Zum Inhalt

Data-Lake-Uploads

Sie können Geräte und Produkte so konfigurieren, dass Sicherheitsdaten in einen Data Lake hochgeladen werden, sodass Sie sie mit Live Discover abfragen können.

Hinweis

„Data Lake“-Uploads sind standardmäßig deaktiviert, sodass Kunden entscheiden können, welche Geräte ausgeschlossen werden sollen, bevor sie die Uploads aktivieren. Bei Kunden mit großen Umgebungen kann der Netzwerkverkehr ansteigen, wenn die Uploads standardmäßig aktiviert sind.

Wir hosten den Data Lake für Sie in der Cloud, aber Sie können die Daten-Uploads in den Data Lake steuern.

Sie können Daten aus Drittquellen in unseren Data Lake einfügen. Diese Daten können Sie dann in Ihre Abfragen aufnehmen. Sie können sie mit Daten aus Sophos-Produkten kombinieren. Im Moment können Sie Microsoft 365-Überwachungsprotokolldaten hinzufügen. Wir fügen dieser Funktion weitere Datenquellen von Drittanbietern hinzu.

Sie können wie folgt vorgehen:

  • Uploads für alle Geräte aktivieren.
  • Uploads für bestimmte Geräte deaktivieren. Dies ist möglicherweise der Fall, wenn diese Geräte zu viele Daten senden oder Sie eine Fehlerbehebung durchführen müssen.
  • Aktivieren Sie Uploads für alle Sophos Cloud Optix-Cloud-Umgebungen.
  • Aktivieren Sie Uploads für bestimmte Sophos Cloud Optix-Cloud-Umgebungen.
  • Stellen Sie eine Verbindung zu Ihrer Microsoft 365-Domäne her und laden Sie Überwachungsprotokolldaten hoch.

Für Hilfe zu Live Discover siehe Live Discover.

Uploads für Geräte aktivieren

Einschränkung

Zur Änderung der Einstellungen für Geräte-Uploads müssen Sie ein Superadmin sein oder über eine benutzerdefinierte Rolle verfügen, die Vollversion Zugriff auf Endpoint Protection oder Server Protection umfasst. Siehe Benutzerdefinierte Rolle hinzufügen.

Sie müssen Uploads für Computer und Server separat konfigurieren.

Konfigurieren Sie Geräte-Uploads wie folgt:

  1. Gehen Sie zu Meine Produkte > Allgemeine Einstellungen.
  2. Klicken Sie unter Endpoint Protection (oder Server Protection für Server) auf Data-Lake-Uploads.
  3. Aktivieren Sie In den Data Lake hochladen.

    Wenn Sie Sophos Managed Detection and Response (MDR) haben, laden Geräte automatisch Daten hoch, unabhängig von dieser Einstellung. Sie können jedoch Uploads für bestimmte Geräte deaktivieren.

  4. Optional: Gehen Sie wie folgt vor, um Uploads für bestimmte Geräte zu deaktivieren:

    1. Wählen Sie unter Ausschlüsse die Geräte in der Verfügbar Liste aus.
    2. Verschieben Sie die Geräte in die Ausgeschlossen-Liste.

Uploads für Sophos Mobile aktivieren

Wenn Sie Data Lake-Abfragen von Sophos Mobile verwenden möchten, benötigen Sie eine Mobile Advanced- oder eine Intercept X for Mobile-Lizenz in Sophos Central und eine Endpoint-, Server- oder MDR-Lizenz, die Sophos XDR umfasst.

Konfigurieren Sie Sophos Mobile-Uploads wie folgt:

  1. Gehen Sie zu Meine Produkte > Allgemeine Einstellungen.
  2. Klicken Sie unter Mobil auf Data-Lake-Uploads.
  3. Aktivieren Sie In den Data Lake hochladen.
  4. Optional: Wählen Sie Netzwerkprotokollierung aus, um Netzwerkprotokolldaten wie IP-Adressen, Ports, Zeitstempel und betroffene Anwendungen in den Data Lake hochzuladen.

    Die Netzwerk-Protokollierung ist für die folgenden Geräte verfügbar:

    • Android-Geräte, auf denen Sophos Mobile die App „Sophos Mobile Control“ verwaltet.
    • iPhones und iPads, auf denen Sophos Mobile die App „Sophos Intercept X for Mobile“ verwaltet.

Die Daten, die wir hochladen, hängen vom Geräteverwaltungsmodus ab. So liegen beispielsweise mehr Daten für ein vollständig verwaltetes Android Enterprise-Gerät vor als für Geräte, auf denen Sophos Mobile nur Sophos Intercept X for Mobile verwaltet.

Derzeit laden wir keine Daten für Windows-Computer und Macs hoch, die von Sophos Mobile verwaltet werden.

Uploads für Sophos Cloud Optix aktivieren

Sie müssen Superadmin in Sophos Cloud Optix Advanced sein, um „Data Lake“ -Uploads in Sophos Cloud Optix zu aktivieren.

Um Data Lake-Abfragen zu Daten aus Ihren Cloud-Umgebungen zu verwenden, benötigen Sie eine Sophos Cloud Optix Advanced-Lizenz in Sophos Central und eine Intercept X-Lizenz, die Sophos XDR umfasst.

Um Sophos Cloud Optix-Uploads zu aktivieren, gehen Sie folgendermaßen vor:

  1. Melden Sie sich in Sophos Cloud Optix an.
  2. Gehen Sie zu Einstellungen > Erweitert.
  3. Aktivieren Sie XDR Data Uploads.

    Sie können Aktivitätsprotokolldaten für bestimmte Cloud-Umgebungen oder alle Ihre Umgebungen hochladen.

Die Daten werden in der Reihenfolge hochgeladen, in der sie von Sophos Cloud Optix aufgenommen werden. Die neuesten Daten werden zuerst hochgeladen.

Aktivieren Sie Uploads für Microsoft 365-Überwachungsprotokolle

Sie können dem Data Lake Microsoft 365-Überwachungsprotokolldaten hinzufügen.

Sie müssen Microsoft 365-Administrator sein.

Die Überwachung muss in Microsoft 365 aktiviert sein. Ist dies nicht der Fall, werden Sie während der Einrichtung aufgefordert, die Funktion zu aktivieren.

Gehen Sie wie folgt vor, um Microsoft 365-Daten zum Data Lake hinzuzufügen:

  1. Klicken Sie auf Fremdanbieter-Integrationen.
  2. Klicken Sie auf Microsoft-365-Benutzeraktivitätsprotokolle.
  3. Klicken Sie auf der Seite Microsoft-365-Verbindung - Domäneneinstellungen/Status auf + Microsoft-365-Verbindung hinzufügen.
  4. Optional: Wenn die Überwachung nicht aktiviert ist, können Sie auf den Link auf der Seite Microsoft-365-Überwachung einschalten klicken.

    Damit gelangen Sie zu Microsoft 365. Sie können die Überwachung aktivieren und dann zu Sophos Central zurückkehren. Siehe Aktivieren/Deaktivieren der Überwachung. Möglicherweise werden Sie von Microsoft aufgefordert, sich zu authentifizieren, um die Überwachung zu aktivieren.

    Hinweis

    Es kann bis zu 12 Stunden dauern, bis Microsoft 365-Überwachungsprotokolldaten angezeigt werden, nachdem Sie die Überwachung aktiviert haben.

  5. Klicken Sie auf Weiter.

    Zur Authentifizierung werden Sie zu Microsoft 365 weitergeleitet.

  6. Befolgen Sie die Anweisungen von Microsoft, um die Berechtigung zur Erstellung einer Anwendung in Microsoft 365 zu erteilen.

    Sie werden gebeten, je nach Ihrer Microsoft 365-Umgebung mindestens einmal eine Autorisierung vorzunehmen.

    Die Verbindung sollte etwa eine Minute dauern.

Die neue Domäne erscheint in Microsoft-365-Verbindung - Domäneneinstellungen/Status.

In Live Discover > Abfrage wird eine neue Kategorie Microsoft 365-Überwachungsdaten angezeigt. Sie können die Abfragen in dieser Kategorie auf Ihren Microsoft 365-Daten ausführen.