Live Discover

Live Discover を使用して、Sophos Central の管理対象デバイスの確認、脅威の兆候の検索、コンプライアンスの状態の評価などを実行できます。

Sophosの他の機能で未検出の脅威の兆候がないかどうか、Live Discover クエリを使用してデバイスを検索できます。例:

  • レジストリの不審な変更。
  • 失敗した認証。
  • 非常にまれにしか実行されないプロセスの実行。

Sophos Central によって脅威が別の場所で検出された場合やユーザーが デバイス上で疑わしい動作を報告した場合など、疑わしい脅威や既知の脅威の兆候をデバイスで検索できます。

また、各デバイスのコンプライアンス状態を確認することもできます。たとえば、最新版でないソフトウェアや、設定が安全でないブラウザを検索できます。

このページでは、Live Discover の使用方法について説明しています。また、Sophos XDR トレーニングを修了することで、理解を深めることもでき ます。

クエリの動作方法

ソフォスでは、デバイスの確認に利用できる、さまざまなクエリを用意しています。そのまま使用することも、編集することもできます (osquery や SQL に精通している必要があります)。新しくクエリを作成することもできます。

クエリを実行して、異なるソースから情報を取得できます。

  • エンドポイントクエリは、現在接続されているデバイスから最新の情報を取得します。
  • Data Lake クエリは、デバイスが定期的にデータをアップロードする Data Lake から情報を取得します。また、Data Lake にデータを送信するように設定した他のソフォス製品 (Sophos Cloud Optix または Sophos Email など) から情報を得ることもできます。詳細は、Data Lake クエリを参照してください。

操作を開始するには、要件を確認してから、以下のセクションの手順に従います。

デバイスの要件

Data Lake を使用するには、Data Lake へのデータのアップロードをデバイスで有効化する必要があります。

データをアップロードするようにデバイスを設定するには、次の手順を実行します。

  1. 概要 > グローバル設定」を参照します。
  2. エンドポイントプロテクション」(サーバーの場合は「サーバープロテクション」) で、「Data Lake へのアップロード」をクリックします。
  3. Data Lake へのアップロード」をオンにします。

詳細は、Data Lake へのアップロードを参照してください。

Sophos Cloud Optix の要件

制約事項 このバージョンのヘルプが公開された時点では、この機能はリリースされていない可能性があります。

クラウド環境からのデータに対して Data Lake クエリを使用する場合は、Sophos Central で Sophos Cloud Optix Advanced ライセンス、および Sophos XDR を含む Intercept X ライセンスが必要です。

Data Lake へのアップロードをオンにするには、Sophos Cloud Optix のスーパー管理者である必要があります。

Data Lake へのをオンにするには、次の手順を実行します。

  1. Sophos Cloud Optix にサインインします。
  2. Settings > Advanced」(設定 - アドバンス設定) を参照します。
  3. XDR Data Uploads」(XDR のデータアップロード) をオンにします。
    特定のクラウド環境またはすべての環境のアクティビティログのデータをアップロードできます。

Data Lake へのデータのアップロードの詳細は、Data Lake へのアップロードを参照してください。

クエリの選択

事前に準備されているクエリを選択するには、次の手順を実行します。

  1. 概要 > 脅威解析センター」に移動して、「Live Discover」をクリックします。
    Central Admin メニューの Live Discover のスクリーンショット
  2. Live Discover 」で、矢印をクリックして「クエリ」セクションを開きます (まだ開いていない場合)。

    デザイナーモード」では、クエリを編集または作成できます。ソフォスが事前に準備したクエリを使用している場合は、これをオンにする必要はありません。

    「Live Discover」ページのスクリーンショット
  3. デフォルトで、「すべてのクエリ」タブが表示されます。クエリの種類に対応する他のタブをクリックすることもできます。
    • エンドポイントクエリ。接続しているエンドポイントから最新のデータを取得します。
    • Data Lake クエリ。エンドポイントが定期的にデータをアップロードする Data Lake からデータを取得します。

    使用可能な「カテゴリ」が表示されます。

    クエリのカテゴリのスクリーンショット
  4. 使用するカテゴリをクリックします。選択したカテゴリ内のクエリの一覧が表示されます。

    システムへの影響」は、クエリがデバイスのパフォーマンスに与える影響を、最新の使用状況に基づいて示したものです。

    クエリの一覧のスクリーンショット
  5. リストを短くするには、クエリをフィルタリング表示または検索します。
  6. 実行するクエリをクリックします。
    選択したクエリのスクリーンショット

対応 OS とパフォーマンスデータなどの情報と共に、クエリが表示されます。

ヒント 期間を指定できるクエリ (例: イベントジャーナルに対してを実行するクエリ) の場合は、クエリの実行速度が遅くなったり、大量のデータが生成されたりすることがように、短い期間を指定するようにしてください。

クエリを実行するデバイスの選択

エンドポイントクエリを選択した場合は、クエリを実行するデバイスを選択します。

Data Lake を選択した場合は、デバイスを選択する必要はありません。すべてのデバイスが常に含まれます。このセクションはスキップしてください。

  1. Live Discover」で、矢印をクリックして「デバイスのセレクタ」を展開します。

    選択可能なデバイス」には、Sophos Central の管理下にあるすべてのコンピュータとサーバーが表示されます。

    デバイスのセレクタのスクリーンショット
  2. 選択可能なデバイス」で、表示されているデバイスをフィルタリング表示します。たとえば、特定の OS のデバイスをクエリすることができます。「適用」をクリックします。

    完全に一致するテキストを入力する必要はなく、フィルタで大文字と小文字は区別されません。

    フィルタのスクリーンショット
  3. クエリを実行するデバイスを選択し、「選択したデバイスリストの更新」をクリックします。

    これによって、該当するデバイスが「選択済みデバイス」タブのリストに追加され、管理が簡単になります。

    選択したデバイスのスクリーンショット
  4. オプション リストをさらに絞り込む場合は、選択済みデバイスをフィルタリング表示するか、デバイスの選択を解除します。これには、「選択済みデバイス」をクリックして、次の手順を実行します。
    • フィルタの表示」をクリックします。選択したデバイスをフィルタリング表示します。
    • デバイスの選択を解除し、「選択したデバイスリストの更新」をクリックします。

クエリの実行

クエリの設定が完了したら、それを実行できます。

各デバイスで、一度に最高 4つのクエリを実行できます。

選択するデバイスを変更したり、クエリの実行中にそのクエリを編集したりできます。

クエリを実行するには、次の手順を実行します。

  1. Live Discover」ページの下部で、「クエリの実行」をクリックします。
    「クエリの実行」ボタンのスクリーンショット
  2. 選択したクエリをはじめて実行する場合は、まず 1台のデバイスで実行してテストすることを推奨するメッセージが表示されます。前に戻って、選択したデバイスを編集するか、「クエリの実行」をクリックして続行します。
    テストされていないクエリに関する警告のスクリーンショット
  3. クエリの実行が終了すると、「クエリの結果」パネルが表示されます。次の事柄が表示されます。
    • 各デバイスに対して検出された項目。
    • 結果の項目に基づいて作成できる新しいクエリまたはアクション。省略記号アイコン 省略記号アイコン をクリックすると、オプションが表示されます。
    • デバイスの使用状況データ (結果の下を参照)。これは、クエリの実行速度および生成されるデータ量に関する情報です。詳細は、Live Discover の使用状況データを参照してください。
    クエリの結果のスクリーンショット

    各プロセスに対して「Sophos PID」が表示されます。これは固有のプロセス ID です。これは再利用されないため、プロセス ID に基づいてクエリを作成しても、古いプロセスに関する結果が表示されることはありません。

設定した日時に実行されるように、クエリをスケジュール設定できます (Data Lake クエリのみ)。詳細は、スケジュール済みクエリを参照してください。

さらに詳細な解析を行うには、表示される結果に基づいて追加のクエリを実行できます。詳細は、ピボットクエリ、エンリッチ化、アクションの使用を参照してください。

ピボットクエリ、エンリッチ化、アクションの使用

クエリの結果を基にして、潜在的な脅威を検出するための追加のクエリを作成できます。

結果テーブルでは、一部の項目の横に省略記号アイコンが表示されます。省略記号アイコンのスクリーンショット

アイコンをクリックすると、使用可能なアクションが表示されます。

  • クエリ。このような「ピボットクエリ」を使用すると、選択した項目に基づいて、新しいクエリをすばやく実行できます。使用方法の例は、ピボットクエリを参照してください。
  • エンリッチ化。VirusTotal や IP Abuse DB などのオープンソースのサードパーティ Web サイトで、検出した潜在的な脅威に関する情報を参照できます。
  • アクション。さらに検出または修復を実行します。たとえば、脅威グラフを作成してインシデントの詳細な解析を取得したり、Live Response を開始してコンピュータにアクセスして調査したりできます。

一部のピボット設定をカスタマイズできます。詳細は、カスタム ピボットオプションを参照してください。