Data Lake クエリ
Data Lake クエリを使用して、デバイスがクラウドにアップロードする、セキュリティデータやコンプライアンスデータを検索できます。
注
Data Lake アップロードはデフォルトでオフになっているため、お客様はアップロードをオンにする前に除外するデバイスを決定できます。大規模な環境のお客様は、アップロードがデフォルトでオンになっていると、ネットワークトラフィックが急激に増加する可能性があります。
Data Lake クエリは、ソフォスの脅威解析センターの機能である Live Discover を使用して実行できます。
Live Discover では、クエリのセットアップと実行時に、使用するデータソースを選択できるようになりました。
- 現在接続されているエンドポイント。
- クラウド内の Data Lake。
Live Discover の詳細は、Live Discoverを参照してください。
Data Lake の動作方法
ソフォスは Data Lake をホストし、エンドポイントがアップロードするデータを定義する「ハイドレーションクエリ」をスケジュール設定して実行します。
ただし、Data Lake クエリを使用する前に、データがアップロードされていることを確認する必要があります。データのアップロードをオンにする方法は、Data Lake へのアップロードを参照してください。
データは 90日間保存されます。
ソフォスが事前に準備した Data Lake クエリを実行することもできます。これは、そのまま使用することも、編集することもできます。新しくクエリを作成することもできます。
Data Lake クエリのメリット
Data Lake クエリは、エンドポイントクエリと比較して、いくつかのメリットがあります。
接続されているかどうかにかかわらず、常にすべてのエンドポイントに関する結果が表示されます。
最大 90日前のデータをクエリできます。必要なデータ量のみが生成されるように、期間を指定できます。
スケジュール設定できます。
使用している他のソフォス製品によってアップロードされたデータにアクセスできます (Live Discover では「センサー」として表示されます)。例:
- Sophos Cloud Optix は、クラウド環境から Data Lake にデータをアップロードできます。この機能は、Sophos Cloud Optix でオンにする必要があります。
- Sophos Email は、M365 の統合と「自動検索と修復」が有効化されている場合に、データをアップロードできます。
- Sophos Firewall は、Central Firewall Reporting が設定されている場合に、データをアップロードできます。