コンテンツにスキップ

Live Discover

Live Discover を使用して、Sophos Central の管理対象デバイスの確認、脅威の兆候の検索、コンプライアンスの状態の評価などを実行できます。

Sophosの他の機能で未検出の脅威の兆候がないかどうか、Live Discover クエリを使用してデバイスを検索できます。例:

  • レジストリの不審な変更。
  • 失敗した認証。
  • 非常にまれにしか実行されないプロセスの実行。

Sophos Central によって脅威が別の場所で検出された場合やユーザーがデバイス上で疑わしい動作を報告した場合など、疑わしい脅威や既知の脅威の兆候をデバイスで検索できます。

また、各デバイスのコンプライアンス状態を確認することもできます。たとえば、最新版でないソフトウェアや、設定が安全でないブラウザを検索できます。

このページでは、Live Discover の使用方法について説明しています。また、Sophos XDR トレーニングを修了することで、理解を深めることもできます。

クエリの動作方法

ソフォスでは、デバイスの確認に利用できる、さまざまなクエリを用意しています。そのまま使用することも、編集することもできます (osquery や SQL に精通している必要があります)。新しくクエリを作成することもできます。

クエリを実行して、異なるソースから情報を取得できます。

  • エンドポイントクエリは、現在接続されているデバイスから最新の情報を取得します。
  • Data Lake クエリは、デバイスが定期的にデータをアップロードする Data Lake から情報を取得します。また、Data Lake にデータを送信するように設定した他のソフォス製品 (Sophos Cloud Optix または Sophos Email など) から情報を得ることもできます。詳細は、Data Lake クエリを参照してください。
  • Data Lake クエリは、サードパーティのソースから情報を取得することもできます。Microsoft 365 の監査ログを追加できます。ソフォスは、これ以外のデータソースも追加しています。

操作を開始するには、まず、クエリを実行するリソースからデータを取得できることを確認します。デバイスからデータを取得する方法は、以下の手順に従ってください。

Sophos Cloud Optix と Microsoft 365 の監査ログからデータを取得する方法は、Data Lake へのアップロードを参照してください。

その後、以下のセクションにある説明に従って、クエリを設定して実行します。

データのデバイスからの取得

Data Lake を使用するには、Data Lake へのデータのアップロードをデバイスで有効化する必要があります。

データをアップロードするようにデバイスを設定するには、次の手順を実行します。

  1. グローバル設定」を参照します。
  2. エンドポイントプロテクション」(サーバーの場合は「サーバープロテクション」) で、「Data Lake へのアップロード」をクリックします。
  3. Data Lake へのアップロード」をオンにします。

詳細は、Data Lake へのアップロードを参照してください。

Sophos Mobile の要件

モバイルデバイスからのデータに対して Data Lake クエリを使用する場合は、Sophos Central で Mobile Advanced ライセンスまたは Intercept X for Mobile ライセンス、および Sophos XDR を含む Intercept X ライセンスが必要です。

データをアップロードするようにモバイルデバイスを設定するには、次の手順を実行します。

  1. グローバル設定」を参照します。
  2. モバイル」で、「Data Lake へのアップロード」をクリックします。
  3. Data Lake へのアップロード」をオンにします。

詳細は、Data Lake へのアップロードを参照してください。

クエリの選択

事前に準備されているクエリを選択するには、次の手順を実行します。

  1. 脅威解析センター」を参照して、「Live Discover」をクリックします。
  2. Live Discover 」で、「クエリ」セクションを開きます (まだ開いていない場合)。

    デザイナーモード」では、クエリを編集または作成できます。ソフォスが事前に準備したクエリを使用している場合は、これをオンにする必要はありません。

    「Live Discover」ページのスクリーンショット

  3. デフォルトで、「すべてのクエリ」タブが表示されます。クエリの種類に対応する他のタブをクリックすることもできます。

    • エンドポイントクエリ。接続しているエンドポイントから最新のデータを取得します。
    • Data Lake クエリ。エンドポイントが定期的にデータをアップロードする Data Lake からデータを取得します。使用可能な「カテゴリ」が表示されます。

    クエリのカテゴリのスクリーンショット

  4. 使用するカテゴリをクリックします。選択したカテゴリ内のクエリの一覧が表示されます。

    システムへの影響」は、クエリがデバイスのパフォーマンスに与える影響を、最新の使用状況に基づいて示したものです。

    クエリの一覧のスクリーンショット

  5. リストを短くするには、クエリをフィルタリング表示または検索します。

  6. 実行するクエリをクリックします。対応している OS やパフォーマンスデータなど、クエリの詳細が表示されます。

    選択したクエリのスクリーンショット

  7. 任意: Data Lake クエリを選択した場合、矢印をクリックして「期間の選択」を開き、クエリする期間を選択します。デフォルトは過去 7日間です。

    これは、スケジュールを設定するオプションではありません。クエリを実行する頻度ではなく、クエリの対象となる過去の期間を指定するものです。

    このオプションを使用して、大量のデータが生成されることがないようにできます。

    エンドポイントクエリを含む一部のクエリ (例: イベントジャーナルに対して実行するクエリ) では、変数で期間を指定することもできます。

    期間の選択

エンドポイントクエリを選択した場合は、クエリを実行するデバイスを選択します。

Data Lake クエリを選択した場合は、これで、クエリを実行またはスケジュールする準備ができました。詳細は、「クエリーの実行」を参照してください。

クエリを実行するデバイスの選択

エンドポイントクエリを選択した場合は、クエリを実行するデバイスを選択します。

Data Lake クエリを選択した場合、常にすべてのデバイスが含まれます。このセクションはスキップしてください。

  1. Live Discover」で、「デバイスのセレクタ」を開きます。

    選択可能なデバイス」には、Sophos Central の管理下にあるすべてのコンピュータとサーバーが表示されます。

    デバイスのセレクタのスクリーンショット

  2. 選択可能なデバイス」で、表示されているデバイスをフィルタリング表示します。たとえば、特定の OS のデバイスをクエリすることができます。「適用」をクリックします。

    完全に一致するテキストを入力する必要はなく、フィルタで大文字と小文字は区別されません。

    フィルタのスクリーンショット

  3. クエリを実行するデバイスを選択し、「選択したデバイスリストの更新」をクリックします。

    これによって、該当するデバイスが「選択済みデバイス」タブのリストに追加され、管理が簡単になります。

    選択したデバイスのスクリーンショット

  4. 任意: リストをさらに絞り込む場合は、選択済みデバイスをフィルタリング表示するか、デバイスの選択を解除します。これには、「選択済みデバイス」をクリックして、次の手順を実行します。

    • フィルタの表示」をクリックします。選択したデバイスをフィルタリング表示します。
    • デバイスの選択を解除し、「選択したデバイスリストの更新」をクリックします。

クエリの実行

クエリの設定が完了したら、それを実行できます。

各デバイスで、一度に最高 4つのクエリを実行できます。

選択するデバイスを変更したり、クエリの実行中にそのクエリを編集したりできます。

クエリを実行するには、次の手順を実行します。

  1. Live Discover」ページの下部で、「クエリの実行」をクリックします。

    「クエリの実行」ボタンのスクリーンショット

  2. 選択したクエリをはじめて実行する場合は、まず 1台のデバイスで実行してテストすることを推奨するメッセージが表示されます。前に戻って、選択したデバイスを編集するか、「クエリの実行」をクリックして続行します。

    テストされていないクエリに関する警告のスクリーンショット

  3. クエリの実行が終了すると、「クエリの結果」パネルが表示されます。次の事柄が表示されます。

    • 各デバイスに対して検出された項目。
    • 結果の項目に基づいて作成できる新しいクエリまたはアクション。省略記号アイコン 省略記号アイコン をクリックすると、オプションが表示されます。
    • デバイスの使用状況データ (結果の下を参照)。これは、クエリの実行速度および生成されるデータ量に関する情報です。詳細は、「Live Discover の使用状況データ」を参照してください。

    クエリの結果のスクリーンショット

    各プロセスに対して「Sophos PID」が表示されます。これは固有のプロセス ID です。これは再利用されないため、プロセス ID に基づいてクエリを作成しても、古いプロセスに関する結果が表示されることはありません。

設定した日時に実行されるように、クエリをスケジュール設定できます (Data Lake クエリのみ)。詳細は、スケジュール済みクエリを参照してください。

さらに詳細な解析を行うには、表示される結果に基づいて追加のクエリを実行できます。詳細は、「ピボットクエリ、エンリッチ化、アクションの使用」を参照してください。

ピボットクエリ、エンリッチ化、アクションの使用

クエリの結果を基にして、潜在的な脅威を検出するための追加のクエリを作成できます。

結果テーブルでは、一部の項目の横に省略記号アイコンが表示されます。 省略記号アイコンのスクリーンショット

アイコンをクリックすると、使用可能なアクションが表示されます。

  • クエリ。このような「ピボットクエリ」を使用すると、選択した項目に基づいて、新しいクエリをすばやく実行できます。使用方法の例は、「ピボットクエリ」を参照してください。
  • エンリッチ化。VirusTotal や IP Abuse DB などのオープンソースのサードパーティ Web サイトで、検出した潜在的な脅威に関する情報を参照します。
  • アクション。さらに検出または修復を実行します。たとえば、脅威グラフを作成してインシデントの詳細な解析を取得したり、Live Response を開始してコンピュータにアクセスして調査したりできます。

一部のピボット設定をカスタマイズできます。詳細は、エンリッチ化を参照してください。

トップへ