Caricamenti sul Data Lake
È possibile configurare i dispositivi e i prodotti in modo che carichino dati di sicurezza sul Data Lake, per consentire l'esecuzione di query con Live Discover.
Nota
I caricamenti sul Data Lake sono disattivati per impostazione predefinita, in modo che i clienti possano decidere quali dispositivi escludere prima di attivare i caricamenti. Se i caricamenti fossero attivati per impostazione predefinita, i clienti con ambienti di grandi dimensioni potrebbero riscontrare un aumento improvviso del traffico di rete.
Il Data Lake è ospitato nel nostro cloud, ma è possibile controllare i caricamenti degli endpoint sul Data Lake.
È possibile aggiungere dati provenienti da origini di terze parti al nostro Data Lake. È quindi possibile includere questi dati nelle query. Questi dati possono poi essere utilizzati in combinazione con i dati dei prodotti Sophos. Al momento è possibile aggiungere i dati dei log di controllo di Microsoft 365. A questa funzionalità verranno aggiunte ulteriori origini di dati di terze parti.
È possibile svolgere le seguenti azioni:
- Attivare i caricamenti per tutti i dispositivi.
- Disattivare i caricamenti per dispositivi specifici. Questa opzione è utile per i dispositivi che inviano troppi dati o per i quali è necessario risolvere problemi.
- Attivare i caricamenti per tutti gli ambienti cloud di Sophos Cloud Optix.
- Attivare i caricamenti per ambienti cloud specifici di Sophos Cloud Optix.
- Creare una connessione al proprio dominio di Microsoft 365 e caricare i dati dei log di controllo.
Per assistenza con Live Discover, vedere Live Discover.
Attivazione dei caricamenti per i dispositivi
Restrizione
Per modificare le impostazioni dei caricamenti per i dispositivi, occorre essere Super Amministratore o avere un ruolo personalizzato con accesso Completa a Endpoint Protection o Server Protection. Vedere Aggiunta di un ruolo personalizzato.
I caricamenti per computer e server devono essere configurati separatamente.
Per configurare i caricamenti, procedere come segue.
- Aprire Prodotti > Impostazioni generali.
- Sotto Endpoint Protection (o Server Protection per i server), cliccare su Caricamenti sul data lake.
-
Attivare Carica sul data lake.
Se si utilizza Sophos Managed Detection and Response (MDR), i dispositivi caricheranno automaticamente i dati, indipendentemente da questa impostazione. Tuttavia, è possibile disattivare i caricamenti per dispositivi specifici.
-
Opzionale: Per disattivare i caricamenti per dispositivi specifici, procedere come segue:
- Sotto Esclusioni, selezionare dispositivi nell’elenco Disponibile.
- Spostare i dispositivi nell'elenco Esclusi.
Attivazione dei caricamenti per Sophos Mobile
Per utilizzare le query nel Data Lake sui dati provenienti da Sophos Mobile, è necessaria una licenza Mobile Advanced o Intercept X for Mobile in Sophos Central, più una licenza Endpoint, Server o MDR che includa Sophos XDR.
Sophos Mobile carica sul Data Lake i dati provenienti da dispositivi Android, iPhone, iPad e Chromebook. Per i computer Windows e i Mac, occorre attivare i caricamenti sul Data Lake per Endpoint Protection. Vedere Attivazione dei caricamenti per i dispositivi.
Nota
I dati che vengono caricati dipendono dalla modalità di gestione del dispositivo. Ad esempio, saranno disponibili più dati per un dispositivo Android Enterprise completamente gestito, rispetto a un dispositivo nel quale Sophos Mobile gestisce solo Sophos Intercept X for Mobile.
Per attivare i caricamenti di Sophos Mobile, procedere come segue:
- Aprire Prodotti > Impostazioni generali.
- In Mobile, cliccare su Caricamenti sul data lake.
- Attivare Carica sul data lake.
-
Opzionale: selezionare Log della rete per caricare sul Data Lake i dati di log della rete, ad es. indirizzi IP, porte, timestamp e applicazioni interessate.
I Log della rete sono disponibili per i seguenti dispositivi:
- I dispositivi Android nei quali Sophos Mobile gestisce l’app Sophos Mobile Control.
- Gli iPhone e gli iPad nei quali Sophos Mobile gestisce l’app Sophos Intercept X for Mobile.
Attivazione dei caricamenti per Sophos Cloud Optix
Per attivare i caricamenti sul Data Lake in Sophos Cloud Optix, occorre essere Super Amministratore in Sophos Cloud Optix Advanced.
Per utilizzare le query nel Data Lake sui dati provenienti dagli ambienti cloud, è necessaria una licenza Sophos Cloud Optix Advanced in Sophos Central, più una licenza Intercept X che includa Sophos XDR.
Per attivare i caricamenti di Sophos Cloud Optix, procedere come segue.
- Accedere a Sophos Cloud Optix.
- Selezionare Settings > Advanced.
-
Attivare i XDR Data Uploads.
È possibile caricare i dati del log delle attività per ambienti cloud specifici o per tutti gli ambienti.
I dati vengono caricati nell'ordine in cui vengono acquisiti da Sophos Cloud Optix. I dati più recenti vengono caricati per primi.
Attivazione dei caricamenti per i log di controllo di Microsoft 365
È possibile aggiungere i dati dei log di controllo di Microsoft 365 al Data Lake.
Occorre essere amministratore di Microsoft 365.
È necessario che il controllo sia attivato in Microsoft 365. In caso contrario, ne verrà richiesta l'attivazione durante la configurazione.
Per aggiungere i dati di Microsoft 365 al Data Lake, procedere come segue:
- Cliccare su Integrazioni con terze parti.
- Cliccare su Log attività utenti di Microsoft 365.
- Nella pagina Connessione Microsoft Office 365 - Impostazioni dominio/stato, cliccare su + Aggiungi connessione Microsoft 365.
-
Opzionale: Se il controllo non è attivato, è possibile cliccare sul link nella pagina Attiva controllo di Microsoft 365.
Così facendo, si passerà a Microsoft 365. Sarà quindi possibile attivare il controllo e successivamente tornare a Sophos Central. Vedere Attivare o disattivare il controllo. Potrebbe essere richiesta l'autenticazione con Microsoft per attivare il controllo.
Nota
La visualizzazione dei dati dei log di controllo di Microsoft 365 può richiedere fino a 12 ore dopo l'attivazione del controllo.
-
Cliccare su Avanti.
Si verrà reindirizzati a Microsoft 365 per l'autenticazione.
-
Seguire le istruzioni di Microsoft per concedere l'autorizzazione a creare un'applicazione in Microsoft 365.
Verrà richiesto almeno una volta di concedere l'autorizzazione, a seconda dell'ambiente Microsoft 365 in uso.
La connessione dovrebbe richiedere circa un minuto.
Il nuovo dominio verrà visualizzato in Connessione Microsoft Office 365 - Impostazioni dominio/stato.
In Live Discover > Query, verrà visualizzata una nuova categoria per i Dati di controllo di Microsoft 365. Le query di questa categoria possono essere eseguite sui dati Microsoft 365.