Live Discover

Live Discover consente di controllare i dispositivi gestiti da Sophos Central, di cercare segni di minacce e di valutare lo stato di conformità.

Le query di Live Discover possono essere utilizzate per effettuare ricerche sui dispositivi, al fine di individuare segni di minacce che non sono state rilevate da altre funzionalità Sophos. Per esempio:

  • Modifiche insolite al registro di sistema.
  • Autenticazioni non riuscite.
  • Esecuzione di un processo che di solito viene utilizzato molto raramente.

È anche possibile cercare nei dispositivi segni di una minaccia sospetta o nota, se Sophos Central ha rilevato la minaccia altrove o se un utente segnala un comportamento sospetto sul proprio dispositivo.

È anche possibile controllare lo stato di conformità di ciascun dispositivo. Si può ad esempio cercare se sono presenti software obsoleti o browser con impostazioni non sicure.

Questa pagina indica come utilizzare Live Discover. Per acquisire familiarità con questa funzionalità, è possibile completare il Formazione per Sophos XDR.

Come funzionano le query

Offriamo una serie di query per il controllo dei dispositivi. Possono essere utilizzate direttamente oppure modificate (è necessario avere una certa familiarità con osquery o SQL). Le query possono anche essere create.

È possibile eseguire query per ottenere informazioni da origini diverse:

  • Le query sugli endpoint raccolgono le informazioni più recenti dai dispositivi attualmente connessi.
  • Le query nel Data Lake ottengono informazioni da un data lake su cui i dispositivi caricano regolarmente dati. Possono anche ottenere informazioni da altri prodotti Sophos configurati per inviare dati al Data Lake, ad esempio Sophos Cloud Optix o Sophos Email. Vedere Query nel Data Lake.

Per iniziare, verificare i Requisiti e seguire i passaggi riportati nelle sezioni seguenti.

Requisiti per i dispositivi

Se si desidera utilizzare le query nel Data Lake, è necessario abilitare i dispositivi al caricamento dei dati sul Data Lake.

Per configurare i dispositivi in modo che carichino i dati, procedere come segue:

  1. Selezionare Panoramica > Impostazioni globali.
  2. Sotto Endpoint Protection (o Server Protection per i server), cliccare su Caricamenti sul data lake.
  3. Attivare Carica sul data lake.

Per ulteriori informazioni, vedere Caricamenti sul Data Lake.

Requisiti per Sophos Cloud Optix

Limitazione Questa funzionalità potrebbe non essere ancora disponibile per tutti i clienti.

Se si desidera utilizzare le query nel Data Lake sui dati provenienti dagli ambienti cloud, è necessaria una licenza Sophos Cloud Optix Advanced in Sophos Central, più una licenza Intercept X che includa Sophos XDR.

Per attivare i caricamenti sul Data Lake in Sophos Cloud Optix, è necessario essere un Super Amministratore.

Per attivare i caricamenti sul Data Lake, procedere come segue:

  1. Accedere a Sophos Cloud Optix.
  2. Selezionare Settings > Advanced.
  3. Attivare i XDR Data Uploads.
    È possibile caricare i dati del log delle attività per ambienti cloud specifici o per tutti gli ambienti.

Per maggiori informazioni sul caricamento dei dati sul Data Lake, vedere Caricamenti sul Data Lake.

Selezione delle query

Per selezionare una query preconfigurata, procedere come segue:

  1. Aprire Panoramica > Centro di analisi delle minacce e cliccare su Live Discover.
    Screenshot di Live Discover nel menu di Central Admin
  2. In Live Discover, cliccare sulla freccia per aprire la sezione Query (se non è già aperta).

    La Modalità progettazione consente di modificare o creare query. Non è necessario attivarla se si utilizzano le nostre query preimpostate.

    Screenshot della pagina Live Discover
  3. Per impostazione predefinita, viene visualizzata la scheda Tutte le query. Se si preferisce, cliccare sulla scheda del tipo di query desiderato:
    • Query sugli endpoint. Queste query raccolgono i dati più recenti dagli endpoint connessi.
    • Query sui data lake. Queste query ottengono dati da un data lake su cui i dispositivi caricano regolarmente dati.

    Vengono visualizzate le Categorie disponibili.

    Screenshot delle categorie di query
  4. Cliccare sulla categoria che si desidera utilizzare. Viene visualizzato un elenco delle query di quella categoria.

    Impatto sul sistema indica l'effetto della query sulla performance di un dispositivo in base all'utilizzo recente.

    Screenshot dell'elenco di query
  5. Filtrare le query o eseguire una ricerca se si desidera limitare l’elenco visualizzato.
  6. Cliccare sulla query che si desidera eseguire.
    Screenshot di una query selezionata

Verrà visualizzata la query, inclusi i sistemi operativi supportati e i dati sulla performance.

Suggerimento Per le query che permettono di specificare un periodo di tempo (ad esempio le query eseguite su journal degli eventi), impostare un periodo breve per evitare che le query vengano eseguite con lentezza o generino troppi dati.

Selezione dei dispositivi su cui eseguire la query

Se è stata selezionata una query sugli endpoint, selezionare i dispositivi sui quali si desidera eseguirla.

Se è stata selezionata una query nel Data Lake, non è necessario selezionare dispositivi. Tutti i dispositivi sono sempre inclusi, per cui è possibile saltare questa sezione.

  1. In Live Discover, cliccare sulla freccia per espandere Selettore dispositivi.

    Dispositivi disponibili mostra tutti i computer e i server gestiti da Sophos Central.

    Screenshot del Selettore dispositivi
  2. Sotto Dispositivi disponibili, filtrare i dispositivi visualizzati. Ad esempio, potrebbe essere necessario eseguire query su dispositivi con un sistema operativo specifico. Cliccare su Applica.

    Non è necessario immettere una corrispondenza esatta e i filtri non distinguono tra caratteri maiuscoli e minuscoli.

    Screenshot dei filtri
  3. Selezionare i dispositivi sui quali si desidera eseguire la query e cliccare su Aggiorna elenco dei dispositivi selezionati.

    Questa operazione aggiunge i dispositivi a un elenco nella scheda Dispositivi selezionati, dove è possibile gestirli facilmente.

    Screenshot dei dispositivi selezionati
  4. Opzionale Se si desidera limitare ulteriormente l’elenco, è possibile filtrare i dispositivi selezionati o deselezionarli. Per eseguire questa operazione, cliccare su Dispositivi selezionati e procedere come segue:
    • Cliccare su Mostra filtri. Filtrare i dispositivi selezionati.
    • Deselezionare i dispositivi e cliccare su Aggiorna elenco dei dispositivi selezionati.

Esegui query

Una volta completata la configurazione di una query, sarà possibile eseguirla.

È possibile eseguire contemporaneamente fino a quattro query sui dispositivi.

Nota È possibile modificare i dispositivi selezionati o modificare la query mentre è in esecuzione.

Per eseguire una query, procedere come segue.

  1. Nella parte inferiore della pagina Live Discover, cliccare su Esegui query.
    Screenshot del pulsante Esegui query
  2. Se la query non è stata eseguita in precedenza, verrà visualizzato un messaggio che consiglia di eseguirla su un dispositivo per testarla. Tornare indietro per modificare i dispositivi selezionati o cliccare su Esegui query per procedere.
    Screenshot dell'avviso sulla query non testata
  3. Una volta completata l'esecuzione della query, verrà visualizzato il pannello dei risultati della query, che mostrerà:
    • Gli elementi individuati per ciascun dispositivo.
    • Nuove query o azioni che è possibile effettuare sugli elementi nei risultati. Cliccare su un'icona con i puntini di sospensione Icona con i puntini di sospensione per visualizzare le opzioni.
    • La telemetria del dispositivo (sotto i risultati). Si tratta di informazioni sulla velocità della query e sulla quantità di dati che genera. Vedere Telemetria di Live Discover.
    Screenshot dei risultati della query

    Verrà visualizzato un Sophos PID per i processi. Si tratta di un ID processo univoco. Non viene mai utilizzato più di una volta, per cui le query basate su di esso non ottengono risultati indesiderati su processi meno recenti.

È possibile pianificare l'esecuzione di alcune query a orari prestabiliti (solo query nel Data Lake). Vedere Query panificate.

Per svolgere ulteriori analisi, è possibile eseguire query in base ai risultati. Vedere Utilizzo di query pivot, arricchimenti dei dati e azioni.

Utilizzo di query pivot, arricchimenti dei dati e azioni

È possibile utilizzare i risultati delle query come base per ulteriori query focalizzate sulle minacce potenziali.

Nella tabella dei risultati, accanto ad alcuni elementi, viene visualizzata un'icona con i puntini di sospensione. Screenshot dell'icona con i puntini di sospensione

Cliccare sull'icona per visualizzare le azioni disponibili:

  • Query. Queste "query pivot" consentono di eseguire rapidamente una nuova query basata sull'elemento selezionato. Per un esempio di come utilizzarle, vedere Query pivot.
  • Arricchimenti dei dati. Questi siti web aperti di terze parti come VirusTotal o IP Abuse DB permettono di cercare informazioni su una potenziale minaccia individuata.
  • Azioni. Offrono ulteriori opzioni di rilevamento o correzione. Ad esempio, permettono di generare un caso di minaccia per ottenere un'analisi approfondita di un incidente o avviare Live Response per accedere a un computer e svolgere indagini.

Alcune impostazioni pivot possono essere personalizzate. Vedere Opzioni pivot personalizzate.