Data Lake クエリ

Data Lake クエリを使用して、デバイスがクラウドにアップロードする、セキュリティデータやコンプライアンスデータを検索できます。

Data Lake クエリは、ソフォスの脅威解析センターの機能である Live Discover を使用して実行できます。

Live Discover では、クエリのセットアップと実行時に、使用するデータソースを選択できるようになりました。
  • 現在接続されているエンドポイント。
  • クラウド内の Data Lake。

Live Discover の詳細は、Live Discoverを参照してください。

Data Lake の動作方法

ソフォスは Data Lake をホストし、エンドポイントがアップロードするデータを定義する「ハイドレーションクエリ」をスケジュール設定して実行します。

ただし、Data Lake クエリを使用する前に、データがアップロードされていることを確認する必要があります。データのアップロードをオンにする方法は、Data Lake へのアップロードを参照してください。

データは 30日間保存されます。

ソフォスが事前に準備した Data Lake クエリを実行することもできます。これは、そのまま使用することも、編集することもできます。新しくクエリを作成することもできます。

Data Lake クエリのメリット

Data Lake クエリは、エンドポイントクエリと比較して、いくつかのメリットがあります。

接続されているかどうかにかかわらず、常にすべてのエンドポイントに関する結果が表示されます。

過去 30日間のデータをクエリできます。

スケジュール設定できます。

使用している他のソフォス製品によってアップロードされたデータにアクセスできます (Live Discover では「センサー」として表示されます)。例:

  • Sophos Cloud Optix は、クラウド環境から Data Lake にデータをアップロードできます。この機能は、Sophos Cloud Optix でオンにする必要があります。
  • Sophos Email は、Office 365 の統合と「検索と無効化」が有効化されている場合に、データをアップロードできます。
  • Sophos Firewall は、Central Firewall Reporting が設定されている場合に、データをアップロードできます。