コンテンツにスキップ

ページのパーマリンク

このページを参照する際は、常に以下のパーマリンクを使用してください。今後ヘルプが更新されても、パーマリンクは変更されません。

https://docs.sophos.com/central/customer/help/ja-jp/index.html?contextId=LiveDiscover

Live Discover

データ収集および調査に関する新方針の導入に伴い、一部の機能が移動または名称変更されます。

Live Discover を使用して、Sophos Central の管理対象デバイスの確認、脅威の兆候の検索、コンプライアンスの状態の評価などを実行できます。

Sophosの他の機能で未検出の脅威の兆候がないかどうか、Live Discover クエリを使用してデバイスを検索できます。例:

  • レジストリの不審な変更。
  • 失敗した認証。
  • 非常にまれにしか実行されないプロセスの実行。

Sophos Central によって脅威が別の場所で検出された場合やユーザーがデバイス上で疑わしい動作を報告した場合など、疑わしい脅威や既知の脅威の兆候をデバイスで検索できます。

また、各デバイスのコンプライアンス状態を確認することもできます。たとえば、最新版でないソフトウェアや、設定が安全でないブラウザを検索できます。

このページでは、Live Discover の使用方法について説明しています。また、Sophos XDR トレーニングを修了することで、理解を深めることもできます。

Sophos Community を使用してクエリを共有したり、クエリを微調整できます。Live Discover Query Forum を参照してください。

サポートは次のようなかたちで提供しています。

  • ソフォスの事前定義されたクエリが機能しない場合、ソフォスサポートは、デバイスから Sophos Data Lake にデータがアップロードされるように支援します。
  • カスタムクエリへの支援が必要な場合は、 Live Discover Query Forum を参照するか、 ソフォス プロフェッショナ ルサービスにお問い合わせください。

クエリの動作方法

ソフォスでは、デバイスの確認に利用できる、さまざまなクエリを用意しています。そのまま使用することも、編集することもできます (osquery や SQL に精通している必要があります)。新しくクエリを作成することもできます。

クエリを実行して、異なるソースから情報を取得できます。

  • エンドポイントクエリは、現在接続されているデバイスから最新の情報を取得します。
  • Data Lake クエリは、デバイスが定期的にデータをアップロードする Data Lake から情報を取得します。

操作を開始するには、まず、クエリを実行するリソースからデータを取得できることを確認します。デバイスからデータを取得する方法は、以下の手順に従ってください。

その後、以下のセクションにある説明に従って、クエリを設定して実行します。

データのデバイスからの取得

Data Lake を使用するには、デバイスが Data Lake にデータをアップロードできることを確認する必要があります。

デフォルトでは、エンドポイントプロテクションまたはサーバープロテクションを実行しているデバイスでは、Data Lake アップロードがオンになっています。この設定を確認するには、次の手順を実行します。

  1. マイプロダクト > Endpoint またはServer」の順に選択します。
  2. ポリシー」をクリックします。
  3. データの収集と調査」のポリシーをクリックします。
  4. Data Lake へのアップロード」がオンになっていることを確認してください。

Sophos Mobile からデータをアップロードできます。詳細は、Sophos Mobile からのアップロードをオンにするを参照してください。

他のソフォス製品およびサードパーティセキュリティ製品からもデータをアップロードできます。これを行うには、それらの製品を Sophos Central と統合します。製品の一覧については、製品を参照してください。

クエリの選択

事前に準備されているクエリを選択するには、次の手順を実行します。

  1. 脅威解析センター」を参照して、「Live Discover」をクリックします。

  2. Live Discover 」で、「クエリ」セクションを開きます (まだ開いていない場合)。

    デザイナーモード」では、クエリを編集または作成できます。ソフォスが事前に準備したクエリを使用している場合は、これをオンにする必要はありません。

    「Live Discover」ページのスクリーンショット。

  3. デフォルトで、「すべてのクエリ」タブが表示されます。クエリの種類に対応する他のタブをクリックすることもできます。

    • エンドポイントクエリ。接続しているエンドポイントから最新のデータを取得します。
    • Data Lake クエリ。エンドポイントが定期的にデータをアップロードする Data Lake からデータを取得します。

    使用可能な「カテゴリ」が表示されます。

    クエリのカテゴリのスクリーンショット。

  4. 使用するカテゴリをクリックします。選択したカテゴリ内のクエリの一覧が表示されます。

    システムへの影響」は、クエリがデバイスのパフォーマンスに与える影響を、最新の使用状況に基づいて示したものです。

    クエリの一覧のスクリーンショット。

  5. リストを短くするには、クエリをフィルタリング表示または検索します。

  6. 実行するクエリをクリックします。対応している OS やパフォーマンスデータなど、クエリの詳細が表示されます。

    選択したクエリのスクリーンショット。

  7. 任意: Data Lake クエリを選択した場合、矢印をクリックして「期間の選択」を開き、クエリする期間を選択します。デフォルトは過去 7日間です。

    これは、スケジュールを設定するオプションではありません。クエリを実行する頻度ではなく、クエリの対象となる過去の期間を指定するものです。

    このオプションを使用して、大量のデータが生成されることがないようにできます。

    エンドポイントクエリを含む一部のクエリ (例: イベントジャーナルに対して実行するクエリ) では、変数で期間を指定することもできます。

    期間の選択。

エンドポイントクエリを選択した場合は、クエリを実行するデバイスを選択します。

Data Lake クエリを選択した場合は、これで、クエリを実行またはスケジュールする準備ができました。詳細は、「クエリーの実行」を参照してください。

クエリを実行するデバイスの選択

エンドポイントクエリを選択した場合は、クエリを実行するデバイスを選択します。

Data Lake クエリを選択した場合、常にすべてのデバイスが含まれます。このセクションはスキップしてください。

  1. Live Discover」で、「デバイスのセレクタ」を開きます。

    選択可能なデバイス」には、Sophos Central の管理下にあるすべてのコンピュータとサーバーが表示されます。

    デバイスのセレクタのスクリーンショット。

  2. 選択可能なデバイス」で、表示されているデバイスをフィルタリング表示します。たとえば、特定の OS のデバイスをクエリすることができます。「適用」をクリックします。

    完全に一致するテキストを入力する必要はなく、フィルタで大文字と小文字は区別されません。

    フィルタのスクリーンショット。

  3. クエリを実行するデバイスを選択し、「選択したデバイスリストの更新」をクリックします。

    これによって、該当するデバイスが「選択済みデバイス」タブのリストに追加され、管理が簡単になります。

    選択したデバイスのスクリーンショット。

  4. 任意: リストをさらに絞り込む場合は、選択済みデバイスをフィルタリング表示するか、デバイスの選択を解除します。これには、「選択済みデバイス」をクリックして、次の手順を実行します。

    • フィルタの表示」をクリックします。選択したデバイスをフィルタリング表示します。
    • デバイスの選択を解除し、「選択したデバイスリストの更新」をクリックします。

クエリの実行

クエリの設定が完了したら、それを実行できます。

各デバイスで、一度に最高 4つのクエリを実行できます。

選択するデバイスを変更したり、クエリの実行中にそのクエリを編集したりできます。

クエリを実行するには、次の手順を実行します。

  1. Live Discover」ページの下部で、「クエリの実行」をクリックします。

    「クエリの実行」ボタンのスクリーンショット。

  2. 選択したクエリをはじめて実行する場合は、まず 1台のデバイスで実行してテストすることを推奨するメッセージが表示されます。前に戻って、選択したデバイスを編集するか、「クエリの実行」をクリックして続行します。

    テストされていないクエリに関する警告のスクリーンショット。

  3. クエリの実行が終了すると、「クエリの結果」パネルが表示されます。次の事柄が表示されます。

    • 各デバイスに対して検出された項目。
    • 結果の項目に基づいて作成できる新しいクエリまたはアクション。省略記号アイコン 省略記号アイコン。 をクリックすると、オプションが表示されます。
    • デバイスの使用状況データ (結果の下を参照)。これは、クエリの実行速度および生成されるデータ量に関する情報です。詳細は、「Live Discover の使用状況データ」を参照してください。

    クエリの結果のスクリーンショット。

    各プロセスに対して「Sophos PID」が表示されます。これは固有のプロセス ID です。これは再利用されないため、プロセス ID に基づいてクエリを作成しても、古いプロセスに関する結果が表示されることはありません。

設定した日時に実行されるように、クエリをスケジュール設定できます (Data Lake クエリのみ)。詳細は、スケジュール済みクエリを参照してください。

さらに詳細な解析を行うには、表示される結果に基づいて追加のクエリを実行できます。詳細は、「ピボットクエリ、エンリッチ化、アクションの使用」を参照してください。

ピボットクエリ、エンリッチ化、アクションの使用

クエリの結果を基にして、潜在的な脅威を検出するための追加のクエリを作成できます。

結果テーブルでは、一部の項目の横に省略記号アイコンが表示されます。 省略記号アイコンのスクリーンショット。

アイコンをクリックすると、使用可能なアクションが表示されます。

  • クエリ。このような「ピボットクエリ」を使用すると、選択した項目に基づいて、新しいクエリをすばやく実行できます。使用方法の例は、「ピボットクエリ」を参照してください。
  • エンリッチ化。VirusTotal などの Web サイトを開いて、検出した潜在的な脅威を検索します。利用可能な場合は、SophosLabs Intelix レポートを開くこともできます。詳細は、Intelix レポートを参照してください。
  • アクション: さらに検出または修復を実行します。たとえば、脅威グラフを作成してインシデントの詳細な解析を取得したり、Live Response を開始してコンピュータにアクセスして調査したりできます。

一部のピボット設定をカスタマイズできます。詳細は、エンリッチ化を参照してください。