Pular para o conteúdo

Permalink da página

Sempre use o permalink a seguir ao fazer referência a esta página. Ele permanecerá inalterado nas versões de ajuda futuras.

https://docs.sophos.com/central/customer/help/pt-br/index.html?contextId=LiveDiscoverDataLakeUploads

Uploads ao Data Lake

Você pode configurar dispositivos e produtos para carregar dados de segurança para um Data Lake para consultá-los com o Live Discover.

Nota

Os uploads ao Data Lake são desativados por padrão para que os clientes possam decidir quais dispositivos excluir antes de ativar os uploads. Os clientes com grandes ambientes podem sentir um aumento repentino no tráfego de rede se os uploads estiverem ativados por padrão.

Hospedamos o Data Lake na nuvem para você, mas você pode controlar os uploads de dados.

Você pode adicionar dados de fontes de terceiros ao nosso Data Lake. Você pode então incluir esses dados em suas consultas. Você pode combiná-los com dados dos produtos Sophos. No momento, você pode adicionar dados de log de auditoria do Microsoft 365. Estamos adicionando mais fontes de dados de terceiros a esse recurso.

Siga este procedimento:

  • Ative uploads para todos os dispositivos.
  • Desative uploads para dispositivos específicos. Isso é útil para o caso de esses dispositivos enviarem muitos dados ou se você precisar solucionar problemas.
  • Ative uploads para todos os ambientes de nuvem do Sophos Cloud Optix.
  • Ative uploads para ambientes de nuvem específicos do Sophos Cloud Optix.
  • Crie uma conexão com o domínio do Microsoft 365 e carregue os dados do log de auditoria.

Para obter ajuda com o Live Discover, consulte Live Discover.

Ativar uploads de dispositivos

Restrição

Para alterar essas configurações, é preciso ser um Super Admin ou Admin, ou ter uma função personalizada com acesso Completo ao Endpoint Protection ou ao Server Protection. Consulte Adicionar uma função personalizada.

Você deve configurar os uploads separadamente para computadores e servidores.

Configure uploads de dispositivos da seguinte forma.

  1. Vá para Meus produtos > Configurações gerais.
  2. Em Proteção de Endpoint (ou Server Protection, para servidores), clique em Uploads ao Data Lake.

  3. Ative Carregar para o Data Lake.

    Se você tiver o Sophos Managed Detection and Response (MDR), os dispositivos carregarão dados automaticamente, independentemente dessa configuração. No entanto, você pode desativar uploads para dispositivos específicos.

  4. Opcional: Para desativar uploads para dispositivos específicos, faça o seguinte:

    1. Em Exclusões, selecione dispositivos na lista Disponíveis.
    2. Mova os dispositivos para a lista Excluídos.

Ativar uploads para Sophos Mobile

Para usar consultas do Data Lake em dados do Sophos Mobile, você precisa de uma licença Mobile Advanced ou Intercept X for Mobile no Sophos Central e de uma licença de Endpoint, Server ou MDR que inclua o Sophos XDR.

Configure uploads do Sophos Mobile da seguinte forma.

  1. Vá para Meus produtos > Configurações gerais.
  2. Em Mobile, clique em Uploads ao Data Lake.
  3. Ative Carregar para o Data Lake.

  4. Opcional: Selecione Registro da rede em log para carregar para o Data Lake, os dados de log da rede, tais como endereços IP, portas, carimbos de hora/hora e aplicativos envolvidos.

    O registro da rede em log está disponível para os seguintes dispositivos:

    • Dispositivos Android nos quais o Sophos Mobile gerencia o aplicativo Sophos Mobile Control.
    • iPhones e iPads nos quais o Sophos Mobile gerencia o aplicativo Sophos Intercept X for Mobile.

Os dados que carregamos dependem do modo de gerenciamento do dispositivo. Por exemplo, há mais dados disponíveis para um dispositivo Android Enterprise totalmente gerenciado do que para um dispositivo em que o Sophos Mobile gerencia apenas o Sophos Intercept X for Mobile.

No momento, não carregamos dados para computadores Windows e Macs gerenciados pelo Sophos Mobile.

Ativar uploads para Sophos Cloud Optix

Você deve ser um Super Admin no Sophos Cloud Optix Advanced para ativar uploads do Data Lake no Sophos Cloud Optix.

Se quiser usar consultas do Data Lake em dados de seus ambientes de nuvem, você precisa de uma licença do Sophos Cloud Optix Advanced no Sophos Central e uma licença do Intercept X que inclua o Sophos XDR.

Para ativar os uploads do Sophos Cloud Optix, siga este procedimento.

  1. Faça login no Sophos Cloud Optix.
  2. Vá para Configurações > Avançadas.

  3. Ative Uploads de dados XDR.

    Você pode carregar dados de registro de atividades para ambientes de nuvem específicos ou para todos os seus ambientes.

Os dados são carregados na ordem em que são ingeridos pelo Sophos Cloud Optix. Os dados mais recentes são carregados primeiro.

Ativar uploads para logs de auditoria do Microsoft 365

Você pode adicionar dados do log de auditoria do Microsoft 365 ao Data Lake.

Você deve ser um administrador do Microsoft 365.

A auditoria deve estar ativada no Microsoft 365. Caso contrário, você será solicitado a ativá-lo durante a configuração.

Para adicionar dados do Microsoft 365 ao Data Lake, faça o seguinte:

  1. Clique em Integrações de terceiros.
  2. Clique em Logs de atividade do usuário do Microsoft 365.
  3. Na página Conexão Microsoft 365 - Status/configurações de domínios, clique em + Adicionar Conexão Microsoft 365.

  4. Opcional: Se a auditoria não estiver ativada, você pode clicar no link na página Ativar auditoria Microsoft 365.

    Isso leva você ao Microsoft 365. Você pode ativar a auditoria e voltar para o Sophos Central. Consulte Ativar ou desativar a auditoria. Você pode ser solicitado pela Microsoft para se autenticar para ativar a auditoria.

    Nota

    Pode levar até 12 horas para que os dados do log de auditoria do Microsoft 365 sejam exibidos depois que você ativar a auditoria.

  5. Clique em Avançar.

    Você será direcionado ao Microsoft 365 para autenticação.

  6. Siga as instruções da Microsoft para conceder permissão para criar um aplicativo no Microsoft 365.

    Você será solicitado a autorizar pelo menos uma vez, de acordo com o seu ambiente do Microsoft 365.

    A conexão deve levar cerca de um minuto.

O novo domínio aparece em Conexão Microsoft 365 - Status/configurações de domínios.

Em Live Discover > Consulta, é exibida uma nova categoria de Dados de auditoria do Microsoft 365. Você pode realizar as consultas nesta categoria em seus dados do Microsoft 365.