Data Lake へのアップロード
セキュリティデータが Data Lake にアップロードされるようにデバイスおよび製品を設定し、Live Discover でそれをクエリできます。
注
Data Lake アップロードはデフォルトでオフになっているため、お客様はアップロードをオンにする前に除外するデバイスを決定できます。大規模な環境のお客様は、アップロードがデフォルトでオンになっていると、ネットワークトラフィックが急激に増加する可能性があります。
Data Lake はソフォスによってクラウドでホストされますが、データのアップロードの制御は顧客が実行できます。
サードパーティソースからのデータを Data Lake に追加できます。その後、このデータをクエリに含めることができます。これは、ソフォス製品からのデータと組み合わせることができます。現時点では、Microsoft 365 の監査ログデータを追加できます。ソフォスは、これ以外のサードパーティのデータソースも、この機能に追加していく予定です。
次の操作を実行できます。
- すべてのデバイスからのアップロードをオンにする。
- 特定のデバイスからのアップロードをオフにする。この操作は、大量のデータを送信するデバイス、またはトラブルシューティングが必要なデバイスに対して実行できます。
- すべての Sophos Cloud Optix クラウド環境に対してアップロードをオンにする。
- 特定の Sophos Cloud Optix クラウド環境のアップロードをオンにする。
- Microsoft 365 ドメインへの接続を作成し、監査ログデータをアップロードする。
Live Discover の詳細は、Live Discoverを参照してください。
デバイスからのアップロードをオンにする
制限事項
デバイスからのアップロードの設定を変更するには、スーパー管理者または管理者であるか、「エンドポイントプロテクション」または「サーバープロテクション」への「フルアクセス」権限のあるカスタムロールが割り当てられている必要があります。詳細は、カスタムロールの追加を参照してください。
アップロードは、コンピュータとサーバーで個別に設定する必要があります。
デバイスからのアップロードは次のように設定します。
- 「マイプロダクト > 全般設定」の順に選択します。
- 「エンドポイントプロテクション」(サーバーの場合は「サーバープロテクション」) で、「Data Lake へのアップロード」をクリックします。
-
「Data Lake へのアップロード」をオンにします。
Sophos Managed Detection and Response (MDR) を使用している場合は、ここでの設定に関係なく、デバイスは自動的にデータをアップロードします。なお、特定のデバイスによるアップロードをオフにすることはできます。
-
任意: 特定のデバイスによるアップロードをオフにするには、次の手順を実行します。
- 「除外」で、「使用可能」リストからデバイスを選択します。
- デバイスを「除外済み」リストに移動します。
Sophos Mobile からのアップロードをオンにする
Sophos Mobile からのデータに対して Data Lake クエリを使用する場合は、Sophos Central で Mobile Advanced ライセンスまたは Intercept X for Mobile ライセンス、および Sophos XDR を含む Endpoint、Server または MDR ライセンスが必要です。
Sophos Mobile からのアップロードは次のように設定します。
- 「マイプロダクト > 全般設定」の順に選択します。
- 「モバイル」で、「Data Lake へのアップロード」をクリックします。
- 「Data Lake へのアップロード」をオンにします。
-
任意: IP アドレス、ポート、タイムスタンプ、関連アプリなどのネットワークログデータを Data Lake にアップロードするには、「ネットワークのログ」を選択します。
ネットワークのログは、次のデバイスで使用できます。
- Sophos Mobile が Sophos Mobile Control アプリを管理している Android デバイスで使用できます。
- Sophos Mobile が Sophos Intercept X for Mobile アプリを管理している iPhone および iPad で使用できるようになります。
アップロードされるデータは、デバイス管理モードによって異なります。たとえば、ビジネス向け Android のフル マネージド デバイスは、Sophos Mobile によって Sophos Intercept X for Mobile のみが管理されるデバイスよりも多くのデータを利用できます。
現在、Sophos Mobile で管理される Windows コンピュータおよび Mac のデータはアップロードされません。
Sophos Cloud Optix からのアップロードをオンにする
Sophos Cloud Optix で Data Lake へのアップロードをオンにするには、Sophos Cloud Optix Advanced のスーパー管理者である必要があります。
クラウド環境からのデータに対して Data Lake クエリを使用する場合は、Sophos Central で Sophos Cloud Optix Advanced ライセンス、および Sophos XDR を含む Intercept X ライセンスが必要です。
Sophos Cloud Optix からのアップロードをオンにするには、次の手順を実行します。
- Sophos Cloud Optix にサインインします。
- 「Settings > Advanced」(設定 - アドバンス設定) を参照します。
-
「XDR Data Uploads」(XDR のデータアップロード) をオンにします。
特定のクラウド環境またはすべての環境のアクティビティログのデータをアップロードできます。
データは、Sophos Cloud Optix に取り込まれた順序でアップロードされます。最新のデータが、最初にアップロードされます。
Microsoft 365 の監査ログからのアップロードをオンにする
Microsoft 365 の監査ログデータを Data Lake に追加できます。
Microsoft 365 管理者である必要があります。
Microsoft 365 で、監査がオンになっている必要があります。そうでない場合、セットアップ中にオンにするように求められます。
Microsoft 365 のデータを Data Lake に追加するには、次の手順を実行します。
- 「サードパーティの統合」をクリックします。
- 「Microsoft 365 ユーザーアクティビティのログ」をクリックします。
- 「Microsoft 365 接続 - ドメインの設定/状態」ページで、「+ Microsoft 365 接続の追加」をクリックします。
-
任意: 監査がオンになっていない場合は、「Microsoft 365 監査の有効化」ページにあるリンクをクリックできます。
これによって、Microsoft 365 が表示されます。監査をオンにしてから、Sophos Central に戻ります。詳細は、監査のオンとオフを切り替えるを参照してください。監査をオンにするには、Microsoft によって認証が求められることがあります。
注
監査をオンにした後、Microsoft 365 の監査ログデータが表示されるまで、最長 12時間かかる場合があります。
-
「次へ」をクリックします。
認証のために Microsoft 365 にリダイレクトされます。
-
Microsoft の指示に従って、Microsoft 365 でアプリケーションを作成するパーミッションを許可します。
Microsoft 365 環境に応じて、少なくとも 1回は承認を求められます。
接続には約 1分かかります。
新しいドメインが、「Microsoft 365 接続 - ドメインの設定/状態」に表示されます。
「Live Discover > クエリ」で、新しいカテゴリ「Microsoft 365 の監査データ」が表示されます。Microsoft 365 データに対して、このカテゴリ内のクエリを実行できます。