Aller au contenu

Permalien de la page

Utilisez toujours le permalien suivant lorsque vous faites référence à cette page. Il restera inchangé dans les futures versions de l’aide.

https://docs.sophos.com/central/customer/help/fr-fr/index.html?contextId=LiveDiscoverDataLakeUploads

Téléchargements dans le Data Lake

Vous pouvez configurer les appareils et les produits pour qu’ils téléchargent leurs données de sécurité dans un Data Lake afin de vous permettre de les interroger avec Live Discover.

Remarque

Les téléchargements Data Lake sont désactivés par défaut afin que les clients puissent décider quels appareils exclure avant d’activer les téléchargements. Les clients de grands environnements peuvent connaître une augmentation soudaine de trafic réseau si les téléchargements sont activés par défaut.

Nous hébergeons le Data Lake dans le Cloud, mais c’est vous qui contrôlez le téléchargement des données.

Vous pouvez ajouter des données provenant de sources tierces à notre Data Lake. Vous pouvez ensuite inclure ces données dans vos requêtes. Vous pouvez les associer aux données provenant des produits Sophos. Il est actuellement possible d’ajouter des données de journal d’audit de Microsoft 365. D’autres sources de données tierces seront ajoutées à cette fonction prochainement.

Vous pouvez procéder comme suit :

  • Activez les téléchargements pour tous les appareils.
  • Désactivez les téléchargements pour des appareils spécifiques. Cette option est utile pour les appareils qui envoient trop de données ou que vous avez besoin de réparer.
  • Activez les téléchargements pour tous les environnements Cloud Sophos Cloud Optix.
  • Activez les téléchargements pour des environnements Cloud Sophos Cloud Optix spécifiques.
  • Créez une connexion à votre domaine Microsoft 365 et téléchargez les données du journal d’audit.

Pour obtenir de l’aide sur Live Discover, consultez Live Discover.

Activer les téléchargements pour les appareils

Restriction

Pour changer les paramètres de téléchargement pour les appareils, vous devez être soit un super administrateur, un administrateur, soit avoir un rôle personnalisé avec accès Complète à Endpoint Protection ou à Server Protection. Voir Ajouter un rôle personnalisé.

Le téléchargement des données doit être configuré séparément pour les ordinateurs et les serveurs.

Configurez les téléchargements de l’appareil comme suit :

  1. Allez dans Mes produits > Paramètres généraux.
  2. Sous Endpoint Protection (ou Server Protection pour les serveurs), cliquez sur Téléchargements du Data Lake.

  3. Activez Télécharger dans le Data Lake.

    Si vous utilisez le service Sophos Managed Detection and Response (MDR), le téléchargement des données s’effectue automatiquement, quelle que soit la configuration de ce paramètre. Vous pouvez néanmoins désactiver le chargement des données pour des appareils spécifiques.

  4. Facultatif : Pour désactiver le chargement des données pour des appareils spécifiques, procédez comme suit :

    1. Sous Exclusions, sélectionnez les appareils dans la liste Disponible.
    2. Déplacez ces appareils vers la liste Exclus.

Activer les téléchargements pour Sophos Mobile

Pour utiliser des demandes Data Lake sur les données provenant de Sophos Mobile, il vous faut une licence Mobile Advanced ou Intercept X for Mobile dans Sophos Central ainsi qu’une licence Endpoint, Server ou MDR qui inclut Sophos XDR.

Configurez les téléchargements Sophos Mobile de la manière suivante.

  1. Allez dans Mes produits > Paramètres généraux.
  2. Sous Mobile, cliquez sur Téléchargements du Data Lake.
  3. Activez Télécharger dans le Data Lake.

  4. Facultatif : Sélectionnez Journalisation du réseau pour télécharger les données du journal réseau, telles que les adresses IP, les ports, les horodatages et les applications concernées, dans le Data Lake.

    La journalisation réseau est disponible pour les appareils suivants :

    • Les appareils Android sur lesquels Sophos Mobile gère l’appli Sophos Mobile Control.
    • Les iPhones et iPads sur lesquels Sophos Mobile gère l’appli Sophos Intercept X for Mobile.

Les données que nous chargeons dépendent du mode de gestion l’appareil. Par exemple, il y a plus de données disponibles pour un appareil Android Enterprise entièrement géré qu’un appareil sur lequel Sophos Mobile gère uniquement Sophos Intercept X for Mobile.

Nous ne chargeons pas actuellement de données pour les ordinateurs Windows et les Mac gérés par Sophos Mobile.

Activer les téléchargements pour Sophos Cloud Optix

Vous devez être un super administrateur dans Sophos Cloud Optix Advanced pour activer les téléchargements vers le Data Lake dans Sophos Cloud Optix.

Pour utiliser des demandes Data Lake pour les données de vos environnements Cloud, il vous faut une licence Sophos Cloud Optix dans Sophos Central ainsi qu’une licence Intercept X qui inclut Sophos XDR.

Pour activer les téléchargements Sophos Cloud Optix vers le Data Lake, procédez de la manière suivante :

  1. Connectez-vous à Sophos Cloud Optix.
  2. Allez dans Settings > Advanced.

  3. Activez XDR Data Uploads.

    Vous pouvez télécharger des données provenant du journal d’activité d’environnements Cloud spécifiques ou de tous vos environnements.

Les données sont téléchargées dans l’ordre dans lequel elles sont ingérées par Sophos Cloud Optix. Les données les plus récentes sont téléchargées en premier.

Activer les téléchargements pour les journaux d’audit Microsoft 365

Vous pouvez ajouter les données provenant des journaux d’audit de Microsoft 365.

Vous devez être un administrateur de Microsoft 365.

L’audit doit être activé dans Microsoft 365. Si ce n’est pas le cas, vous serez invité à l’activer pendant la configuration.

Pour ajouter des données Microsoft 365 au Data Lake, procédez de la manière suivante :

  1. Cliquez sur Intégrations tierces.
  2. Cliquez sur Journaux d’activité des utilisateurs de Microsoft 365.
  3. Sur la page Connexion Microsoft 365 - Paramètres/état des domaines, cliquez sur + Ajouter une connexion Microsoft 365.

  4. Facultatif : Si l’audit n’est pas activé, vous pouvez cliquer sur le lien de la page Activer l’audit Microsoft 365.

    Vous serez redirigé vers Microsoft 365. Vous pouvez activer l’audit, puis revenir à Sophos Central. Voir Activer ou désactiver l’audit. Microsoft peut vous demander de vous authentifier pour activer l’audit.

    Remarque

    L’affichage des données du journal d’audit de Microsoft 365 peut prendre jusqu’à 12 heures après l’activation de l’audit.

  5. Cliquez sur Suivant.

    Vous êtes redirigé vers Microsoft 365 pour authentification.

  6. Suivez les instructions de Microsoft pour accorder l’autorisation de créer une application dans Microsoft 365.

    Vous serez invité à donner au moins une autorisation, en fonction de votre environnement Microsoft 365.

    La connexion devrait prendre environ une minute.

Le nouveau domaine apparaît dans Connexion Microsoft 365 - Paramètres/état des domaines.

Dans Live Discover > Demande, une nouvelle catégorie de Données d’audit Microsoft 365 apparaît. Vous pouvez exécuter des requêtes correspondant à cette catégorie sur vos données Microsoft 365.