콘텐츠로 이동

Live Discover

Live Discover를 사용하면 Sophos Central에서 관리 중인 장치를 확인하거나 위협의 징후를 살펴보거나 규정 준수를 평가할 수 있습니다.

Live Discover 쿼리를 사용하여 장치에서 다른 Sophos 기능에 의해 감지되지 않은 위협의 징후를 검색할 수 있습니다. 예:

  • 레지스트리의 비정상적인 변경입니다.
  • 실패한 인증.
  • 매우 드물게 실행되는 프로세스입니다.

Sophos Central이 다른 위치에서 위협을 발견했거나 사용자가 자체 장치에서 의심스러운 동작을 보고한 경우 의심되거나 알려진 위협의 징후를 장치에서 검색할 수도 있습니다.

또한 각 장치의 규정 준수 여부를 확인할 수 있습니다. 예를 들어, 보안되지 않은 설정을 사용하는 오래된 소프트웨어 또는 브라우저를 검색할 수 있습니다.

이 페이지에서는 Live Discover를 사용하는 방법을 설명합니다. Live Discover는 Sophos XDR 교육을 완료하여 숙지할 수도 있습니다.

쿼리의 작동 원리

당사는 사용자가 장치를 확인하는 데 사용할 수 있는 다양한 쿼리를 제공합니다. 이 쿼리는 그대로 사용하거나 편집할 수 있습니다(osquery 또는 SQL에 대해 잘 알아야 함). 또한 쿼리를 생성할 수 있습니다.

쿼리를 실행하여 다른 원본에서 정보를 가져올 수 있습니다.

  • 엔드포인트 쿼리는 현재 연결된 장치에서 최신 정보를 가져옵니다.
  • 데이터 레이크 쿼리는 장치가 데이터를 정기적으로 업로드하는 데이터 레이크의 정보를 가져옵니다. 또한 데이터 레이크로 데이터를 보내도록 설정한 다른 Sophos 제품(예: Sophos Cloud Optix 또는 Sophos Email)의 정보를 가져올 수 있습니다. 데이터 레이크 쿼리을 참조하십시오.
  • 데이터 레이크 쿼리는 타사 소스에서 정보를 가져올 수도 있습니다. 귀하는 Microsoft 365 감사 로그를 추가할 수 있으며 저희는 더 많은 데이터 소스를 추가하고 있습니다.

시작하려면 쿼리하려는 리소스에서 데이터를 가져올 수 있는지 확인하십시오. 장치에서 데이터를 가져오는 방법을 알아보려면 아래 지침을 따르십시오.

Sophos Cloud Optix 및 Microsoft 365 감사 로그에서 데이터를 가져오는 방법을 알아보려면 데이터 레이크 업로드를 참조하십시오.

그런 다음 이후 섹션에 설명된 대로 쿼리를 설정하고 실행합니다.

장치에서 데이터 가져오기

데이터 레이크 쿼리를 사용하려면 장치에서 데이터 레이크에 데이터를 업로드할 수 있도록 설정해야 합니다.

데이터를 업로드하도록 장치를 설정하려면 다음과 같이 하십시오.

  1. 전역 설정으로 이동합니다.
  2. Endpoint Protection(또는 서버의 경우 Server Protection)에서 데이터 레이크 업로드를 클릭합니다.
  3. 데이터 레이크에 업로드를 켭니다.

자세한 내용은 데이터 레이크 업로드를 참조하십시오.

Sophos Mobile의 요구 사항

모바일 장치의 데이터에 데이터 레이크 쿼리를 사용하려면 Sophos Central에서 Mobile Advanced 또는 Intercept X for Mobile 라이선스 및 Sophos XDR을 포함하는 Intercept X 라이선스가 필요합니다.

데이터를 업로드하도록 모바일 장치를 설정하려면 다음과 같이 하십시오.

  1. 전역 설정으로 이동합니다.
  2. 모바일에서 데이터 레이크 업로드를 클릭합니다.
  3. 데이터 레이크에 업로드를 켭니다.

자세한 내용은 데이터 레이크 업로드를 참조하십시오.

쿼리 선택

사전 준비된 쿼리를 선택하려면 다음과 같이 하십시오.

  1. 위협 분석 센터으로 이동하여 Live Discover을 클릭합니다.
  2. Live Discover에서 쿼리 섹션을 엽니다(아직 열려 있지 않은 경우).

    디자이너 모드에서 쿼리를 편집하거나 만들 수 있습니다. 사전 준비된 쿼리를 사용하는 경우 이 모드를 켤 필요가 없습니다.

    Live Discover 페이지 스크린샷

  3. 기본적으로 모든 쿼리 탭이 표시됩니다. 원하는 경우 필요한 쿼리 유형에 해당하는 탭을 클릭합니다.

    • Endpoint 쿼리. 그러면 연결된 엔드포인트에서 최신 데이터를 가져옵니다.
    • 데이터 레이크 쿼리. 또한 엔드포인트에서 데이터를 정기적으로 업로드하는 데이터 레이크에서 해당 데이터를 가져옵니다. 사용 가능한 범주이 표시됩니다.

    쿼리 범주 스크린샷

  4. 사용할 범주를 클릭합니다. 해당 범주의 쿼리 목록을 표시합니다.

    시스템 영향은 최근 사용 현황을 기준으로 쿼리가 장치 성능에 미치는 영향을 나타냅니다.

    쿼리 목록 스크린샷

  5. 목록의 길이를 줄이려면 쿼리를 필터링하거나 검색합니다.

  6. 실행할 쿼리를 클릭합니다. 그러면 지원되는 운영 체제 및 성능 데이터를 비롯한 쿼리 세부 정보가 표시됩니다.

    선택한 쿼리 스크린샷

  7. 옵션: 데이터 레이크 쿼리를 선택한 경우 화살표를 클릭하여 기간 선택을 열고 쿼리할 기간을 선택합니다. 기본값은 지난 7일입니다.

    이 옵션은 일정이 아닙니다. 이 값은 쿼리를 실행하는 빈도가 아니라 쿼리가 실행되는 과거 데이터의 양을 지정합니다.

    이 옵션을 사용하면 너무 많은 데이터가 생성되지 않도록 할 수 있습니다.

    엔드포인트 쿼리를 비롯한 일부 쿼리에서는 해당 변수(예: 쿼리가 이벤트 저널에서 실행됨)에 기간을 지정할 수도 있습니다.

    기간 선택기

엔드포인트 쿼리를 선택한 경우 쿼리할 장치를 선택합니다.

데이터 레이크 쿼리를 선택한 경우 쿼리를 실행하거나 예약할 수 있습니다. “쿼리 실행”을 확인하세요.

쿼리할 장치 선택

엔드포인트 쿼리를 선택한 경우 쿼리할 장치를 선택합니다.

데이터 레이크 쿼리를 선택한 경우 모든 장치가 항상 포함됩니다. 이 섹션을 건너뛰십시오.

  1. Live Discover에서 장치 선택기를 엽니다.

    사용 가능한 장치에는 Sophos Central에서 관리하는 모든 컴퓨터와 서버가 표시됩니다.

    장치 선택기 스크린샷

  2. 사용 가능한 장치에서 표시된 장치를 필터링합니다. 예를 들어, 특정 운영 체제가 탑재된 장치를 쿼리할 수 있습니다. 적용을(를) 클릭합니다.

    정확히 일치하는 항목을 입력할 필요가 없으며 필터는 대소문자를 구분하지 않습니다.

    필터 스크린샷

  3. 쿼리할 장치를 선택하고 선택한 장치 목록 업데이트를 클릭합니다.

    이렇게 하면 장치를 쉽게 관리할 수 있는 선택된 장치 탭의 목록에 장치를 추가할 수 있습니다.

    선택한 장치 스크린샷

  4. 옵션: 목록을 더 세분화하려면 선택한 장치를 필터링하거나 장치를 선택 취소할 수 있습니다. 이렇게 하려면, 선택된 장치를 클릭하고 다음과 같이 하십시오.

    • 필터 표시를 클릭합니다. 선택한 장치를 필터링합니다.
    • 장치를 선택 취소하고 선택한 장치 목록 업데이트를 클릭합니다.

쿼리 실행

쿼리 설정을 완료하고 나면 해당 쿼리를 실행할 수 있습니다.

장치에서 최대 4개의 쿼리를 동시에 실행할 수 있습니다.

참고

실행 중인 동안 선택한 장치를 변경하거나 쿼리를 편집할 수 있습니다.

쿼리를 실행하려면 다음과 같이 하십시오.

  1. Live Discover 페이지의 맨 아래에서 쿼리 실행을 클릭합니다.

    쿼리 실행 버튼 스크린샷

  2. 이전에 쿼리를 실행하지 않은 경우 하나의 장치에서 실행하여 테스트하는 것이 좋습니다. 선택한 장치를 편집하려면 돌아가고 계속 진행하려면 쿼리 실행을 클릭합니다.

    테스트되지 않은 쿼리 경고 스크린샷

  3. 쿼리 실행이 중지되면 쿼리 결과 패널이 표시됩니다. 여기에는 다음 항목이 표시됩니다.

    • 각 장치의 항목을 찾았습니다.
    • 결과의 항목을 기반으로 할 수 있는 새 쿼리 또는 조치. 줄임표 아이콘 세개의 점 아이콘을 클릭하여 옵션을 확인합니다.
    • 장치 원격 분석(결과 아래) 다음은 쿼리의 속도와 생성되는 데이터 양에 대한 정보입니다. Live Discover 원격 분석을 참조하십시오.

    쿼리 결과 스크린샷

    프로세스에 대한 Sophos PID를 확인할 수 있습니다. 이는 고유한 프로세스 ID입니다. 당사는 이것을 재사용하지 않기 때문에 여기에 기반한 쿼리는 이전 프로세스에서 원치 않는 결과를 가져오지 않습니다.

일부 쿼리가 설정된 시간에 실행되도록 예약할 수 있습니다(데이터 레이크 쿼리만 해당). 예약된 쿼리을 참조하십시오.

추가 분석을 실행하기 위해 결과를 토대로 쿼리를 실행할 수 있습니다. "피벗 쿼리, 보강 및 조치"를 참조하십시오.

피벗 쿼리, 보강 및 조치를 사용합니다

잠재적인 위협에 집중된 추가 쿼리에 대한 기초로서 쿼리 결과를 사용할 수 있습니다.

결과 표에서 일부 항목 옆에 줄임표 아이콘이 표시됩니다. 줄임표 아이콘 스크린샷

사용 가능한 작업을 확인하려면 아이콘을 클릭합니다.

  • 쿼리. 이 "피벗 쿼리"를 사용하면 선택한 항목을 기반으로 새 쿼리를 빠르게 실행할 수 있습니다. 사용 방법에 대한 예제를 보려면 "피벗 쿼리"를 참조하십시오.
  • 보강. VirusTotal 또는 IP Abuse DB와 같은 타사 웹사이트가 열리므로 발견한 잠재적인 위협에 대한 정보를 검색할 수 있습니다.
  • 작업. 추가 감지 또는 수정 기능을 제공합니다. 예를 들어, 위협 그래프를 제기하여 사고에 대한 심층적인 분석을 얻거나 Live Response를 시작하여 컴퓨터에 액세스하고 조사할 수 있습니다.

일부 피벗 설정을 사용자 지정할 수 있습니다. 강화을 참조하십시오.