Vai al contenuto

Live Discover

Live Discover consente di controllare i dispositivi gestiti da Sophos Central, di cercare segni di minacce e di valutare lo stato di conformità.

Le query di Live Discover possono essere utilizzate per effettuare ricerche sui dispositivi, al fine di individuare segni di minacce che non sono state rilevate da altre funzionalità Sophos. Per esempio:

  • Modifiche insolite al registro di sistema.
  • Autenticazioni non riuscite.
  • Esecuzione di un processo che di solito viene utilizzato molto raramente.

È anche possibile cercare nei dispositivi segni di una minaccia sospetta o nota, se Sophos Central ha rilevato la minaccia altrove o se un utente segnala un comportamento sospetto sul proprio dispositivo.

È anche possibile controllare lo stato di conformità di ciascun dispositivo. Si può ad esempio cercare se sono presenti software obsoleti o browser con impostazioni non sicure.

Questa pagina indica come utilizzare Live Discover. Per acquisire familiarità con questa funzionalità, è possibile completare il Corso di formazione per Sophos XDR.

Come funzionano le query

Offriamo una serie di query per il controllo dei dispositivi. Possono essere utilizzate direttamente oppure modificate (è necessario avere una certa familiarità con osquery o SQL). Le query possono anche essere create.

È possibile eseguire query per ottenere informazioni da origini diverse:

  • Le query sugli endpoint raccolgono le informazioni più recenti dai dispositivi attualmente connessi.
  • Le query nel Data Lake ottengono informazioni da un data lake su cui i dispositivi caricano regolarmente dati. Possono anche ottenere informazioni da altri prodotti Sophos configurati per inviare dati al Data Lake, ad esempio Sophos Cloud Optix o Sophos Email. Vedere Query nel Data Lake.
  • Le query nel Data Lake possono anche raccogliere informazioni da origini di terze parti. È possibile includere i dati dei log di controllo di Microsoft 365 quando si aggiungono altre origini di dati.

Per cominciare, verificare di essere in grado di ottenere i dati dalle risorse nelle quali si desidera eseguire query. Per informazioni su come ottenere dati dai dispositivi, seguire le istruzioni riportate di seguito.

Per informazioni su come ottenere dati da e dai log di controllo di Microsoft 365, vedere Caricamenti sul Data Lake.

A questo punto, occorre configurare ed eseguire query come descritto nelle sezioni che seguono.

Come ottenere dati dai dispositivi

Se si desidera utilizzare le query nel Data Lake, è necessario abilitare i dispositivi al caricamento dei dati sul Data Lake.

Per configurare i dispositivi in modo che carichino i dati, procedere come segue:

  1. Selezionare Panoramica > Impostazioni globali.
  2. Sotto Endpoint Protection (o Server Protection per i server), cliccare su Caricamenti sul data lake.
  3. Attivare Carica sul data lake.

Per ulteriori informazioni, vedere Caricamenti sul Data Lake.

Requisiti per Sophos Mobile

Se si desidera utilizzare le query nel Data Lake sui dati provenienti dai propri dispositivi mobili, è necessaria una licenza Mobile Advanced o Intercept X for Mobile in Sophos Central, più una licenza Intercept X che includa Sophos XDR.

Per configurare i dispositivi mobili in modo che carichino i dati, procedere come segue:

  1. Selezionare Panoramica > Impostazioni globali.
  2. In Mobile, cliccare su Caricamenti sul data lake.
  3. Attivare Carica sul data lake.

Per ulteriori informazioni, vedere Caricamenti sul Data Lake.

Selezione delle query

Per selezionare una query preconfigurata, procedere come segue:

  1. Aprire Panoramica > Centro di analisi delle minacce e cliccare su Live Discover.

    Screenshot di Live Discover nel menu di Central Admin

  2. In Live Discover, aprire la sezione Query (se non è già aperta).

    La Modalità progettazione consente di modificare o creare query. Non è necessario attivarla se si utilizzano le nostre query preimpostate.

    Screenshot della pagina Live Discover

  3. Per impostazione predefinita, viene visualizzata la scheda Tutte le query. Se si preferisce, cliccare sulla scheda del tipo di query desiderato:

    • Query sugli endpoint. Queste query raccolgono i dati più recenti dagli endpoint connessi.
    • Query sui data lake. Queste query ottengono dati da un data lake su cui i dispositivi caricano regolarmente dati. Vengono visualizzate le Categorie disponibili.

    Screenshot delle categorie di query

  4. Cliccare sulla categoria che si desidera utilizzare. Viene visualizzato un elenco delle query di quella categoria.

    Impatto sul sistema indica l'effetto della query sulla performance di un dispositivo in base all'utilizzo recente.

    Screenshot dell’elenco di query

  5. Filtrare le query o eseguire una ricerca se si desidera limitare l’elenco visualizzato.

  6. Cliccare sulla query che si desidera eseguire. Vengono così visualizzati i dettagli della query, inclusi i sistemi operativi supportati e i dati sulla performance.

    Screenshot di una query selezionata

  7. Opzionale: Se è stata selezionata una query nel Data Lake, cliccare sulla freccia per aprire Seleziona un periodo di tempo e selezionare il periodo di tempo su cui eseguire la query. Il valore predefinito è negli ultimi 7 giorni.

    Questa opzione non è una pianificazione. Poiché specifica la quantità di dati passati su cui viene eseguita la query e non la frequenza di esecuzione della query.

    È possibile utilizzare questa opzione per evitare di generare troppi dati.

    Alcune query, incluse le query sugli endpoint, consentono anche di specificare un periodo di tempo nelle variabili (ad esempio, le query eseguite sui journal degli eventi).

    Selettore del periodo di tempo

Se è stata selezionata una query sugli endpoint, selezionare i dispositivi sui quali si desidera eseguirla.

Se è stata selezionata una query nel Data Lake, è ora possibile eseguirla o pianificarla. Vedere “Esecuzione di una query”.

Selezione dei dispositivi su cui eseguire la query

Se è stata selezionata una query sugli endpoint, selezionare i dispositivi sui quali si desidera eseguirla.

Se è stata selezionata una query nel Data Lake, tutti i dispositivi sono sempre inclusi. Saltare questa sezione.

  1. In Live Discover, aprire Selettore dispositivi.

    Dispositivi disponibili mostra tutti i computer e i server gestiti da Sophos Central.

    Screenshot del Selettore dispositivi

  2. Sotto Dispositivi disponibili, filtrare i dispositivi visualizzati. Ad esempio, potrebbe essere necessario eseguire query su dispositivi con un sistema operativo specifico. Cliccare su Applica.

    Non è necessario immettere una corrispondenza esatta e i filtri non distinguono tra caratteri maiuscoli e minuscoli.

    Screenshot dei filtri

  3. Selezionare i dispositivi sui quali si desidera eseguire la query e cliccare su Aggiorna elenco dei dispositivi selezionati.

    Questa operazione aggiunge i dispositivi a un elenco nella scheda Dispositivi selezionati, dove è possibile gestirli facilmente.

    Screenshot dei dispositivi selezionati

  4. Opzionale: Se si desidera limitare ulteriormente l’elenco, è possibile filtrare i dispositivi selezionati o deselezionarli. Per eseguire questa operazione, cliccare su Dispositivi selezionati e procedere come segue:

    • Cliccare su Mostra filtri. Filtrare i dispositivi selezionati.
    • Deselezionare i dispositivi e cliccare su Aggiorna elenco dei dispositivi selezionati.

Esegui query

Una volta completata la configurazione di una query, sarà possibile eseguirla.

È possibile eseguire contemporaneamente fino a quattro query sui dispositivi.

Nota

È possibile modificare i dispositivi selezionati o modificare la query mentre è in esecuzione.

Per eseguire una query, procedere come segue.

  1. Nella parte inferiore della pagina Live Discover, cliccare su Esegui query.

    Screenshot del pulsante Esegui query

  2. Se la query non è stata eseguita in precedenza, verrà visualizzato un messaggio che consiglia di eseguirla su un dispositivo per testarla. Tornare indietro per modificare i dispositivi selezionati o cliccare su Esegui query per procedere.

    Screenshot dell'avviso sulla query non testata

  3. Una volta completata l'esecuzione della query, verrà visualizzato il pannello dei risultati della query. Questo mostra:

    • Gli elementi individuati per ciascun dispositivo.
    • Nuove query o azioni che è possibile effettuare sugli elementi nei risultati. Cliccare su un'icona con i puntini di sospensione Icona con i puntini di sospensione per visualizzare le opzioni.
    • La telemetria del dispositivo (sotto i risultati). Si tratta di informazioni sulla velocità della query e sulla quantità di dati che genera. Vedere “Telemetria di Live Discover”.

    Screenshot dei risultati della query

    Verrà visualizzato un Sophos PID per i processi. Si tratta di un ID processo univoco. Non viene mai utilizzato più di una volta, per cui le query basate su di esso non ottengono risultati indesiderati su processi meno recenti.

È possibile pianificare l'esecuzione di alcune query a orari prestabiliti (solo query nel Data Lake). Vedere Query pianificate.

Per svolgere ulteriori analisi, è possibile eseguire query in base ai risultati. Vedere “Utilizzo di query pivot, arricchimenti dei dati e azioni”.

Utilizzo di query pivot, arricchimenti dei dati e azioni

È possibile utilizzare i risultati delle query come base per ulteriori query focalizzate sulle minacce potenziali.

Nella tabella dei risultati, accanto ad alcuni elementi, viene visualizzata un'icona con i puntini di sospensione. Screenshot dell'icona con i puntini di sospensione

Cliccare sull'icona per visualizzare le azioni disponibili:

  • Query. Queste "query pivot" consentono di eseguire rapidamente una nuova query basata sull'elemento selezionato. Per un esempio di come utilizzarle, vedere “Query pivot”.
  • Arricchimenti dei dati. Questi siti web aperti di terze parti come VirusTotal o IP Abuse DB permettono di cercare informazioni su una potenziale minaccia individuata.
  • Azioni. Offrono ulteriori opzioni di rilevamento o correzione. Ad esempio, permettono di generare un grafico delle minacce per ottenere un'analisi approfondita di un incidente o avviare Live Response per accedere a un computer e svolgere indagini.

Alcune impostazioni pivot possono essere personalizzate. Vedere Arricchimenti dei dati.

Torna su