コンテンツにスキップ

Live Discover

Live Discover を使用して、Sophos Central の管理対象デバイスの確認、脅威の兆候の検索、コンプライアンスの状態の評価などを実行できます。

Sophosの他の機能で未検出の脅威の兆候がないかどうか、Live Discover クエリを使用してデバイスを検索できます。例:

  • レジストリの不審な変更。
  • 失敗した認証。
  • 非常にまれにしか実行されないプロセスの実行。

Sophos Central によって脅威が別の場所で検出された場合やユーザーがデバイス上で疑わしい動作を報告した場合など、疑わしい脅威や既知の脅威の兆候をデバイスで検索できます。

また、各デバイスのコンプライアンス状態を確認することもできます。たとえば、最新版でないソフトウェアや、設定が安全でないブラウザを検索できます。

このページでは、Live Discover の使用方法について説明しています。また、Sophos XDR トレーニングを修了することで、理解を深めることもできます。

Sophos Community を使用してクエリを共有したり、クエリを微調整できます。Live Discover Query Forum を参照してください。

サポートは次のようなかたちで提供しています。

  • ソフォスの事前定義されたクエリが機能しない場合、ソフォスサポートは、デバイスから Sophos Data Lake にデータがアップロードされるように支援します。
  • カスタムクエリへの支援が必要な場合は、 Live Discover Query Forum を参照するか、 ソフォスプロフェッショナルサービスにお問い合わせください。

クエリの動作方法

ソフォスでは、デバイスの確認に利用できる、さまざまなクエリを用意しています。そのまま使用することも、編集することもできます (osquery や SQL に精通している必要があります)。新しくクエリを作成することもできます。

クエリを実行して、異なるソースから情報を取得できます。

  • エンドポイントクエリは、現在接続されているデバイスから最新の情報を取得します。
  • Data Lake クエリは、デバイスが定期的にデータをアップロードする Data Lake から情報を取得します。また、Data Lake にデータを送信するように設定した他のソフォス製品 (Sophos Cloud Optix または Sophos Email など) から情報を得ることもできます。詳細は、Data Lake クエリを参照してください。
  • Data Lake クエリは、サードパーティのソースから情報を取得することもできます。Microsoft 365 の監査ログを追加できます。ソフォスは、これ以外のデータソースも追加しています。

操作を開始するには、まず、クエリを実行するリソースからデータを取得できることを確認します。デバイスからデータを取得する方法は、以下の手順に従ってください。

Sophos Cloud Optix と Microsoft 365 の監査ログからデータを取得する方法は、Data Lake へのアップロードを参照してください。

その後、以下のセクションにある説明に従って、クエリを設定して実行します。

データのデバイスからの取得

Data Lake を使用するには、Data Lake へのデータのアップロードをデバイスで有効化する必要があります。

データをアップロードするようにデバイスを設定するには、次の手順を実行します。

  1. マイプロダクト > 全般設定」の順に選択します。
  2. エンドポイントプロテクション」(サーバーの場合は「サーバープロテクション」) で、「Data Lake へのアップロード」をクリックします。
  3. Data Lake へのアップロード」をオンにします。

詳細は、Data Lake へのアップロードを参照してください。

Sophos Mobile の要件

モバイルデバイスからのデータに対して Data Lake クエリを使用する場合は、Sophos Central で Mobile Advanced ライセンスまたは Intercept X for Mobile ライセンス、および Sophos XDR を含む Intercept X ライセンスが必要です。

データをアップロードするようにモバイルデバイスを設定するには、次の手順を実行します。

  1. マイプロダクト > 全般設定」の順に選択します。
  2. モバイル」で、「Data Lake へのアップロード」をクリックします。
  3. Data Lake へのアップロード」をオンにします。

詳細は、Data Lake へのアップロードを参照してください。

クエリの選択

事前に準備されているクエリを選択するには、次の手順を実行します。

  1. 脅威解析センター」を参照して、「Live Discover」をクリックします。
  2. Live Discover 」で、「クエリ」セクションを開きます (まだ開いていない場合)。

    デザイナーモード」では、クエリを編集または作成できます。ソフォスが事前に準備したクエリを使用している場合は、これをオンにする必要はありません。

    「Live Discover」ページのスクリーンショット。

  3. デフォルトで、「すべてのクエリ」タブが表示されます。クエリの種類に対応する他のタブをクリックすることもできます。

    • エンドポイントクエリ。接続しているエンドポイントから最新のデータを取得します。
    • Data Lake クエリ。エンドポイントが定期的にデータをアップロードする Data Lake からデータを取得します。

    使用可能な「カテゴリ」が表示されます。

    クエリのカテゴリのスクリーンショット。

  4. 使用するカテゴリをクリックします。選択したカテゴリ内のクエリの一覧が表示されます。

    システムへの影響」は、クエリがデバイスのパフォーマンスに与える影響を、最新の使用状況に基づいて示したものです。

    クエリの一覧のスクリーンショット。

  5. リストを短くするには、クエリをフィルタリング表示または検索します。

  6. 実行するクエリをクリックします。対応している OS やパフォーマンスデータなど、クエリの詳細が表示されます。

    選択したクエリのスクリーンショット。

  7. 任意: Data Lake クエリを選択した場合、矢印をクリックして「期間の選択」を開き、クエリする期間を選択します。デフォルトは過去 7日間です。

    これは、スケジュールを設定するオプションではありません。クエリを実行する頻度ではなく、クエリの対象となる過去の期間を指定するものです。

    このオプションを使用して、大量のデータが生成されることがないようにできます。

    エンドポイントクエリを含む一部のクエリ (例: イベントジャーナルに対して実行するクエリ) では、変数で期間を指定することもできます。

    期間の選択。

エンドポイントクエリを選択した場合は、クエリを実行するデバイスを選択します。

Data Lake クエリを選択した場合は、これで、クエリを実行またはスケジュールする準備ができました。詳細は、「クエリーの実行」を参照してください。

クエリを実行するデバイスの選択

エンドポイントクエリを選択した場合は、クエリを実行するデバイスを選択します。

Data Lake クエリを選択した場合、常にすべてのデバイスが含まれます。このセクションはスキップしてください。

  1. Live Discover」で、「デバイスのセレクタ」を開きます。

    選択可能なデバイス」には、Sophos Central の管理下にあるすべてのコンピュータとサーバーが表示されます。

    デバイスのセレクタのスクリーンショット。

  2. 選択可能なデバイス」で、表示されているデバイスをフィルタリング表示します。たとえば、特定の OS のデバイスをクエリすることができます。「適用」をクリックします。

    完全に一致するテキストを入力する必要はなく、フィルタで大文字と小文字は区別されません。

    フィルタのスクリーンショット。

  3. クエリを実行するデバイスを選択し、「選択したデバイスリストの更新」をクリックします。

    これによって、該当するデバイスが「選択済みデバイス」タブのリストに追加され、管理が簡単になります。

    選択したデバイスのスクリーンショット。

  4. 任意: リストをさらに絞り込む場合は、選択済みデバイスをフィルタリング表示するか、デバイスの選択を解除します。これには、「選択済みデバイス」をクリックして、次の手順を実行します。

    • フィルタの表示」をクリックします。選択したデバイスをフィルタリング表示します。
    • デバイスの選択を解除し、「選択したデバイスリストの更新」をクリックします。

クエリの実行

クエリの設定が完了したら、それを実行できます。

各デバイスで、一度に最高 4つのクエリを実行できます。

選択するデバイスを変更したり、クエリの実行中にそのクエリを編集したりできます。

クエリを実行するには、次の手順を実行します。

  1. Live Discover」ページの下部で、「クエリの実行」をクリックします。

    「クエリの実行」ボタンのスクリーンショット。

  2. 選択したクエリをはじめて実行する場合は、まず 1台のデバイスで実行してテストすることを推奨するメッセージが表示されます。前に戻って、選択したデバイスを編集するか、「クエリの実行」をクリックして続行します。

    テストされていないクエリに関する警告のスクリーンショット。

  3. クエリの実行が終了すると、「クエリの結果」パネルが表示されます。次の事柄が表示されます。

    • 各デバイスに対して検出された項目。
    • 結果の項目に基づいて作成できる新しいクエリまたはアクション。省略記号アイコン 省略記号アイコン。 をクリックすると、オプションが表示されます。
    • デバイスの使用状況データ (結果の下を参照)。これは、クエリの実行速度および生成されるデータ量に関する情報です。詳細は、「Live Discover の使用状況データ」を参照してください。

    クエリの結果のスクリーンショット。

    各プロセスに対して「Sophos PID」が表示されます。これは固有のプロセス ID です。これは再利用されないため、プロセス ID に基づいてクエリを作成しても、古いプロセスに関する結果が表示されることはありません。

設定した日時に実行されるように、クエリをスケジュール設定できます (Data Lake クエリのみ)。詳細は、スケジュール済みクエリを参照してください。

さらに詳細な解析を行うには、表示される結果に基づいて追加のクエリを実行できます。詳細は、「ピボットクエリ、エンリッチ化、アクションの使用」を参照してください。

ピボットクエリ、エンリッチ化、アクションの使用

クエリの結果を基にして、潜在的な脅威を検出するための追加のクエリを作成できます。

結果テーブルでは、一部の項目の横に省略記号アイコンが表示されます。 省略記号アイコンのスクリーンショット。

アイコンをクリックすると、使用可能なアクションが表示されます。

  • クエリ。このような「ピボットクエリ」を使用すると、選択した項目に基づいて、新しいクエリをすばやく実行できます。使用方法の例は、「ピボットクエリ」を参照してください。
  • エンリッチ化。VirusTotal などの Web サイトを開いて、検出した潜在的な脅威を検索します。利用可能な場合は、SophosLabs Intelix レポートを開くこともできます。詳細は、Intelix レポートを参照してください。
  • アクション: さらに検出または修復を実行します。たとえば、脅威グラフを作成してインシデントの詳細な解析を取得したり、Live Response を開始してコンピュータにアクセスして調査したりできます。

一部のピボット設定をカスタマイズできます。詳細は、エンリッチ化を参照してください。