Live Discover

Live Discover le permite comprobar los dispositivos que gestiona Sophos Central, buscar indicios de una amenaza o evaluar el cumplimiento.

Puede utilizar las consultas de Live Discover para buscar en los dispositivos indicios de amenazas que no hayan sido detectadas por otras funciones de Sophos. Por ejemplo:

  • Cambios inusuales en el registro.
  • Errores de autenticación.
  • Un proceso que se ejecuta muy raramente.

También puede buscar en los dispositivos indicios de una amenaza sospechosa o conocida si Sophos Central ha detectado la amenaza en otro lugar, o si un usuario informa de un comportamiento sospechoso en su dispositivo.

También puede comprobar el cumplimiento de cada dispositivo. Por ejemplo, puede buscar software desactualizado o navegadores con configuraciones no seguras.

En esta página se explica cómo utilizar Live Discover. También puede familiarizarse con él completando la Formación de Sophos XDR.

Cómo funcionan las consultas

Puede usar una serie de consultas para comprobar sus dispositivos. Puede utilizarlas tal cual o editarlas (necesitará tener conocimientos de osquery o SQL). También puede crear consultas.

Puede ejecutar consultas para obtener información de diferentes fuentes:

  • Las consultas de Endpoint obtienen la información más reciente de los dispositivos que están conectados en ese momento.
  • Las consultas de Data Lake obtienen información de un lago Data Lake en el que los dispositivos cargan sus datos regularmente. También pueden obtener información de otros productos de Sophos que haya configurado para enviar datos a Data Lake, por ejemplo Sophos Cloud Optix o Sophos Email. Consulte Consultas de Data Lake.
  • Las consultas Data Lake también pueden obtener información de fuentes de terceros. Puede añadir registros de auditoría de Microsoft 365 y estamos añadiendo más fuentes de datos.
    Restricción Debe inscribirse en el programa de acceso temprano para utilizar esta opción.

Para comenzar, compruebe que puede obtener datos de los recursos que desea consultar. Para obtener información sobre cómo obtener datos de los dispositivos, siga las instrucciones que se indican a continuación.

Para obtener información sobre cómo obtener datos de Sophos Cloud Optix y registros de auditoría de Microsoft 365, consulte Cargas en Data Lake.

A continuación, configure y ejecute consultas como se describe en las secciones posteriores.

Obtener datos de dispositivos

Si desea utilizar las consultas de Data Lake, debe habilitar los dispositivos para que carguen datos en Data Lake.

Para configurar sus dispositivos para cargar datos, haga lo siguiente:

  1. Vaya a Descripción general > Configuración global.
  2. En Endpoint Protection (o Protección de servidores para servidores), haga clic en Cargas en Data Lake.
  3. Active Cargar en Data Lake.

Para obtener más información, consulte Cargas en Data Lake.

Requisitos para Sophos Mobile

Restricción Esta función puede que todavía no esté disponible para todos los clientes.

Si desea utilizar consultas de Data Lake en los datos de sus dispositivos móviles, necesita una licencia de Mobile Advanced o Intercept X for Mobile en Sophos Central y una licencia de Intercept X que incluya Sophos XDR.

Para configurar sus dispositivos móviles para cargar datos, haga lo siguiente:

  1. Vaya a Descripción general > Configuración global.
  2. En Mobile, haga clic en Cargas en Data Lake.
  3. Active Cargar en Data Lake.

Para obtener más información, consulte Cargas en Data Lake.

Seleccionar una consulta

Para seleccionar una consulta prepreparada, haga lo siguiente:

  1. Vaya a Descripción general > Centro de análisis de amenazas y haga clic en Live Discover.
    Captura de pantalla de Live Discover en el menú Central Admin
  2. En Live Discover, haga clic en la flecha para abrir la sección Consulta (si aún no está abierta).

    El Modo de diseñador le permite editar o crear consultas. No es necesario que lo active si utiliza nuestras consultas ya preparadas.

    Captura de pantalla de la página Live Discover
  3. De forma predeterminada, verá la ficha Todas las consultas. Si lo prefiere, haga clic en la ficha correspondiente al tipo de consulta que desee:
    • Consultas de Endpoint. Estas consultas obtienen los datos más recientes de las estaciones de trabajo conectadas.
    • Consultas de Data Lake. Estas consultas obtienen datos de un lago Data Lake en el que los equipos cargan sus datos regularmente.

    Verá las Categorías que están disponibles.

    Captura de pantalla de categorías de consulta
  4. Haga clic en la categoría que desee utilizar. Muestra una lista de las consultas de esa categoría.

    Impacto en el sistema indica el efecto que ha tenido la consulta en el rendimiento de los dispositivos en función del uso reciente.

    Captura de pantalla de la lista de consultas
  5. Filtre las consultas o haga una búsqueda si desea acortar la lista.
  6. Haga clic en la consulta que desee ejecutar.
    Captura de pantalla de una consulta seleccionada

Se muestra la consulta, incluidos los sistemas operativos compatibles y los datos de rendimiento.

Consejo Para las consultas que permiten especificar un periodo de tiempo (por ejemplo, las consultas que se ejecutan en diarios de eventos), establezca un periodo corto para evitar que las consultas se ejecuten lentamente o generen demasiados datos.

Seleccionar los dispositivos que consultar

Si ha seleccionado una consulta de estaciones, seleccione los dispositivos que desea consultar.

Si ha seleccionado una consulta de Data Lake, no es necesario que seleccione dispositivos. Todos los dispositivos están siempre incluidos. Omita esta sección.

  1. En Live Discover, haga clic en la flecha para expandir Selector de dispositivos.

    Dispositivos disponibles muestra todos los equipos y servidores administrados por Sophos Central.

    Captura de pantalla del selector de dispositivos
  2. En Dispositivos disponibles, filtre los dispositivos que se muestran. Por ejemplo, tal vez quiera consultar los dispositivos con un sistema operativo concreto. Haga clic en Aplicar.

    No es necesario introducir una coincidencia exacta y los filtros no distinguen entre mayúsculas y minúsculas.

    Captura de pantalla de los filtros
  3. Seleccione los dispositivos que desea consultar y haga clic en Actualizar lista de dispositivos seleccionados.

    Esto añade los dispositivos a una lista en la ficha Dispositivos seleccionados, donde puede gestionarlos fácilmente.

    Captura de pantalla de los dispositivos seleccionados
  4. Opcional Si desea afinar más la lista, puede filtrar los dispositivos seleccionados o desmarcar dispositivos. Para ello, haga clic en Dispositivos seleccionadosy haga lo siguiente:
    • Haga clic en Mostrar filtros. Filtre los dispositivos seleccionados.
    • Anule la selección de dispositivos y haga clic en Actualizar lista de dispositivos seleccionados.

Ejecutar consulta

Cuando haya terminado de configurar una consulta, puede ejecutarla.

Puede ejecutar hasta cuatro consultas en dispositivos al mismo tiempo.

Nota Puede cambiar los dispositivos seleccionados o editar la consulta mientras se está ejecutando.

Para ejecutar una consulta, haga lo siguiente:

  1. En la parte inferior de la página Live Discover, haga clic en Ejecutar consulta.
    Captura de pantalla del botón Ejecutar consulta
  2. Si no ha ejecutado la consulta antes, un mensaje recomienda ejecutarla en un dispositivo para probarla. Vuelva atrás para editar los dispositivos seleccionados o haga clic en Ejecutar consulta para seguir adelante.
    Captura de pantalla de la advertencia de consulta no probada
  3. Cuando la consulta deje de ejecutarse, verá el panel de resultados de la consulta. Aquí se muestra lo siguiente:
    • Elementos encontrados para cada dispositivo.
    • Nuevas consultas o acciones que pueden basarse en elementos de los resultados. Haga clic en el icono de puntos suspensivos Icono de puntos suspensivos para ver las opciones.
    • Telemetría del dispositivo (debajo de los resultados). Se trata de información sobre la velocidad de la consulta y la cantidad de datos que genera. Consulte Telemetría de Live Discover.
    Captura de pantalla de los resultados de la consulta

    Verá un PID de Sophos para los procesos. Se trata de un ID de proceso único. Nunca lo reutilizamos, por lo que las consultas basadas en él no obtienen resultados no deseados en procesos antiguos.

Puede programar algunas consultas para que se ejecuten a horas determinadas (solo consultas de Data Lake). Consulte Consultas programadas.

Para realizar análisis adicionales, puede ejecutar consultas basadas en los resultados. Consulte Usar consultas axiales, enriquecimientos y acciones.

Usar consultas axiales, enriquecimientos y acciones

Puede utilizar los resultados de su consulta como base para otras consultas que se centren en posibles amenazas.

En la tabla de resultados, verá un icono de puntos suspensivos junto a algunos elementos. Captura de pantalla del icono de puntos suspensivos

Haga clic en el icono para ver las acciones disponibles:

  • Consultas: Estas "consultas axiales" le permiten ejecutar rápidamente una nueva consulta basada en el elemento seleccionado. Para obtener un ejemplo de cómo utilizarlas, vea Consultas axiales.
  • Enriquecimientos: Los enriquecimientos abren sitios web de terceros como VirusTotal o IP Abuse DB para buscar información sobre una posible amenaza que haya encontrado.
  • Acciones. Estas ofrecen otras tareas de detección o remediación. Por ejemplo, puede abrir un gráfico de amenazas para obtener un análisis en profundidad de un incidente, o iniciar Live Response para acceder e investigar un equipo.

Puede personalizar algunos parámetros de las consultas axiales. Consulte Opciones de consulta axial personalizadas.