin sein oder über eine benutzerdefinierte Rolle verfügen, die Vollversion Zugriff auf Endpoint Protection oder Server Protection umfasst. Mehr dazu erfahren Sie unter Benutzerdefinierte Rolle hinzufügen.

Sie müssen Uploads für Computer und Server separat konfigurieren.

Konfigurieren Sie Geräte-Uploads wie folgt:

  1. Gehen Sie zu Übersicht > Globale Einstellungen.
  2. Klicken Sie unter Endpoint Protection (oder Server Protection für Server) auf Data-Lake-Uploads.
  3. Aktivieren Sie In den Data Lake hochladen.

    Wenn Sie über Sophos Managed Threat Response (MTR) verfügen, laden Geräte unabhängig von dieser Einstellung automatisch Daten hoch. Sie können jedoch Uploads für bestimmte Geräte deaktivieren.

  4. Optional Gehen Sie wie folgt vor, um Uploads für bestimmte Geräte zu deaktivieren:
    1. Wählen Sie unter Ausschlüsse die Geräte in der Verfügbar Liste aus.
    2. Verschieben Sie die Geräte in die Ausgeschlossen-Liste.

    Alle macOS-Geräte in Ihrem Netzwerk werden aufgelistet, auch wenn sie derzeit keine Daten hochladen können.

Uploads für Sophos Mobile aktivieren

Einschränkung Diese Funktion ist unter Umständen noch nicht für alle Kunden verfügbar.

Konfigurieren Sie Sophos Mobile-Uploads wie folgt:

  1. Gehen Sie zu Übersicht > Globale Einstellungen.
  2. Klicken Sie unter Mobil auf Data-Lake-Uploads.
  3. Aktivieren Sie In den Data Lake hochladen.

Die Daten, die wir hochladen, hängen vom Geräteverwaltungsmodus ab. So liegen beispielsweise mehr Daten für ein vollständig verwaltetes Android Enterprise-Gerät vor als für Geräte, auf denen Sophos Mobile nur Sophos Intercept X for Mobile verwaltet.

Derzeit laden wir keine Daten für Windows-Computer und Macs hoch, die von Sophos Mobile verwaltet werden.

Uploads für Sophos Cloud Optix aktivieren

Einschränkung Sie müssen Superadmin in Sophos Cloud Optix Advanced sein, um „Data Lake“ -Uploads in Sophos Cloud Optix zu aktivieren

Um Data Lake-Abfragen zu Daten aus Ihren Cloud-Umgebungen zu verwenden, benötigen Sie eine Sophos Cloud Optix Advanced-Lizenz in Sophos Central und eine Intercept X-Lizenz, die Sophos XDR umfasst.

Um Sophos Cloud Optix-Uploads zu aktivieren, gehen Sie folgendermaßen vor:

  1. Melden Sie sich in Sophos Cloud Optix an.
  2. Gehen Sie zu Settings > Advanced.
  3. Aktivieren Sie XDR Data Uploads.

    Sie können Aktivitätsprotokolldaten für bestimmte Cloud-Umgebungen oder alle Ihre Umgebungen hochladen.

Die Daten werden in der Reihenfolge hochgeladen, in der sie von Sophos Cloud Optix aufgenommen werden. Die neuesten Daten werden zuerst hochgeladen.

Aktivieren Sie Uploads für Microsoft 365-Überwachungsprotokolle

Einschränkung Sie müssen dem Early Access Program beitreten, um diese Option verwenden zu können.

Sie können dem Data Lake Microsoft 365-Überwachungsprotokolldaten hinzufügen.

Sie müssen Microsoft 365-Administrator sein.

Die Überwachung muss in Microsoft 365 aktiviert sein. Ist dies nicht der Fall, werden Sie während der Einrichtung aufgefordert, die Funktion zu aktivieren.

Nachdem Sie dem EAP XDR - Erkennung und Analyse beigetreten sind, wird im Sophos Central Admin-Menü die Option Fremdanbieter-Integrationen angezeigt.

Gehen Sie wie folgt vor, um Microsoft 365-Daten zum Data Lake hinzuzufügen:

  1. Klicken Sie auf Fremdanbieter-Integrationen.
  2. Klicken Sie auf Microsoft-365-Benutzeraktivitätsprotokolle.
  3. Klicken Sie auf der Seite Microsoft-365-Verbindung - Domäneneinstellungen/Status auf + Microsoft-365-Verbindung hinzufügen.
  4. Optional Wenn die Überwachung nicht aktiviert ist, können Sie auf den Link auf der Seite Microsoft-365-Überwachung einschalten klicken.

    Damit gelangen Sie zu Microsoft 365. Sie können die Überwachung aktivieren und dann zu Sophos Central zurückkehren. Siehe Aktivieren/Deaktivieren der Überwachung. Möglicherweise werden Sie von Microsoft aufgefordert, sich zu authentifizieren, um die Überwachung zu aktivieren.

    Anmerkung Es kann bis zu 12 Stunden dauern, bis Microsoft 365-Überwachungsprotokolldaten angezeigt werden, nachdem Sie die Überwachung aktiviert haben.
  5. Klicken Sie auf Weiter.

    Zur Authentifizierung werden Sie zu Microsoft 365 weitergeleitet.

  6. Befolgen Sie die Anweisungen von Microsoft, um die Berechtigung zur Erstellung einer Anwendung in Microsoft 365 zu erteilen.

    Sie werden gebeten, je nach Ihrer Microsoft 365-Umgebung mindestens einmal eine Autorisierung vorzunehmen.

    Die Verbindung sollte etwa eine Minute dauern.

Die neue Domäne erscheint in Microsoft-365-Verbindung - Domäneneinstellungen/Status.

In Live Discover > Abfrage wird eine neue Kategorie von Microsoft 365-Überwachungsdaten angezeigt. Sie können die Abfragen in dieser Kategorie auf Ihren Microsoft 365-Daten ausführen.