Vai al contenuto

Caricamenti sul Data Lake

È possibile configurare i dispositivi e i prodotti in modo che carichino dati di sicurezza sul Data Lake, per consentire l'esecuzione di query con Live Discover.

Il Data Lake è ospitato nel nostro cloud, ma è possibile controllare i caricamenti degli endpoint sul Data Lake.

È possibile aggiungere dati provenienti da origini di terze parti al nostro Data Lake. È quindi possibile includere questi dati nelle query. Questi dati possono poi essere utilizzati in combinazione con i dati dei prodotti Sophos. Al momento è possibile aggiungere i dati dei log di controllo di Microsoft 365. A questa funzionalità verranno aggiunte ulteriori origini di dati di terze parti.

È possibile svolgere le seguenti azioni:

  • Attivare i caricamenti per tutti i dispositivi.
  • Disattivare i caricamenti per dispositivi specifici. Questa opzione è utile per i dispositivi che inviano troppi dati o per i quali è necessario risolvere problemi.
  • Attivare i caricamenti per tutti gli ambienti cloud di Sophos Cloud Optix.
  • Attivare i caricamenti per ambienti cloud specifici di Sophos Cloud Optix.
  • Creare una connessione al proprio dominio di Microsoft 365 e caricare i dati dei log di controllo.

Per assistenza con Live Discover, vedere Live Discover.

Attivazione dei caricamenti per i dispositivi

Restrizione

Per modificare le impostazioni dei caricamenti per i dispositivi, occorre essere Super Amministratore o avere un ruolo personalizzato con accesso Completa a Endpoint Protection o Server Protection. Vedere Aggiunta di un ruolo personalizzato.

I caricamenti per computer e server devono essere configurati separatamente.

Per configurare i caricamenti, procedere come segue.

  1. Selezionare Panoramica > Impostazioni globali.
  2. Sotto Endpoint Protection (o Server Protection per i server), cliccare su Caricamenti sul data lake.
  3. Attivare Carica sul data lake.

    Se si utilizza Sophos Managed Threat Response (MTR), i dispositivi caricheranno automaticamente i dati, indipendentemente da questa impostazione. Tuttavia, è possibile disattivare i caricamenti per dispositivi specifici.

  4. Opzionale: Per disattivare i caricamenti per dispositivi specifici, procedere come segue:

    1. Sotto Esclusioni, selezionare dispositivi nell'elenco Disponibile.
    2. Spostare i dispositivi nell'elenco Esclusi. Sono elencati tutti i dispositivi macOS presenti nella rete, anche se al momento non possono caricare dati.

Attivazione dei caricamenti per Sophos Mobile

Per configurare i caricamenti di Sophos Mobile, procedere come segue.

  1. Selezionare Panoramica > Impostazioni globali.
  2. In Mobile, cliccare su Caricamenti sul data lake.
  3. Attivare Carica sul data lake.

I dati che vengono caricati dipendono dalla modalità di gestione del dispositivo. Ad esempio, saranno disponibili più dati per un dispositivo Android Enterprise completamente gestito, rispetto a un dispositivo nel quale Sophos Mobile gestisce solo Sophos Intercept X for Mobile.

Al momento non vengono caricati dati per i computer Windows e Mac gestiti da Sophos Mobile.

Attivazione dei caricamenti per Sophos Cloud Optix

Restrizione

Per attivare i caricamenti sul Data Lake in Sophos Cloud Optix, occorre essere Super Amministratore in Sophos Cloud Optix Advanced

Per utilizzare le query nel Data Lake sui dati provenienti dagli ambienti cloud, è necessaria una licenza Sophos Cloud Optix Advanced in Sophos Central, più una licenza Intercept X che includa Sophos XDR.

Per attivare i caricamenti di Sophos Cloud Optix, procedere come segue.

  1. Accedere a Sophos Cloud Optix.
  2. Selezionare Settings > Advanced.
  3. Attivare i XDR Data Uploads.

    È possibile caricare i dati del log delle attività per ambienti cloud specifici o per tutti gli ambienti.

I dati vengono caricati nell'ordine in cui vengono acquisiti da Sophos Cloud Optix. I dati più recenti vengono caricati per primi.

Attivazione dei caricamenti per i log di controllo di Microsoft 365

È possibile aggiungere i dati dei log di controllo di Microsoft 365 al Data Lake.

Occorre essere amministratore di Microsoft 365.

È necessario che il controllo sia attivato in Microsoft 365. In caso contrario, ne verrà richiesta l'attivazione durante la configurazione.

Per aggiungere i dati di Microsoft 365 al Data Lake, procedere come segue:

  1. Cliccare su Integrazioni con terze parti.
  2. Cliccare su Log attività utenti di Microsoft 365.
  3. Nella pagina Connessione Microsoft Office 365 - Impostazioni dominio/stato, cliccare su + Aggiungi connessione Microsoft 365.
  4. Opzionale: Se il controllo non è attivato, è possibile cliccare sul link nella pagina Attiva controllo di Microsoft 365.

    Così facendo, si passerà a Microsoft 365. Sarà quindi possibile attivare il controllo e successivamente tornare a Sophos Central. Vedere Attivare o disattivare il controllo. Potrebbe essere richiesta l'autenticazione con Microsoft per attivare il controllo.

    Nota

    La visualizzazione dei dati dei log di controllo di Microsoft 365 può richiedere fino a 12 ore dopo l'attivazione del controllo.

  5. Cliccare su Avanti.

    Si verrà reindirizzati a Microsoft 365 per l'autenticazione.

  6. Seguire le istruzioni di Microsoft per concedere l'autorizzazione a creare un'applicazione in Microsoft 365.

    Verrà richiesto almeno una volta di concedere l'autorizzazione, a seconda dell'ambiente Microsoft 365 in uso.

    La connessione dovrebbe richiedere circa un minuto.

Il nuovo dominio verrà visualizzato in Connessione Microsoft Office 365 - Impostazioni dominio/stato.

In Live Discover > Query, verrà visualizzata una nuova categoria per i Dati di controllo di Microsoft 365. Le query di questa categoria possono essere eseguite sui dati Microsoft 365.

Torna su