コンテンツにスキップ

Data Lake クエリ

Data Lake クエリを使用して、デバイスがクラウドにアップロードする、セキュリティデータやコンプライアンスデータを検索できます。

Data Lake アップロードはデフォルトでオフになっているため、お客様はアップロードをオンにする前に除外するデバイスを決定できます。大規模な環境のお客様は、アップロードがデフォルトでオンになっていると、ネットワークトラフィックが急激に増加する可能性があります。

Data Lake クエリは、ソフォスの脅威解析センターの機能である Live Discover を使用して実行できます。

Live Discover では、クエリのセットアップと実行時に、使用するデータソースを選択できるようになりました。

  • 現在接続されているエンドポイント。
  • クラウド内の Data Lake。

Live Discover の詳細は、Live Discoverを参照してください。

Data Lake の動作方法

ソフォスは Data Lake をホストし、エンドポイントがアップロードするデータを定義する「ハイドレーションクエリ」をスケジュール設定して実行します。

ただし、Data Lake クエリを使用する前に、データがアップロードされていることを確認する必要があります。データのアップロードをオンにする方法は、Data Lake へのアップロードを参照してください。

データは 90日間保存されます。

ソフォスが事前に準備した Data Lake クエリを実行することもできます。これは、そのまま使用することも、編集することもできます。新しくクエリを作成することもできます。

Data Lake クエリのメリット

Data Lake クエリは、エンドポイントクエリと比較して、いくつかのメリットがあります。

接続されているかどうかにかかわらず、常にすべてのエンドポイントに関する結果が表示されます。

最大 90日前のデータをクエリできます。必要なデータ量のみが生成されるように、期間を指定できます。

スケジュール設定できます。

使用している他のソフォス製品によってアップロードされたデータにアクセスできます (Live Discover では「センサー」として表示されます)。例:

  • Sophos Cloud Optix は、クラウド環境から Data Lake にデータをアップロードできます。この機能は、Sophos Cloud Optix でオンにする必要があります。
  • Sophos Email は、M365 の統合と「自動検索と修復」が有効化されている場合に、データをアップロードできます。
  • Sophos Firewall は、Central Firewall Reporting が設定されている場合に、データをアップロードできます。