Téléchargements dans le Data Lake

Vous pouvez configurer les appareils et les produits pour qu’ils téléchargent leurs données de sécurité dans un Data Lake afin de vous permettre de les interroger avec Live Discover.

Nous hébergeons le Data Lake dans le Cloud, mais c’est vous qui contrôlez le téléchargement des données.

Vous pouvez ajouter des données provenant de sources tierces à notre Data Lake. Vous pouvez ensuite inclure ces données dans vos requêtes. Vous pouvez les associer aux données provenant des produits Sophos. Il est actuellement possible d’ajouter des données de journal d’audit de Microsoft 365. D’autres sources de données tierces seront ajoutées à cette fonction prochainement.

Remarque : Vous devez rejoindre le programme d’accès anticipé (EAP) à XDR - Detection and Investigation pour utiliser les données du journal d’audit de Microsoft 365.

Vous pouvez procéder comme suit :

  • Activez les téléchargements pour tous les appareils.
  • Désactivez les téléchargements pour des appareils spécifiques. Cette option est utile pour les appareils qui envoient trop de données ou que vous avez besoin de réparer.
  • Activez les téléchargements pour tous les environnements Cloud Sophos Cloud Optix.
  • Activez les téléchargements pour des environnements Cloud Sophos Cloud Optix spécifiques.
  • Créez une connexion à votre domaine Microsoft 365 et téléchargez les données du journal d’audit.

Pour obtenir de l’aide sur Live Discover, consultez Live Discover.

Activez les téléchargements pour les appareils.

Restriction : Pour changer les paramètres de téléchargement pour les appareils, vous devez être soit un super administrateur, un administrateur, soit avoir un rôle personnalisé avec accès Complète à Endpoint Protection ou à Server Protection. Retrouvez plus de renseignements sur Ajouter un rôle personnalisé.

Le téléchargement des données doit être configuré séparément pour les ordinateurs et les serveurs.

Configurez les téléchargements de l’appareil comme suit :

  1. Allez dans Vue générale > Paramètres généraux.
  2. Sous Endpoint Protection (ou Server Protection pour les serveurs), cliquez sur Téléchargements du Data Lake.
  3. Activez Télécharger dans le Data Lake.

    Si vous utilisez le service Sophos Managed Threat Response (MTR), le téléchargement des données s’effectue automatiquement, quelle que soit la configuration de ce paramètre. Vous pouvez néanmoins désactiver le chargement des données pour des appareils spécifiques.

  4. Facultatif : Pour désactiver le chargement des données pour des appareils spécifiques, procédez comme suit :
    1. Sous Exclusions, sélectionnez les appareils dans la liste Disponible.
    2. Déplacez ces appareils vers la liste Exclus.

    Tous les appareils macOS de votre réseau sont répertoriés, même s’ils ne peuvent actuellement pas télécharger de données.

Activez les téléchargements pour Sophos Mobile

Restriction : Cette fonction n’est peut-être pas encore disponible pour tous les clients.

Configurez les téléchargements Sophos Mobile de la manière suivante.

  1. Allez dans Vue générale > Paramètres généraux.
  2. Sous Mobile, cliquez sur Téléchargements du Data Lake.
  3. Activez Télécharger dans le Data Lake.

Les données que nous chargeons dépendent du mode de gestion l’appareil. Par exemple, il y a plus de données disponibles pour un appareil Android Enterprise entièrement géré qu’un appareil sur lequel Sophos Mobile gère uniquement Sophos Intercept X for Mobile.

Nous ne chargeons pas actuellement de données pour les ordinateurs Windows et les Mac gérés par Sophos Mobile.

Activez les téléchargements pour Sophos Cloud Optix

Restriction : Vous devez être un super administrateur dans Sophos Cloud Optix Advanced pour activer les téléchargements vers le Data Lake dans Sophos Cloud Optix

Pour utiliser des demandes Data Lake pour les données de vos environnements Cloud, il vous faut une licence Sophos Cloud Optix dans Sophos Central ainsi qu’une licence Intercept X qui inclut Sophos XDR.

Pour activer les téléchargements Sophos Cloud Optix vers le Data Lake, procédez de la manière suivante :

  1. Connectez-vous à Sophos Cloud Optix.
  2. Allez dans Settings > Advanced.
  3. Activez XDR Data Uploads.

    Vous pouvez télécharger des données provenant du journal d’activité d’environnements Cloud spécifiques ou de tous vos environnements.

Les données sont téléchargées dans l’ordre dans lequel elles sont ingérées par Sophos Cloud Optix. Les données les plus récentes sont téléchargées en premier.

Activez les téléchargements pour les journaux d’audit Microsoft 365

Restriction : Vous devez rejoindre le programme d’accès anticipé pour utiliser cette option.

Vous pouvez ajouter les données provenant des journaux d’audit de Microsoft 365.

Vous devez être un administrateur de Microsoft 365.

L’audit doit être activé dans Microsoft 365. Si ce n’est pas le cas, vous serez invité à l’activer pendant la configuration.

Une fois que vous avez rejoint XDR le programme d’accès anticipé à XDR - Detection and Investigation, l’option Intégrations tierces apparaît dans le menu Sophos Central Admin.

Pour ajouter des données Microsoft 365 au Data Lake, procédez de la manière suivante :

  1. Cliquez sur Intégrations tierces.
  2. Cliquez sur Journaux d’activité des utilisateurs de Microsoft 365.
  3. Sur la page Connexion Microsoft 365 - Paramètres/état des domaines, cliquez sur + Ajouter une connexion Microsoft 365.
  4. Facultatif : Si l’audit n’est pas activé, vous pouvez cliquer sur le lien de la page Activer l’audit Microsoft 365.

    Vous serez redirigé vers Microsoft 365. Vous pouvez activer l’audit, puis revenir à Sophos Central. Voir Activer ou désactiver l’audit. Microsoft peut vous demander de vous authentifier pour activer l’audit.

    Remarque : L’affichage des données du journal d’audit de Microsoft 365 peut prendre jusqu’à 12 heures après l’activation de l’audit.
  5. Cliquez sur Suivant.

    Vous êtes redirigé vers Microsoft 365 pour authentification.

  6. Suivez les instructions de Microsoft pour accorder l’autorisation de créer une application dans Microsoft 365.

    Vous serez invité à donner au moins une autorisation, en fonction de votre environnement Microsoft 365.

    La connexion devrait prendre environ une minute.

Le nouveau domaine apparaît dans Connexion Microsoft 365 - Paramètres/état des domaines.

Dans Live Discover > Demande, une nouvelle catégorie de Données d’audit Microsoft 365 apparaît. Vous pouvez exécuter des requêtes correspondant à cette catégorie sur vos données Microsoft 365.