Pular para o conteúdo

Permalink da página

Sempre use o permalink a seguir ao fazer referência a esta página. Ele permanecerá inalterado nas versões de ajuda futuras.

https://docs.sophos.com/central/customer/help/pt-br/index.html?contextId=LiveDiscover

Live Discover

O Live Discover permite verificar os dispositivos que o Sophos Central está gerenciando, procurar sinais de uma ameaça ou avaliar a conformidade.

Você pode usar as consultas do Live Discover para procurar nos dispositivos sinais de ameaças que não foram detectadas por outros recursos da Sophos. Por exemplo:

  • Alterações incomuns ao registro.
  • Falha nas autenticações.
  • Um processo em execução que é muito raramente executado.

Você também pode procurar sinais de uma ameaça suspeita ou conhecida nos dispositivos, caso o Sophos Central tenha encontrado a ameaça em outro lugar ou se um usuário relatar comportamento suspeito em seu dispositivo.

Você também pode verificar a conformidade de cada dispositivo. Por exemplo, você pode procurar por softwares desatualizados ou navegadores com configurações não seguras.

A página descreve como usar o Live Discover: Você também pode se familiarizar com ele concluindo o Treinamento no Sophos XDR.

Você pode usar a Sophos Community para compartilhar consultas ou adaptá-las. Consulte Live Discover Query Forum.

Você encontrará suporte conforme abaixo:

  • Se as consultas predefinidas do Sophos não estiverem funcionando, o Suporte da Sophos pode ajudar a garantir que os dados sejam carregados de seus dispositivos para o Sophos Data Lake.
  • Se precisar de ajuda com consultas personalizadas, consulte o Live Discover Query Forum ou entre em contato com o Sophos Professional Services.

Como as consultas funcionam

Fornecemos uma gama de consultas para você usar para verificar os seus dispositivos. É possível usá-las como estão ou editá-las (será preciso estar familiarizado com osquery ou SQL). Você também pode criar consultas.

Você pode executar consultas para obter informações de diferentes fontes:

  • As consultas de endpoint obtêm as informações mais recentes dos dispositivos que estão conectados no momento.
  • As consultas de Data Lake obtêm informações de um Data Lake para o qual os dispositivos carregam seus dados regularmente. Elas também podem obter informações de outros produtos da Sophos que você configurou para enviar dados para o Data Lake, por exemplo Sophos Cloud Optix ou Sophos Email. Consulte Consultas ao Data Lake.
  • As consultas do Data Lake também podem obter informações de fontes de terceiros. Você pode adicionar logs de auditoria do Microsoft 365 e estamos adicionando mais fontes de dados.

Para começar, verifique se você pode obter dados dos recursos que deseja consultar. Para saber como obter dados de dispositivos, siga as instruções abaixo.

Para saber como obter dados a partir de logs de auditoria do Microsoft 365 e do Sophos Cloud Optix, consulte Uploads ao Data Lake.

Em seguida, configure e realize consultas conforme descrito nas seções posteriores.

Obter dados de dispositivos

Se quiser usar consultas do Data Lake, você deve habilitar seus dispositivos para carregar dados no Data Lake.

Para configurar seus dispositivos para fazer upload de dados, siga este procedimento:

  1. Vá para Meus produtos > Configurações gerais.
  2. Em Endpoint Protection (ou Server Protection, para servidores), clique em Uploads ao Data Lake.
  3. Ative Carregar para o Data Lake.

Para obter mais informações, consulte Uploads ao Data Lake.

Requisitos para Sophos Mobile

Se quiser usar consultas do Data Lake em dados de seus dispositivos móveis, você precisa de uma licença Mobile Advanced ou Intercept X for Mobile no Sophos Central e de uma licença do Intercept X que inclua o Sophos XDR.

Para configurar seus dispositivos móveis para fazer upload de dados, siga este procedimento.

  1. Vá para Meus produtos > Configurações gerais.
  2. Em Mobile, clique em Uploads ao Data Lake.
  3. Ative Carregar para o Data Lake.

Para obter mais informações, consulte Uploads ao Data Lake.

Selecionar consulta

Para selecionar uma consulta pré-formulada, faça o seguinte:

  1. Vá até Centro de Análise de Ameaças e clique em Live Discover.

  2. No Live Discover, abra a seção Consulta (se ainda não estiver aberta).

    O Modo Designer permite editar ou criar consultas. Você não precisa ativá-lo se estiver usando nossas consultas pré-formuladas.

    Captura de tela da página do Live Discover.

  3. Por padrão, você verá a guia Todas as Consultas. Se preferir, clique na guia do tipo de consulta desejado:

    • Consultas ao Endpoint. Isso lhe dá os dados mais recentes dos endpoints conectados.
    • Consultas ao Data Lake. Isso lhe dá os dados de um Data Lake para o qual os endpoints carregam seus dados regularmente.

    Você verá as Categorias que estão disponíveis.

    Captura de tela das categorias de consulta.

  4. Clique na categoria que deseja utilizar. Isso mostra uma lista das consultas na categoria.

    Impacto do sistema indica o efeito que a consulta tem no desempenho do dispositivo com base no uso recente.

    Captura de tela da lista de consultas.

  5. Filtre ou pesquise as consultas se quiser encurtar a lista.

  6. Clique na consulta que deseja executar. Isso exibe os detalhes da consulta, incluindo os sistemas operacionais suportados e os dados de desempenho.

    Captura de tela de uma consulta selecionada.

  7. Opcional: Se você selecionou uma consulta do Data Lake, clique na seta para abrir Selecionar um período e selecione um período para a consulta. O padrão são os últimos 7 dias.

    Essa opção não é um agendamento. Ela especifica em quantos dados passados a consulta é executada, não a frequência com que ela é executada.

    Você pode usar essa opção para evitar a geração de dados em excesso.

    Algumas consultas, incluindo consultas de endpoint, também permitem especificar um período de tempo em suas variáveis (por exemplo, consultas executadas em diários de eventos).

    Seletor de período de tempo.

Se você selecionou uma consulta de endpoint, selecione os dispositivos para consultar.

Se selecionou uma consulta do Data Lake, você está pronto para executar ou agendar a consulta. Consulte "Executar uma consulta".

Selecionar dispositivos para consulta

Se você selecionou uma consulta de endpoint, selecione os dispositivos que deseja consultar.

Se você selecionou uma consulta do Data Lake, todos os dispositivos serão sempre incluídos. Ignore esta seção.

  1. No Live Discover, abra o Seletor de dispositivos.

    Dispositivos disponíveis mostra todos os computadores e servidores que são gerenciados pelo Sophos Central.

    Captura de tela do seletor de dispositivos.

  2. Em Dispositivos disponíveis, filtre os dispositivos apresentados. Por exemplo, você pode querer consultar dispositivos com um sistema operacional específico. Clique em Aplicar.

    Você não precisa inserir uma correspondência exata e os filtros não diferenciam maiúsculas de minúsculas.

    Captura de tela dos filtros.

  3. Selecione os dispositivos que deseja consultar e clique em Atualizar lista de dispositivos selecionados.

    Isso adiciona os dispositivos a uma lista na guia Dispositivos selecionados, onde você pode gerenciá-los facilmente.

    Captura de tela dos dispositivos selecionados.

  4. Opcional: Se quiser refinar ainda mais a lista, você pode filtrar os dispositivos selecionados ou desmarcar dispositivos. Para isso, clique em Dispositivos selecionados e siga este procedimento:

    • Clique em Exibir filtros. Filtre os dispositivos selecionados.
    • Desmarque os dispositivos e clique em Atualizar lista de dispositivos selecionados.

Executar consulta

Quando tiver acabado de configurar a consulta, você poderá executá-la.

Você pode executar até quatro consultas em dispositivos ao mesmo tempo.

Nota

Você pode alterar os dispositivos selecionados ou editar a consulta enquanto ela estiver sendo executada.

Para executar uma consulta, faça o seguinte.

  1. Na parte inferior da página Live Discover, clique em Executar consulta.

    Captura de tela do botão Executar consulta.

  2. Se você não executou a consulta antes, uma mensagem recomenda que você a execute em um dispositivo para testá-la. Volte para editar os dispositivos selecionados ou clique em Executar consulta para prosseguir.

    Captura de tela do aviso de consulta não testada.

  3. Quando a consulta parar de ser executada, você vê o painel de resultados da consulta. Ela mostra:

    • Itens encontrados para cada dispositivo.
    • Novas consultas ou ações que você pode basear em itens nos resultados. Clique em um ícone de reticências Ícone de reticências. para ver as opções.
    • Telemetria do dispositivo (abaixo dos resultados). Essas são informações sobre a velocidade da consulta e a quantidade de dados que ela gera. Consulte "Telemetria do Live Discover".

    Captura de tela dos resultados da consulta.

    Você verá um Sophos PID para processos. Esse é um ID de processo exclusivo. Nunca o reutilizamos, assim as consultas baseadas nele não obtêm resultados indesejados sobre processos mais antigos.

Você pode agendar algumas consultas para serem executadas em horários definidos (somente consultas do Data Lake). Consulte Consultas agendadas.

Para fazer análises adicionais, você pode executar consultas com base nos resultados. Consulte "Usar consultas dinâmicas, enriquecimentos e ações."

Usar consultas dinâmicas, enriquecimentos e ações

Você pode usar os resultados da sua consulta como base para consultas adicionais que podem ser usadas em ameaças potenciais.

Na tabela de resultados, você verá um ícone de reticências ao lado de alguns itens. Captura de tela do ícone de reticências.

Clique no ícone para ver as ações disponíveis:

  • Consultas. Essas "consultas dinâmicas" permitem que você execute rapidamente uma nova consulta com base no item selecionado. Para ver um exemplo de como usá-las, consulte "Consultas dinâmicas".
  • Enriquecimentos. Abrem sites, como o VirusTotal, para procurar por uma possível ameaça que encontramos. Eles também podem abrir relatórios do SophosLabs Intelix se estiverem disponíveis. Consulte Relatórios Intelix.
  • Ações. Oferecem mais detecção ou correção. Por exemplo, você pode abrir um gráfico de ameaça, para obter uma análise detalhada de um incidente, ou iniciar o Live Response para acessar e investigar um computador.

Você pode personalizar algumas configurações dinâmicas. Consulte Enriquecimentos.