Pular para o conteúdo

Uploads ao Data Lake

Você pode configurar dispositivos e produtos para carregar dados de segurança para um Data Lake para consultá-los com o Live Discover.

Hospedamos o Data Lake na nuvem para você, mas você pode controlar os uploads de dados.

Você pode adicionar dados de fontes de terceiros ao nosso Data Lake. Você pode então incluir esses dados em suas consultas. Você pode combiná-los com dados dos produtos Sophos. No momento, você pode adicionar dados de log de auditoria do Microsoft 365. Estamos adicionando mais fontes de dados de terceiros a esse recurso.

Siga este procedimento:

  • Ative uploads para todos os dispositivos.
  • Desative uploads para dispositivos específicos. Isso é útil para o caso de esses dispositivos enviarem muitos dados ou se você precisar solucionar problemas.
  • Ative uploads para todos os ambientes de nuvem do Sophos Cloud Optix.
  • Ative uploads para ambientes de nuvem específicos do Sophos Cloud Optix.
  • Crie uma conexão com o domínio do Microsoft 365 e carregue os dados do log de auditoria.

Para obter ajuda com o Live Discover, consulte Live Discover.

Ativar uploads de dispositivos

Restrição

Para alterar essas configurações, é preciso ser um Super Admin ou Admin, ou ter uma função personalizada com acesso Completo ao Endpoint Protection ou ao Server Protection. Consulte Adicionar uma função personalizada.

Você deve configurar os uploads separadamente para computadores e servidores.

Configure uploads de dispositivos da seguinte forma.

  1. Vá para Configurações globais.
  2. Em Proteção de Endpoint (ou Server Protection, para servidores), clique em Uploads ao Data Lake.
  3. Ative Carregar para o Data Lake.

    Se você tiver o Sophos Managed Threat Response (MTR), os dispositivos carregarão dados automaticamente, independentemente dessa configuração. No entanto, você pode desativar uploads para dispositivos específicos.

  4. Opcional: Para desativar uploads para dispositivos específicos, faça o seguinte:

    1. Em Exclusões, selecione dispositivos na lista Disponíveis.
    2. Mova os dispositivos para a lista Excluídos.

Ativar uploads para Sophos Mobile

Configure uploads do Sophos Mobile da seguinte forma.

  1. Vá para Configurações globais.
  2. Em Mobile, clique em Uploads ao Data Lake.
  3. Ative Carregar para o Data Lake.

Os dados que carregamos dependem do modo de gerenciamento do dispositivo. Por exemplo, há mais dados disponíveis para um dispositivo Android Enterprise totalmente gerenciado do que para um dispositivo em que o Sophos Mobile gerencia apenas o Sophos Intercept X for Mobile.

No momento, não carregamos dados para computadores Windows e Macs gerenciados pelo Sophos Mobile.

Ativar uploads para Sophos Cloud Optix

Você deve ser um Super Admin no Sophos Cloud Optix Advanced para ativar uploads do Data Lake no Sophos Cloud Optix.

Se quiser usar consultas do Data Lake em dados de seus ambientes de nuvem, você precisa de uma licença do Sophos Cloud Optix Advanced no Sophos Central e uma licença do Intercept X que inclua o Sophos XDR.

Para ativar os uploads do Sophos Cloud Optix, siga este procedimento.

  1. Faça login no Sophos Cloud Optix.
  2. Vá para Configurações > Avançadas.
  3. Ative Uploads de dados XDR.

    Você pode carregar dados de registro de atividades para ambientes de nuvem específicos ou para todos os seus ambientes.

Os dados são carregados na ordem em que são ingeridos pelo Sophos Cloud Optix. Os dados mais recentes são carregados primeiro.

Ativar uploads para logs de auditoria do Microsoft 365

Você pode adicionar dados do log de auditoria do Microsoft 365 ao Data Lake.

Você deve ser um administrador do Microsoft 365.

A auditoria deve estar ativada no Microsoft 365. Caso contrário, você será solicitado a ativá-lo durante a configuração.

Para adicionar dados do Microsoft 365 ao Data Lake, faça o seguinte:

  1. Clique em Integrações de terceiros.
  2. Clique em Logs de atividade do usuário do Microsoft 365.
  3. Na página Conexão Microsoft 365 - Status/configurações de domínios, clique em + Adicionar Conexão Microsoft 365.
  4. Opcional: Se a auditoria não estiver ativada, você pode clicar no link na página Ativar auditoria Microsoft 365.

    Isso leva você ao Microsoft 365. Você pode ativar a auditoria e voltar para o Sophos Central. Consulte Ativar ou desativar a auditoria. Você pode ser solicitado pela Microsoft para se autenticar para ativar a auditoria.

    Nota

    Pode levar até 12 horas para que os dados do log de auditoria do Microsoft 365 sejam exibidos depois que você ativar a auditoria.

  5. Clique em Avançar.

    Você será direcionado ao Microsoft 365 para autenticação.

  6. Siga as instruções da Microsoft para conceder permissão para criar um aplicativo no Microsoft 365.

    Você será solicitado a autorizar pelo menos uma vez, de acordo com o seu ambiente do Microsoft 365.

    A conexão deve levar cerca de um minuto.

O novo domínio aparece em Conexão Microsoft 365 - Status/configurações de domínios.

Em Live Discover > Consulta, é exibida uma nova categoria de Dados de auditoria do Microsoft 365. Você pode realizar as consultas nesta categoria em seus dados do Microsoft 365.

Voltar ao topo