Zum Inhalt

Live Discover

Mit Live Discover können Sie die von Sophos Central verwalteten Geräte überprüfen, nach Anzeichen einer Bedrohung suchen oder die Compliance bewerten.

Mit Live-Discover-Abfragen können Sie Geräte nach Anzeichen von Bedrohungen, die nicht von anderen Sophos-Funktionen erkannt wurden, durchsuchen. Beispiel:

  • Ungewöhnliche Änderungen an der Registrierung.
  • Fehlgeschlagene Authentifizierungen.
  • Ein Prozess, der sehr selten ausgeführt wird.

Sie können Geräte auch nach Anzeichen einer vermuteten oder bekannten Bedrohung durchsuchen, wenn Sophos Central die Bedrohung an anderer Stelle gefunden hat oder wenn ein Benutzer verdächtiges Verhalten auf seinem Gerät meldet.

Sie können auch die Compliance jedes Gerätes überprüfen. Sie können beispielsweise nach veralteter Software oder Browsern mit unsicheren Einstellungen suchen.

Diese Seite bietet Anweisungen zu Live Discover. Sie können sich damit auch vertraut machen, indem Sie das Sophos-XDR-Training absolvieren.

Funktionsweise von Abfragen

Wir stellen Ihnen eine Reihe von Abfragen zur Verfügung, mit denen Sie Ihre Geräte überprüfen können. Sie können diese direkt einsetzen oder bearbeiten (osquery- oder SQL-Kenntnisse erforderlich). Sie können auch Abfragen erstellen.

Sie können Abfragen ausführen, um Informationen aus verschiedenen Quellen zu erhalten:

  • Endpoint-Abfragen erhalten die neuesten Informationen von Geräten, die derzeit verbunden sind.
  • Data Lake-Abfragen erhalten Informationen von einem Data Lake, in den Geräte ihre Daten regelmäßig hochladen. Sie können auch Informationen von anderen Sophos-Produkten erhalten, die Sie zum Senden von Daten an den Data Lake eingerichtet haben, z. B. Sophos Cloud Optix oder Sophos Email. Siehe Data-Lake-Abfragen.
  • Data Lake-Abfragen können auch Informationen aus Drittquellen abrufen. Sie können Microsoft 365-Audit-Protokolle hinzufügen und wir fügen weitere Datenquellen hinzu.

Stellen Sie zunächst sicher, dass Sie Daten von den Ressourcen erhalten können, die Sie abfragen möchten. Um herauszufinden, wie Daten von Geräten abgerufen werden, folgen Sie den Anweisungen unten.

Für Informationen, wie Sie Daten aus Sophos Cloud Optix und Microsoft 365-Audit-Protokollen erhalten, siehe Data-Lake-Uploads.

Richten Sie dann Abfragen ein und führen Sie sie aus, wie in den späteren Abschnitten beschrieben.

Daten von Geräten abrufen

Wenn Sie Data-Lake-Abfragen verwenden möchten, müssen Sie Ihre Geräte aktivieren, um Daten auf den Data Lake hochzuladen.

Um das Hochladen von Daten auf Ihren Geräten einzurichten, gehen Sie wie folgt vor:

  1. Gehen Sie zu Globale Einstellungen.
  2. Klicken Sie unter Endpoint Protection (oder Server Protection für Server) auf Data-Lake-Uploads.
  3. Aktivieren Sie In den Data Lake hochladen.

Für weitere Informationen siehe Data-Lake-Uploads.

Anforderungen für Sophos Mobile

Wenn Sie Data Lake-Abfragen zu Daten Ihrer Mobilgeräte verwenden möchten, benötigen Sie eine Mobile Advanced- oder eine Intercept X for Mobile-Lizenz in Sophos Central und eine Intercept X-Lizenz, die Sophos XDR umfasst.

Um das Hochladen von Daten auf Ihren Mobilgeräten einzurichten, gehen Sie wie folgt vor:

  1. Gehen Sie zu Globale Einstellungen.
  2. Klicken Sie unter Mobil auf Data-Lake-Uploads.
  3. Aktivieren Sie In den Data Lake hochladen.

Für weitere Informationen siehe Data-Lake-Uploads.

Abfrage auswählen

Gehen Sie wie folgt vor, um eine vorbereitete Abfrage auszuwählen:

  1. Gehen Sie zu Bedrohungsanalyse-Center und klicken Sie auf Live Discover.
  2. Öffnen Sie in Live Discover den Abschnitt Abfrage (falls noch nicht geöffnet).

    Im Designer-Modus können Sie Abfragen bearbeiten oder erstellen. Sie müssen sie nicht aktivieren, wenn Sie unsere vorbereiteten Abfragen verwenden.

    Screenshot der Seite „Live Discover“

  3. Standardmäßig wird die Registerkarte Alle Abfragen angezeigt. Sie können auch auf die Registerkarte für den gewünschten Abfragetyp klicken:

    • Endpoint-Abfragen. Diese erhalten die neuesten Daten von den verbundenen Endpoints.
    • Data-Lake-Abfragen. Diese erhalten Daten von einem Data Lake, in den Endpoints ihre Daten regelmäßig hochladen. Sie sehen die verfügbaren Kategorien.

    Screenshot der Abfragekategorien

  4. Klicken Sie auf die Kategorie, die Sie verwenden möchten. Hier wird eine Liste der Abfragen in dieser Kategorie angezeigt.

    Systemauswirkung gibt den Einfluss der Abfrage auf die Geräteleistung. Der Wert basiert auf der aktuellen Verwendung der Abfrage.

    Screenshot der Liste der Abfragen

  5. Filtern oder durchsuchen Sie die Abfragen, wenn Sie die Liste kürzen möchten.

  6. Klicken Sie auf die Abfrage, die Sie ausführen möchten. Hier werden die Abfragedetails angezeigt, einschließlich der unterstützten Betriebssysteme und Leistungsdaten.

    Screenshot einer ausgewählten Abfrage

  7. Optional: Wenn Sie eine Data Lake-Abfrage ausgewählt haben, klicken Sie auf den Pfeil, um die Option Zeitraum auswählen zu öffnen und einen Zeitraum für die Abfrage auszuwählen. Der Standard ist 7 Tage.

    Diese Option ist kein Zeitplan. Sie gibt an, wie viele Daten aus der Vergangenheit von der Abfrage erfasst werden, nicht wie oft sie ausgeführt wird.

    Mit dieser Option können Sie verhindern, dass zu viele Daten generiert werden.

    Bei einigen Abfragen, einschließlich Endpoint-Abfragen, können Sie auch einen Zeitraum in den Variablen angeben (zum Beispiel: Abfragen von Event Journals).

    Auswahl des Zeitraums

Wenn Sie eine Endpoint-Abfrage ausgewählt haben, wählen Sie die Geräte aus, die Sie abfragen möchten.

Wenn Sie eine Data Lake-Abfrage ausgewählt haben, können Sie die Abfrage ausführen oder planen. Siehe „Abfrage ausführen“.

Geräte für die Abfrage auswählen

Wenn Sie eine Endpoint-Abfrage ausgewählt haben, wählen Sie die Geräte aus, die Sie abfragen möchten.

Wenn Sie eine Data Lake-Abfrage ausgewählt haben, werden immer alle Geräte eingeschlossen. Überspringen Sie diesen Abschnitt.

  1. Öffnen Sie in Live Discover die Geräteauswahl.

    Verfügbare Geräte zeigt alle Computer und Server an, die von Sophos Central verwaltet werden.

    Screenshot der Geräteauswahl

  2. Filtern Sie unter Verfügbare Geräte die angezeigten Geräte. Möglicherweise möchten Sie etwa Geräte mit einem bestimmten Betriebssystem abfragen. Klicken Sie auf Anwenden.

    Sie müssen keine exakte Übereinstimmung eingeben und bei den Filtern wird nicht zwischen Groß- und Kleinschreibung unterschieden.

    Screenshot der Filter

  3. Wählen Sie die Geräte aus, die Sie abfragen möchten, und klicken Sie auf Liste der ausgewählten Geräte aktualisieren.

    Dadurch werden die Geräte zu einer Liste in der Registerkarte Ausgewählte Geräte hinzugefügt, in der Sie sie einfach verwalten können.

    Screenshot der ausgewählten Geräte

  4. Optional: Wenn Sie die Liste weiter verfeinern möchten, können Sie die ausgewählten Geräte filtern oder die Auswahl der Geräte aufheben. Klicken Sie hierzu auf Ausgewählte Geräte und verfahren Sie wie folgt:

    • Klicken Sie auf Filter anzeigen. Filtern Sie die ausgewählten Geräte.
    • Heben Sie die Auswahl von Geräten auf und klicken Sie auf Liste der ausgewählten Geräte aktualisieren.

Abfrage ausführen

Wenn Sie die Abfrage eingerichtet haben, können Sie sie ausführen.

Sie können bis zu vier Abfragen auf Geräten gleichzeitig ausführen.

Hinweis

Sie können die ausgewählten Geräte ändern oder die Abfrage bearbeiten, während sie ausgeführt wird.

Gehen Sie wie folgt vor, um eine Abfrage auszuführen:

  1. Klicken Sie unten auf der Seite Live Discover auf Abfrage ausführen.

    Screenshot der Schaltfläche „Abfrage ausführen“

  2. Wenn Sie die Abfrage noch nicht ausgeführt haben, wird in einer Meldung empfohlen, sie auf einem Gerät auszuführen, um sie zu testen. Gehen Sie zurück, um die ausgewählten Geräte zu bearbeiten, oder klicken Sie auf Abfrage ausführen, um fortzufahren.

    Screenshot einer Warnung zu einer nicht getesteten Abfrage

  3. Wenn die Abfrage nicht mehr ausgeführt wird, wird das Fenster mit den Abfrageergebnissen angezeigt. Angezeigt wird:

    • Zu jedem Gerät gefundene Elemente.
    • Neue Abfragen oder Aktionen, die auf Elementen in den Ergebnissen basieren können. Klicken Sie auf das Auslassungssymbol Auslassungssymbol, um die Optionen anzuzeigen.
    • Telemetrie des Geräts (unter den Ergebnissen). Dies sind Informationen über die Geschwindigkeit der Abfrage und wie viele Daten sie generiert. Siehe „Live Discover-Telemetrie“.

    Screenshot der Abfrageergebnisse

    Sie sehen eine Sophos-PID für Prozesse. Dies ist eine eindeutige Prozess-ID. Wir verwenden sie nicht erneut, so dass darauf basierende Abfragen nicht unerwünschte Ergebnisse zu älteren Prozessen generieren.

Sie können festlegen, dass einige Abfragen zu festgelegten Zeiten ausgeführt werden sollen (nur Data-Lake-Abfragen). Siehe Geplante Abfragen.

Um weitere Analysen auszuführen, können Sie Abfragen basierend auf den Ergebnissen ausführen. Siehe „Verwenden von Pivot-Abfragen, Anreicherungen und Aktionen“.

Verwenden von Pivot-Abfragen, Anreicherungen und Aktionen

Sie können Ihre Abfrageergebnisse als Grundlage für zusätzliche Abfragen verwenden, die sich auf potenzielle Bedrohungen konzentrieren.

In der Ergebnistabelle sehen Sie neben einigen Elementen ein Auslassungssymbol. Screenshot des Auslassungssymbols

Klicken Sie auf das Symbol, um die verfügbaren Aktionen zu sehen:

  • Abfragen. Mit solchen „Pivot-Abfragen“ können Sie schnell eine neue Abfrage basierend auf dem ausgewählten Element ausführen. Für ein Anwendungsbeispiel siehe „Pivot-Abfragen“.
  • Anreicherungen. Diese öffnen Websites von Drittanbietern wie VirusTotal oder IP Abuse DB, um Informationen über eine potenzielle Bedrohung zu finden, die Sie gefunden haben.
  • Aktionen. Bieten weitere Erkennung oder Bereinigung. Sie können beispielsweise einen Bedrohungsgraphen erstellen, um eine detaillierte Analyse eines Vorfalls zu erhalten, oder Live Response starten, um auf einen Computer zuzugreifen und ihn zu untersuchen.

Sie können bestimmte Pivot-Einstellungen anpassen. Siehe Anreicherungen.