Vai al contenuto

Link permanente della pagina

Utilizza sempre il seguente link permanente quando fai riferimento a questa pagina. Rimarrà invariato nelle versioni future della guida.

https://docs.sophos.com/central/customer/help/it-it/index.html?contextId=LiveDiscoverDataLakeQueries

Query nel Data Lake

Some features are being moved or renamed as we introduce a new policy for data collection and investigation.

Le query nel Data Lake consentono di cercare i dati di sicurezza e conformità che i dispositivi caricano sul cloud.

È possibile eseguire query nel Data Lake con Live Discover, una funzionalità del nostro Threat Analysis Center.

Live Discover consente di scegliere l'origine dati da utilizzare quando viene configurata ed eseguita una query:

  • Endpoint attualmente connessi.
  • Il Data Lake nel cloud.

Per assistenza con Live Discover, vedere Live Discover.

Come funziona il Data Lake

Il Data Lake è ospitato da noi; inoltre forniamo "query di attivazione" programmate, che definiscono i dati che devono essere caricati dagli endpoint.

Per impostazione predefinita, i caricamenti dei dati raccolti da Endpoint Protection e Server Protection sono attivati. Per verificare questa impostazione, procedere come segue:

  1. Aprire Prodotti > Endpoint Protection (o Server Protection per i server).
  2. Cliccare su Policies.
  3. Cliccare sul criterio Raccolta dei dati e Indagini.
  4. Controllare che l’opzione Carica sul Data Lake sia attiva.

Per maggiori informazioni sulle impostazioni dei criteri, vedere Criterio Raccolta dei dati e Indagini o Criterio Raccolta dei dati e Indagini per server.

Per informazioni sul caricamento dei dati generati da altri prodotti, vedere Caricamenti sul Data Lake.

I dati sono memorizzati per 90 giorni.

Mettiamo a disposizione query preconfigurate che possono essere eseguite nel Data Lake. È possibile utilizzarle direttamente o modificarle. È anche possibile creare query personalizzate.

Vantaggi delle query nel Data Lake

Le query nel Data Lake presentano alcuni vantaggi rispetto alle query sugli endpoint.

  • Forniscono sempre risultati per tutti gli endpoint, sia che siano connessi o meno.
  • Possono cercare in dati che risalgono a 90 giorni prima. Il periodo di tempo può essere configurato, in modo da generare solo la quantità di dati necessaria.
  • Possono essere pianificate.
  • Permettono di accedere ai dati caricati da altri prodotti Sophos utilizzati, ad esempio Sophos Firewall o Sophos Email. Questi vengono visualizzati come “sensori” in Live Discover.
  • Possono inoltre permettere l’accesso ai dati caricati da prodotti di terze parti che sono stati integrati con Sophos Central.

Per informazioni su come configurare i caricamenti generati da altri prodotti Sophos o da prodotti di terze parti, vedere Prodotti.