Saltar al contenido

Live Discover

Live Discover le permite comprobar los dispositivos que gestiona Sophos Central, buscar indicios de una amenaza o evaluar el cumplimiento.

Puede utilizar las consultas de Live Discover para buscar en los dispositivos indicios de amenazas que no hayan sido detectadas por otras funciones de Sophos. Por ejemplo:

  • Cambios inusuales en el registro.
  • Errores de autenticación.
  • Un proceso que se ejecuta muy raramente.

También puede buscar en los dispositivos indicios de una amenaza sospechosa o conocida si Sophos Central ha detectado la amenaza en otro lugar, o si un usuario informa de un comportamiento sospechoso en su dispositivo.

También puede comprobar el cumplimiento de cada dispositivo. Por ejemplo, puede buscar software desactualizado o navegadores con configuraciones no seguras.

En esta página se explica cómo utilizar Live Discover. También puede documentarse al respecto completando la Formación de Sophos XDR.

Puede utilizar la comunidad de Sophos para compartir o perfeccionar consultas. Consulte el Foro de consultas de Live Discover.

Puede obtener ayuda de la siguiente forma:

  • Si las consultas predefinidas de Sophos no funcionan, el servicio de soporte de Sophos puede ayudarle a garantizar que los datos se cargan desde sus dispositivos a Sophos Data Lake.
  • Si necesita ayuda con las consultas personalizadas, consulte el Foro de consultas de Live Discover o póngase en contacto con los servicios profesionales de Sophos.

Cómo funcionan las consultas

Puede usar una serie de consultas para comprobar sus dispositivos. Puede utilizarlas tal cual o editarlas (necesitará tener conocimientos de osquery o SQL). También puede crear consultas.

Puede ejecutar consultas para obtener información de diferentes fuentes:

  • Las consultas de Endpoint obtienen la información más reciente de los dispositivos que están conectados en ese momento.
  • Las consultas de Data Lake obtienen información de un lago Data Lake en el que los dispositivos cargan sus datos regularmente. También pueden obtener información de otros productos de Sophos que haya configurado para enviar datos a Data Lake, por ejemplo Sophos Cloud Optix o Sophos Email. Consulte Consultas de Data Lake.
  • Las consultas Data Lake también pueden obtener información de fuentes de terceros. Puede añadir registros de auditoría de Microsoft 365 y estamos añadiendo más fuentes de datos.

Para comenzar, compruebe que puede obtener datos de los recursos que desea consultar. Para obtener información sobre cómo obtener datos de los dispositivos, siga las instrucciones que se indican a continuación.

Para saber cómo obtener datos de los registros de auditoría de Sophos Cloud Optix y Microsoft 365, consulte Cargas en Data Lake.

A continuación, configure y ejecute consultas como se describe en las secciones posteriores.

Obtener datos de dispositivos

Si desea utilizar las consultas de Data Lake, debe habilitar los dispositivos para que carguen datos en Data Lake.

Para configurar sus dispositivos para cargar datos, haga lo siguiente:

  1. Vaya a Mis productos > Configuración general.
  2. En Endpoint Protection (o Protección de servidores para servidores), haga clic en Cargas en Data Lake.
  3. Active Cargar en Data Lake.

Para obtener más información, consulte Cargas en Data Lake.

Requisitos para Sophos Mobile

Si desea utilizar consultas de Data Lake en los datos de sus dispositivos móviles, necesita una licencia de Mobile Advanced o Intercept X for Mobile en Sophos Central y una licencia de Intercept X que incluya Sophos XDR.

Para configurar sus dispositivos móviles para cargar datos, haga lo siguiente:

  1. Vaya a Mis productos > Configuración general.
  2. En Mobile, haga clic en Cargas en Data Lake.
  3. Active Cargar en Data Lake.

Para obtener más información, consulte Cargas en Data Lake.

Seleccionar una consulta

Para seleccionar una consulta prepreparada, haga lo siguiente:

  1. Vaya a Centro de análisis de amenazas y haga clic en Live Discover.
  2. En Live Discover, abra la sección Consulta (si aún no está abierta).

    El Modo de diseñador le permite editar o crear consultas. No es necesario que lo active si utiliza nuestras consultas ya preparadas.

    Captura de pantalla de la página Live Discover.

  3. De forma predeterminada, verá la ficha Todas las consultas. Si lo prefiere, haga clic en la ficha correspondiente al tipo de consulta que desee:

    • Consultas de Endpoint. Estas consultas obtienen los datos más recientes de las estaciones de trabajo conectadas.
    • Consultas de Data Lake. Estas consultas obtienen datos de un lago Data Lake en el que los equipos cargan sus datos regularmente.

    Verá las Categorías que están disponibles.

    Captura de pantalla de categorías de consulta.

  4. Haga clic en la categoría que desee utilizar. Muestra una lista de las consultas de esa categoría.

    Impacto en el sistema indica el efecto que ha tenido la consulta en el rendimiento de los dispositivos en función del uso reciente.

    Captura de pantalla de la lista de consultas.

  5. Filtre las consultas o haga una búsqueda si desea acortar la lista.

  6. Haga clic en la consulta que desee ejecutar. Muestra los detalles de la consulta, incluidos los sistemas operativos compatibles y los datos de rendimiento.

    Captura de pantalla de una consulta seleccionada.

  7. Opcional: Si ha seleccionado una consulta de Data Lake, haga clic en la flecha para abrir Seleccionar un periodo de tiempo y defina un periodo para consultar. El valor por defecto son los últimos 7 días.

    Esta opción no es una programación. Especifica la cantidad de datos pasados en que se basa la consulta, no con qué frecuencia se ejecuta.

    Puede utilizar esta opción para evitar generar demasiados datos.

    Algunas consultas, incluidas las consultas de estaciones, también permiten especificar un periodo de tiempo en sus variables (por ejemplo, las consultas que se ejecutan en diarios de eventos).

    Selector de periodo de tiempo.

Si ha seleccionado una consulta de estaciones, seleccione los dispositivos que desea consultar.

Si ha seleccionado una consulta de Data Lake, puede ejecutar o programar la consulta. Consulte "Ejecutar una consulta".

Seleccionar los dispositivos que consultar

Si ha seleccionado una consulta de estaciones, seleccione los dispositivos que desea consultar.

Si ha seleccionado una consulta de Data Lake, todos los dispositivos siempre se incluyen. Omita esta sección.

  1. En Live Discover, abra Selector de dispositivos.

    Dispositivos disponibles muestra todos los equipos y servidores administrados por Sophos Central.

    Captura de pantalla del selector de dispositivos.

  2. En Dispositivos disponibles, filtre los dispositivos que se muestran. Por ejemplo, tal vez quiera consultar los dispositivos con un sistema operativo concreto. Haga clic en Aplicar.

    No es necesario introducir una coincidencia exacta y los filtros no distinguen entre mayúsculas y minúsculas.

    Captura de pantalla de los filtros.

  3. Seleccione los dispositivos que desea consultar y haga clic en Actualizar lista de dispositivos seleccionados.

    Esto añade los dispositivos a una lista en la ficha Dispositivos seleccionados, donde puede gestionarlos fácilmente.

    Captura de pantalla de los dispositivos seleccionados.

  4. Opcional: Si desea afinar más la lista, puede filtrar los dispositivos seleccionados o desmarcar dispositivos. Para ello, haga clic en Dispositivos seleccionados y haga lo siguiente:

    • Haga clic en Mostrar filtros. Filtre los dispositivos seleccionados.
    • Anule la selección de dispositivos y haga clic en Actualizar lista de dispositivos seleccionados.

Ejecutar consulta

Cuando haya terminado de configurar una consulta, puede ejecutarla.

Puede ejecutar hasta cuatro consultas en dispositivos al mismo tiempo.

Nota

Puede cambiar los dispositivos seleccionados o editar la consulta mientras se está ejecutando.

Para ejecutar una consulta, haga lo siguiente:

  1. En la parte inferior de la página Live Discover, haga clic en Ejecutar consulta.

    Captura de pantalla del botón Ejecutar consulta.

  2. Si no ha ejecutado la consulta antes, un mensaje recomienda ejecutarla en un dispositivo para probarla. Vuelva atrás para editar los dispositivos seleccionados o haga clic en Ejecutar consulta para seguir adelante.

    Captura de pantalla de la advertencia de consulta no probada.

  3. Cuando la consulta deje de ejecutarse, verá el panel de resultados de la consulta. Aquí se muestra lo siguiente:

    • Elementos encontrados para cada dispositivo.
    • Nuevas consultas o acciones que pueden basarse en elementos de los resultados. Haga clic en el icono de puntos suspensivos Icono de puntos suspensivos. para ver las opciones.
    • Telemetría del dispositivo (debajo de los resultados). Se trata de información sobre la velocidad de la consulta y la cantidad de datos que genera. Consulte “Telemetría de Live Discover”.

    Captura de pantalla de los resultados de la consulta.

    Verá un PID de Sophos para los procesos. Se trata de un ID de proceso único. Nunca lo reutilizamos, por lo que las consultas basadas en él no obtienen resultados no deseados en procesos antiguos.

Puede programar algunas consultas para que se ejecuten a horas determinadas (solo consultas de Data Lake). Consulte Consultas programadas.

Para realizar análisis adicionales, puede ejecutar consultas basadas en los resultados. Consulte “Usar consultas axiales, enriquecimientos y acciones”.

Usar consultas axiales, enriquecimientos y acciones

Puede utilizar los resultados de su consulta como base para otras consultas que se centren en posibles amenazas.

En la tabla de resultados, verá un icono de puntos suspensivos junto a algunos elementos. Captura de pantalla del icono de puntos suspensivos.

Haga clic en el icono para ver las acciones disponibles:

  • Consultas. Estas "consultas axiales" le permiten ejecutar rápidamente una nueva consulta basada en el elemento seleccionado. Para obtener un ejemplo de cómo utilizarlas, vea “Consultas axiales”.
  • Enriquecimientos. Estos abren sitios web como VirusTotal para buscar una amenaza potencial que haya encontrado. También pueden abrir informes de SophosLabs Intelix si están disponibles. Consulte Informes Intelix.
  • Acciones. Estas ofrecen otras tareas de detección o remediación. Por ejemplo, puede abrir un gráfico de amenazas para obtener un análisis en profundidad de un incidente, o iniciar Live Response para acceder e investigar un equipo.

Puede personalizar algunos parámetros de las consultas axiales. Consulte Enriquecimientos.