Vai al contenuto

Link permanente della pagina

Utilizza sempre il seguente link permanente quando fai riferimento a questa pagina. Rimarrà invariato nelle versioni future della guida.

https://docs.sophos.com/central/customer/help/it-it/index.html?contextId=LiveDiscoverDataLakeUploads

Caricamenti sul Data Lake

È possibile configurare i dispositivi e i prodotti in modo che carichino dati di sicurezza sul Data Lake, per consentire l'esecuzione di query con Live Discover.

Nota

I caricamenti sul Data Lake sono disattivati per impostazione predefinita, in modo che i clienti possano decidere quali dispositivi escludere prima di attivare i caricamenti. Se i caricamenti fossero attivati per impostazione predefinita, i clienti con ambienti di grandi dimensioni potrebbero riscontrare un aumento improvviso del traffico di rete.

Il Data Lake è ospitato nel nostro cloud, ma è possibile controllare i caricamenti degli endpoint sul Data Lake.

È possibile aggiungere dati provenienti da origini di terze parti al nostro Data Lake. È quindi possibile includere questi dati nelle query. Questi dati possono poi essere utilizzati in combinazione con i dati dei prodotti Sophos. Al momento è possibile aggiungere i dati dei log di controllo di Microsoft 365. A questa funzionalità verranno aggiunte ulteriori origini di dati di terze parti.

È possibile svolgere le seguenti azioni:

  • Attivare i caricamenti per tutti i dispositivi.
  • Disattivare i caricamenti per dispositivi specifici. Questa opzione è utile per i dispositivi che inviano troppi dati o per i quali è necessario risolvere problemi.
  • Attivare i caricamenti per tutti gli ambienti cloud di Sophos Cloud Optix.
  • Attivare i caricamenti per ambienti cloud specifici di Sophos Cloud Optix.
  • Creare una connessione al proprio dominio di Microsoft 365 e caricare i dati dei log di controllo.

Per assistenza con Live Discover, vedere Live Discover.

Attivazione dei caricamenti per i dispositivi

Restrizione

Per modificare le impostazioni dei caricamenti per i dispositivi, occorre essere Super Amministratore o avere un ruolo personalizzato con accesso Completa a Endpoint Protection o Server Protection. Vedere Aggiunta di un ruolo personalizzato.

I caricamenti per computer e server devono essere configurati separatamente.

Per configurare i caricamenti, procedere come segue.

  1. Aprire Prodotti > Impostazioni generali.
  2. Sotto Endpoint Protection (o Server Protection per i server), cliccare su Caricamenti sul data lake.

  3. Attivare Carica sul data lake.

    Se si utilizza Sophos Managed Detection and Response (MDR), i dispositivi caricheranno automaticamente i dati, indipendentemente da questa impostazione. Tuttavia, è possibile disattivare i caricamenti per dispositivi specifici.

  4. Opzionale: Per disattivare i caricamenti per dispositivi specifici, procedere come segue:

    1. Sotto Esclusioni, selezionare dispositivi nell’elenco Disponibile.
    2. Spostare i dispositivi nell'elenco Esclusi.

Attivazione dei caricamenti per Sophos Mobile

Per utilizzare le query nel Data Lake sui dati provenienti da Sophos Mobile, è necessaria una licenza Mobile Advanced o Intercept X for Mobile in Sophos Central, più una licenza Endpoint, Server o MDR che includa Sophos XDR.

Per configurare i caricamenti di Sophos Mobile, procedere come segue.

  1. Aprire Prodotti > Impostazioni generali.
  2. In Mobile, cliccare su Caricamenti sul data lake.
  3. Attivare Carica sul data lake.

  4. Opzionale: selezionare Log della rete per caricare sul Data Lake i dati di log della rete, ad es. indirizzi IP, porte, timestamp e applicazioni interessate.

    I Log della rete sono disponibili per i seguenti dispositivi:

    • I dispositivi Android nei quali Sophos Mobile gestisce l’app Sophos Mobile Control.
    • Gli iPhone e gli iPad nei quali Sophos Mobile gestisce l’app Sophos Intercept X for Mobile.

I dati che vengono caricati dipendono dalla modalità di gestione del dispositivo. Ad esempio, saranno disponibili più dati per un dispositivo Android Enterprise completamente gestito, rispetto a un dispositivo nel quale Sophos Mobile gestisce solo Sophos Intercept X for Mobile.

Al momento non vengono caricati dati per i computer Windows e Mac gestiti da Sophos Mobile.

Attivazione dei caricamenti per Sophos Cloud Optix

Per attivare i caricamenti sul Data Lake in Sophos Cloud Optix, occorre essere Super Amministratore in Sophos Cloud Optix Advanced.

Per utilizzare le query nel Data Lake sui dati provenienti dagli ambienti cloud, è necessaria una licenza Sophos Cloud Optix Advanced in Sophos Central, più una licenza Intercept X che includa Sophos XDR.

Per attivare i caricamenti di Sophos Cloud Optix, procedere come segue.

  1. Accedere a Sophos Cloud Optix.
  2. Selezionare Settings > Advanced.

  3. Attivare i XDR Data Uploads.

    È possibile caricare i dati del log delle attività per ambienti cloud specifici o per tutti gli ambienti.

I dati vengono caricati nell'ordine in cui vengono acquisiti da Sophos Cloud Optix. I dati più recenti vengono caricati per primi.

Attivazione dei caricamenti per i log di controllo di Microsoft 365

È possibile aggiungere i dati dei log di controllo di Microsoft 365 al Data Lake.

Occorre essere amministratore di Microsoft 365.

È necessario che il controllo sia attivato in Microsoft 365. In caso contrario, ne verrà richiesta l'attivazione durante la configurazione.

Per aggiungere i dati di Microsoft 365 al Data Lake, procedere come segue:

  1. Cliccare su Integrazioni con terze parti.
  2. Cliccare su Log attività utenti di Microsoft 365.
  3. Nella pagina Connessione Microsoft Office 365 - Impostazioni dominio/stato, cliccare su + Aggiungi connessione Microsoft 365.

  4. Opzionale: Se il controllo non è attivato, è possibile cliccare sul link nella pagina Attiva controllo di Microsoft 365.

    Così facendo, si passerà a Microsoft 365. Sarà quindi possibile attivare il controllo e successivamente tornare a Sophos Central. Vedere Attivare o disattivare il controllo. Potrebbe essere richiesta l'autenticazione con Microsoft per attivare il controllo.

    Nota

    La visualizzazione dei dati dei log di controllo di Microsoft 365 può richiedere fino a 12 ore dopo l'attivazione del controllo.

  5. Cliccare su Avanti.

    Si verrà reindirizzati a Microsoft 365 per l'autenticazione.

  6. Seguire le istruzioni di Microsoft per concedere l'autorizzazione a creare un'applicazione in Microsoft 365.

    Verrà richiesto almeno una volta di concedere l'autorizzazione, a seconda dell'ambiente Microsoft 365 in uso.

    La connessione dovrebbe richiedere circa un minuto.

Il nuovo dominio verrà visualizzato in Connessione Microsoft Office 365 - Impostazioni dominio/stato.

In Live Discover > Query, verrà visualizzata una nuova categoria per i Dati di controllo di Microsoft 365. Le query di questa categoria possono essere eseguite sui dati Microsoft 365.