Cargas en Data Lake

Puede configurar los dispositivos y los productos para que carguen los datos de seguridad en Data Lake y así poder consultarlos con Live Discover.

Nota

Las cargas en Data Lake están desactivadas por defecto para que los clientes puedan decidir qué dispositivos excluir antes de activarlas. Los clientes de entornos grandes podrían experimentar un aumento repentino del tráfico de red si las cargas están activadas por defecto.

Sophos aloja Data Lake en la nube por usted, pero usted puede controlar las cargas de datos al mismo.

Puede añadir datos de fuentes de terceros a nuestro Data Lake. A continuación, puede incluir estos datos en sus consultas. Puede combinarlo con datos de productos de Sophos. En este momento puede añadir datos de registro de auditoría de Microsoft 365. Estamos añadiendo más fuentes de datos de terceros a esta función.

Puede hacer lo siguiente:

Activar las cargas para todos los dispositivos.
Desactivar las cargas para dispositivos específicos. Es recomendable hacerlo si esos dispositivos envían demasiados datos o si necesita solucionar problemas.
Activar las cargas para todos los entornos en la nube de Sophos Cloud Optix.
Activar las cargas para entornos en la nube específicos de Sophos Cloud Optix.
Cree una conexión con su dominio de Microsoft 365 y cargue los datos del registro de auditoría.

Para obtener ayuda con Live Discover, consulte Live Discover.

Activar cargas para dispositivos

Restricción

Para cambiar la configuración para las cargas en dispositivos, debe ser superadministrador o administrador o tener un rol personalizado con acceso Completa a Endpoint Protection o Protección de servidores. Consulte Añadir roles personalizados.

Debe configurar las cargas por separado para equipos y servidores.

Las cargas para dispositivos se configuran del siguiente modo.

Vaya a Mis productos > Configuración general.
En Endpoint Protection (o Protección de servidores para servidores), haga clic en Cargas en Data Lake.
Active Cargar en Data Lake.

Si tiene Sophos Managed Detection and Response (MDR), los dispositivos cargan datos automáticamente, independientemente de esta configuración. Sin embargo, puede desactivar las cargas de dispositivos específicos.
Opcional: Para desactivar las cargas de dispositivos específicos, haga lo siguiente:
1. En Exclusiones, seleccione dispositivos de la lista Disponible.
2. Mueva los dispositivos a la lista Excluidos.

Activar cargas para Sophos Mobile

Para utilizar consultas de Data Lake en los datos de Sophos Mobile, necesita una licencia de Mobile Advanced o Intercept X for Mobile en Sophos Central y una licencia de Endpoint, Server o MDR que incluya Sophos XDR.

Las cargas para Sophos Mobile se configuran del siguiente modo.

Vaya a Mis productos > Configuración general.
En Mobile, haga clic en Cargas en Data Lake.
Active Cargar en Data Lake.
Opcional: Seleccione Registro de red para cargar datos de registro de red, como direcciones IP, puertos, marcas de tiempo y aplicaciones involucradas, al Data Lake.

El registro de red está disponible para los siguientes dispositivos:
- Dispositivos Android en los que Sophos Mobile administra la app Sophos Mobile Control.
- Dispositivos iPhone y iPad en los que Sophos Mobile administra la app Sophos Intercept X for Mobile.

Los datos que cargamos dependen del modo de gestión del dispositivo. Por ejemplo, hay más datos disponibles para un dispositivo Android para empresas totalmente gestionado que un dispositivo en el que Sophos Mobile solamente gestiona Sophos Intercept X for Mobile.

Actualmente no cargamos datos para equipos Windows y Mac administrados por Sophos Mobile.

Activar cargas para Sophos Cloud Optix

Debe ser superadministrador en Sophos Cloud Optix Advanced para activar las cargas en Data Lake en Sophos Cloud Optix.

Si desea utilizar consultas de Data Lake en los datos de sus entornos en la nube, necesita una licencia de Sophos Cloud Optix Advanced en Sophos Central y una licencia de Intercept X que incluya Sophos XDR.

Para activar las cargas en Sophos Cloud Optix, haga lo siguiente:

Inicie sesión en Sophos Cloud Optix.
Vaya a Settings > Advanced.
Active la opción XDR Data Uploads.

Puede cargar datos de registro de actividad para entornos en la nube específicos o para todos sus entornos.

Los datos se cargan en el orden en el que los procesa Sophos Cloud Optix. Los datos más recientes son los que se cargan primero.

Activar cargas para registros de auditoría de Microsoft 365

Puede añadir datos de registro de auditoría de Microsoft 365 a Data Lake.

Debe ser un administrador de Microsoft 365.

Debe tener activada la auditoría en Microsoft 365. Si no lo hace, se le pedirá que la active durante la instalación.

Para añadir datos de Microsoft 365 a Data Lake, haga lo siguiente:

Haga clic en Integraciones de terceros.
Haga clic en Registros de actividad de los usuarios de Microsoft 365.
En la página Conexión Microsoft 365 - Configuración/estado de los dominios haga clic en + Añadir conexión de Microsoft 365.
Opcional: Si la auditoría no está activada, puede hacer clic en el vínculo de la página Activar la auditoría de Microsoft 365.

Esto le lleva a Microsoft 365. Puede activar la auditoría y, a continuación, volver a Sophos Central. Consulte Activar o desactivar la auditoría. Es posible que Microsoft le pida autenticarse para activar la auditoría.

Nota

Los datos del registro de auditoría de Microsoft 365 pueden tardar hasta 12 horas en aparecer después de activar la auditoría.
Haga clic en Siguiente.

Se le redirigirá a Microsoft 365 para autenticarse.
Siga las instrucciones de Microsoft para conceder permiso para crear una aplicación en Microsoft 365.

Se le pedirá autorización como mínimo una vez, en función del entorno de Microsoft 365.

La conexión debería tardar aproximadamente un minuto.

El nuevo dominio aparece en Conexión Microsoft 365 - Configuración/estado de los dominios.

En Live Discover > Consulta, aparece la categoría nueva Datos de auditoría de Microsoft 365. Puede ejecutar las consultas de esta categoría en sus datos de Microsoft 365.