주요 콘텐츠로 건너뛰기
페이지의 일부 또는 전체가 기계 번역되었습니다.

페이지 고정 링크

이 페이지를 참조할 때는 항상 다음 고정 링크를 사용하십시오. 이후 도움말 버전에서 변경되지 않은 채 유지됩니다.

https://docs.sophos.com/central/customer/help/ko-kr/index.html?contextId=LiveDiscoverDataLakeUploads

데이터 레이크 업로드

보안 데이터를 데이터 레이크에 업로드하여 Live Discover를 사용해 쿼리할 수 있도록 장치 및 제품을 구성할 수 있습니다.

참고

데이터 레이크 업로드는 기본적으로 꺼져 있으므로 업로드를 켜기 전에 고객이 제외할 장치를 결정할 수 있습니다. 대규모 환경의 고객은 업로드가 기본적으로 켜져 있는 경우 네트워크 트래픽이 갑자기 증가할 수 있습니다.

클라우드에서 데이터 레이크가 호스팅되지만 귀하가 데이터 업로드를 제어할 수 있습니다.

타사 소스의 데이터를 데이터 레이크에 추가할 수 있습니다. 그런 다음 쿼리에 이 데이터를 포함할 수 있습니다. Sophos 제품의 데이터와 결합할 수 있습니다. 현재 Microsoft 365 감사 로그 데이터를 추가할 수 있습니다. 저희는 이 기능에 더 많은 타사 데이터 소스를 추가하고 있습니다.

귀하는 다음 작업을 할 수 있습니다.

  • 모든 장치에 대해 업로드를 켭니다.
  • 특정 장치에 대해 업로드를 끕니다. 해당 장치가 데이터를 너무 많이 보내거나 문제를 해결해야 하는 경우 이 작업을 수행할 수 있습니다.
  • 모든 Sophos Cloud Optix 클라우드 환경에 대한 업로드를 켭니다.
  • 특정 Sophos Cloud Optix 클라우드 환경에 대한 업로드를 켭니다.
  • Microsoft 365 도메인에 대한 연결을 만들고 감사 로그 데이터를 업로드합니다.

Live Discover에 대한 도움말은 Live Discover를 참조하십시오.

장치 업로드 켜기

제한

장치 업로드의 설정을 변경하려면 Super Admin 또는 Admin이거나 Endpoint Protection 또는 Server Protection에 대한 전체 액세스 권한이 있는 사용자 지정 역할이 있어야 합니다. 사용자 지정 역할 추가을 참조하십시오.

컴퓨터 및 서버에서 업로드를 별도로 구성해야 합니다.

다음과 같이 장치 업로드를 구성합니다.

  1. 나의 제품 > 일반 설정으로 이동합니다.
  2. Endpoint Protection(또는 서버의 경우 Server Protection)에서 데이터 레이크 업로드를 클릭합니다.

  3. 데이터 레이크에 업로드를 켭니다.

    Sophos Managed Detection and Response(MDR)이 있는 경우 이 설정에 관계없이 장치가 자동으로 데이터를 업로드합니다. 그렇지만 특정 장치에 대해 업로드를 끌 수 있습니다.

  4. 옵션: 특정 장치에 대해 업로드를 끄려면 다음과 같이 하십시오.

    1. Exclusions(제외)에서 사용 가능 목록의 장치를 선택합니다.
    2. 장치를 제외됨 목록으로 이동합니다.

Sophos Mobile에 대한 업로드 켜기

모바일 장치의 데이터에 데이터 레이크 쿼리를 사용하려면 Sophos Central에서 Mobile Advanced 또는 Intercept X for Mobile 라이선스 및 Sophos XDR을 포함하는 Intercept X 라이선스가 필요합니다.

다음과 같이 Sophos Mobile 업로드를 구성합니다.

  1. 나의 제품 > 일반 설정으로 이동합니다.
  2. 모바일에서 데이터 레이크 업로드를 클릭합니다.
  3. 데이터 레이크에 업로드를 켭니다.

  4. 옵션: IP 주소, 포트, 타임스탬프 및 관련 앱과 같은 네트워크 로그 데이터를 데이터 레이크에 업로드하려면 네트워크 로깅을 선택합니다.

    네트워크 로깅은 다음 장치에서 사용할 수 있습니다.

    • 네트워크 로깅은 Sophos Mobile이 Sophos Mobile Control 앱을 관리하는 Android 장치에서 사용할 수 있습니다.
    • 네트워크 로깅은 Sophos Mobile이 Sophos Intercept X for Mobile 앱을 관리하는 iPhone 및 iPad에서 곧 사용할 수 있게 됩니다.

저희가 업로드하는 데이터는 장치 관리 모드에 따라 달라집니다. 예를 들어, Sophos Mobile이 Sophos Intercept X for Mobile만 관리하는 기기보다 Android Enterprise 완전 관리형 장치에서 사용할 수 있는 데이터가 더 많습니다.

Sophos Mobile에서 관리하는 Windows 컴퓨터 및 Mac에 대한 데이터는 현재 업로드하지 않습니다.

Sophos Cloud Optix에 대한 업로드 켜기

Sophos Cloud Optix에서 데이터 레이크 업로드를 켜려면 Sophos Cloud Optix Advanced에서 슈퍼 관리자이어야 합니다.

클라우드 환경의 데이터에서 데이터 레이크 쿼리를 사용하려면 Sophos Central의 Sophos Cloud Optix Advanced 라이선스와 Sophos XDR이 포함된 Intercept X 라이선스가 필요합니다.

Sophos Cloud Optix 업로드를 켜려면 다음과 같이 하십시오.

  1. Sophos Cloud Optix에 로그인하십시오.
  2. Settings > Advanced으로 이동합니다.

  3. XDR Data Uploads를 켭니다.

    특정 클라우드 환경 또는 모든 환경에 대한 활동 로그 데이터를 업로드할 수 있습니다.

Sophos Cloud Optix에서 수집한 순서대로 데이터가 업로드됩니다. 가장 최근 데이터가 먼저 업로드됩니다.

Microsoft 365 감사 로그에 대한 업로드 켜기

Microsoft 365 감사 로그 데이터를 데이터 레이크에 추가할 수 있습니다.

귀하는 Microsoft 365 관리자여야 합니다.

Microsoft 365 감사가 켜져 있어야 합니다. 그렇지 않으면 설정하는 동안 켜라는 메시지가 표시됩니다.

Microsoft 365 데이터를 데이터 레이크에 추가하려면 다음과 같이 하십시오.

  1. 타사 통합을 클릭합니다.
  2. Microsoft 365 사용자 활동 로그를 클릭합니다.
  3. Microsoft 365 연결 - 도메인 설정/상태 페이지에서 + Microsoft 365 연결 추가를 클릭합니다.

  4. 옵션: 감사가 켜져 있지 않으면 Microsoft 365 감사 켜기 페이지에서 링크를 클릭할 수 있습니다.

    그러면 Microsoft 365로 이동합니다. 감사를 켠 다음 Sophos Central로 돌아갈 수 있습니다. 감사 켜기 또는 끄기를 참조하십시오. 감사를 켜기 위해 Microsoft에서 인증을 요청받을 수 있습니다.

    참고

    감사를 켠 후 Microsoft 365 감사 로그 데이터가 표시되는 데 최대 12시간이 걸릴 수 있습니다.

  5. 다음을 클릭합니다.

    인증을 위해 Microsoft 365로 이동합니다.

  6. Microsoft의 지침에 따라 Microsoft 365에서 응용 프로그램을 만들 수 있는 권한을 부여합니다.

    Microsoft 365 환경에 따라 한 번 이상 인증하라는 메시지가 표시됩니다.

    연결하는 데 1분 정도 걸립니다.

새 도메인은 Microsoft 365 연결 - 도메인 설정/상태에 나타납니다.

Live Discover > 쿼리에서 새로운 범주인 Microsoft 365 감사 데이터가 나타납니다. Microsoft 365 데이터에 대해 이 범주의 쿼리를 실행할 수 있습니다.