Live Discover

Live Discover le permite comprobar los dispositivos que gestiona Sophos Central, buscar indicios de una amenaza o evaluar el cumplimiento.

Restricción Debe inscribirse en el programa de acceso temprano para utilizar esta función.

Puede buscar en los dispositivos indicios de amenazas que no hayan sido detectadas por otras funciones de Sophos. Estos indicios pueden ser cambios inusuales en el registro, errores de autenticación o un proceso que se ejecuta muy rara vez y se encuentra activo. También puede comprobar el cumplimiento de cada dispositivo. Por ejemplo, puede comprobar si hay software obsoleto o si los navegadores utilizan una configuración segura.

También puede buscar en los dispositivos indicios de una amenaza sospechosa o conocida. Por ejemplo, Sophos Central le ha avisado o un usuario ha informado de un comportamiento sospechoso en su dispositivo.

Puede usar una serie de consultas para comprobar sus dispositivos. Puede utilizarlas tal cual o editarlas para modificar su comportamiento. También puede crear consultas.

Live Discover muestra los resultados de cada consulta que ejecute. También muestra datos de telemetría que muestran el éxito que ha tenido al obtener los resultados. Los resultados y datos de telemetría se pueden exportar.

Para comenzar, seleccione los dispositivos que desea consultar.

Seleccionar los dispositivos que consultar

Debe seleccionar los equipos y servidores que debe consultar Live Discover. Para seleccionar dispositivos, haga lo siguiente:

  1. Vaya a Descripción general > Centro de análisis de amenazas y haga clic en Live Discover.
  2. En Live Discover, haga clic en la flecha para expandir Selector de dispositivos.

    Dispositivos disponibles muestra todos los equipos y servidores administrados por Sophos Central.

    Dispositivos seleccionados muestra el subconjunto de dispositivos disponibles que ha seleccionado para consultar.

  3. En Dispositivos disponibles, filtre los dispositivos que se muestran. Haga clic en Aplicar.

    No es necesario introducir una coincidencia exacta y los filtros no distinguen entre mayúsculas y minúsculas.

  4. Seleccione los dispositivos que desea consultar y haga clic en Actualizar lista de dispositivos seleccionados.
  5. Si desea afinar más la lista, puede filtrar los dispositivos seleccionados o desmarcar dispositivos. Para ello, haga clic en Dispositivos seleccionadosy haga lo siguiente:
    • Haga clic en Mostrar filtros. Filtre los dispositivos seleccionados.
    • Anule la selección de dispositivos y haga clic en Actualizar lista de dispositivos seleccionados.

Seleccionar una consulta

Para seleccionar una consulta prepreparada, haga lo siguiente:

  1. En Live Discover, haga clic en la flecha para expandir Consulta.
  2. Haga clic en la categoría que desee utilizar.
    Se muestra la lista de consultas de esa categoría. Rendimiento indica el efecto medio que ha tenido la consulta en el rendimiento de cada dispositivo en función del uso más reciente. Por ejemplo, una consulta que se ejecuta rápidamente y genera pocos datos tiene un impacto mínimo y se considera Excelente.
  3. Filtre las consultas o haga una búsqueda si desea acortar la lista.
  4. Haga clic en la consulta que desee ejecutar.

Se muestra la consulta, incluidos los sistemas operativos compatibles, los datos de rendimiento y el código Osquery de la consulta.

Editar o crear una consulta

Si lo desea, puede editar una consulta que haya seleccionado para modificar su comportamiento, o bien crear una nueva.

La consulta se escribe en Osquery, que utiliza comandos básicos en lenguaje de consulta estructurado (SQL). Debe estar familiarizado con Osquery o SQL para poder editar la consulta.

Para editar o crear una consulta, haga lo siguiente:

  1. En Live Discover, expanda Consulta.
    1. Para editar una consulta, asegúrese de que la ha seleccionado. A continuación, haga clic en Editar.
    2. Para crear una consulta, mire la lista de categorías de consulta. A continuación, haga clic en Crear consulta nueva.
  2. Escriba un nombre nuevo para la consulta.
  3. Introduzca una categoría para la consulta, una descripción y los sistemas operativos en los que se puede ejecutar.
  4. En el cuadro SQL, escriba los cambios que desea realizar en la consulta existente o introduzca la nueva consulta.

    Una consulta debe contener al menos 15 caracteres para poder ejecutarse en los dispositivos seleccionados.

    Para obtener información acerca de las tablas y los datos disponibles, consulte Referencia de OSQuery.

  5. Puede añadir una variable a la consulta y asignarle un valor. A continuación, puede utilizar el valor en una instrucción condicional, por ejemplo. Para ello, haga lo siguiente:
    1. Expanda el editor de variables.
    2. Haga clic en + Añadir variable.
    3. Escriba un nombre para la variable.

      Puede incluir espacios en el nombre pero no símbolos de dólar.

    4. Especifique el tipo de variable y el valor que desea utilizar cuando se ejecute la consulta.
    5. En el cuadro SQL, escriba el nombre de la variable SQL, incluidos los símbolos de dólar, donde desea utilizar la variable.

    Por ejemplo, si introduce Ruta de archivo como nombre de variable, Nombre de variable SQL se convierte en $$Ruta de archivo$$ .

    Introduzca $$Ruta de archivo$$ en el cuadro SQL:

    SELECT * FROM processes
WHERE filepath = $$Ruta de archivo$$
  6. Haga clic en Guardar.
    La consulta se guarda en la categoría especificada.

Ejecutar consulta

Para ejecutar una consulta, haga lo siguiente:

  1. ExpandaConsulta.
  2. Haga clic en Ejecutar consulta.
    Los resultados de la consulta se muestran debajo del panel de consulta. Estos son los elementos que la consulta ha detectado en cada dispositivo. Puede exportar los resultados a un archivo CSV.

    La telemetría se muestra debajo de los resultados de la consulta. Son los datos sobre el éxito de la consulta a la hora de obtener información de cada dispositivo. Por ejemplo, cuánto tiempo se ha tardado en obtener la información de cada dispositivo.

Cuando la consulta termina de ejecutarse, los resultados completos de la consulta y los datos de telemetría están disponibles. Haga clic en el nombre de un dispositivo de cualquiera de las listas para ver la página de detalles del dispositivo.

Puede cambiar los dispositivos seleccionados o editar la consulta mientras se está ejecutando.

Telemetría

En Telemetría de dispositivos, puede ver los datos sobre el éxito de la consulta de Live Discover a la hora de obtener información de cada dispositivo.

Haga clic en Progreso para seleccionar los tipos de estado de telemetría que desea mostrar. El estado indica si la consulta se ha completado y si el dispositivo ha devuelto datos.

También puede ver información sobre el rendimiento de la consulta y la cantidad de datos que ha generado.

Opción de configuración

Descripción

Rendimiento

Indica el efecto que ha tenido la consulta en el rendimiento del dispositivo. Por ejemplo, una consulta que se ejecuta rápidamente y genera pocos datos tiene un impacto mínimo y se considera Excelente.

XFR de datos

Cantidad de datos que ha generado la consulta.

Para exportar el contenido de la lista a un archivo CSV, haga clic en Exportar.