跳至內容
部分或全部頁面已經過機器翻譯。

Data Lake 上傳

您可以設定裝置和產品將安全性資料上傳至 Data Lake,以便使用 Live Discover 查詢。

注意

預設情況下,Data Lake 上傳功能處於關閉狀態,以便客戶可以在開啟上傳之前決定要排除哪些裝置。如果預設情況下上傳處於開啟狀態,大型環境客戶可能會遇到網路流量突然增加的情況。

我們在雲端為您代管 Data Lake,但您可以控制向其上傳資料。

您可以將協力廠商來源的資料新增至我們的 Data Lake。您可以在查詢中包含此資料。您可以將其與 Sophos 產品的資料結合使用。您目前可以新增 Microsoft 365 稽核記錄資料。我們正在爲此功能新增更多協力廠商資料來源。

您可以執行以下操作:

  • 開啟所有裝置的上傳。
  • 關閉特定裝置的上傳。如果這些裝置傳送太多資料或您需要進行疑難排解,則可能需要執行此操作。
  • 開啟所有 Sophos Cloud Optix 雲端環境的上傳。
  • 開啟特定 Sophos Cloud Optix 雲端環境的上傳。
  • 建立與 Microsoft 365 網域的連線,並上傳稽核記錄資料。

有關 Live Discover 的說明,請參見 Live Discover

開啟裝置上傳。

限制

若要變更裝置上傳的設定,您必須是超級管理員或管理員,或者是擁有 端點保護伺服器防護完整 存取權限的客戶角色。請參閱新增自訂角色

您必須為電腦和伺服器分別設定上傳。

按以下方式設定裝置上傳。

  1. 移至我的產品 > 一般設定
  2. 端點防護 下(或伺服器的 伺服器保護),按一下 Data Lake 上傳
  3. 開啟 上傳到 Data Lake

    如果您有 Sophos Managed Detection and Response (MDR),裝置將自動上傳資料,而不管此設定如何。但是,您也可以關閉特定裝置的上傳功能。

  4. 可選:若要關閉特定裝置的上傳功能,請執行下列動作:

    1. 排除項下,選取 可用 清單中的裝置。
    2. 將裝置移至 已排除 清單。

開啟 Sophos Mobile 上傳。

如果要對雲端環境中的資料使用 Data Lake 查詢,則需要 Sophos Central 中的 Mobile Advanced 或 Intercept X for Mobile 授權,以及包含 Sophos XDR 的 Intercept X 授權。

按以下方式設定 Sophos Mobile 上傳。

  1. 移至我的產品 > 一般設定
  2. 行動裝置下,按一下 Data Lake 上傳
  3. 開啟 上傳到 Data Lake
  4. 可選:選取網路日誌記錄,將網路記錄資料(如 IP 位址、連接埠、時間戳記和相關應用程式)上傳至 Data Lake。

    網路日誌記錄可用於以下設備:

    • 網路日誌記錄適用於其中 Sophos Mobile 管理 Sophos Mobile Control 應用程式的 Android 裝置。
    • 網路日誌記錄很快將可用於其中 Sophos Mobile 管理 Sophos Intercept X for Mobile 應用程式的 iPhone 和 iPad。

我們上傳的資料取決於裝置管理模式。例如,與 Sophos Mobile 僅管理 Sophos Intercept X for Mobile 的裝置相比,Android Enterprise 完全託管裝置的可用資料更多。

我們目前不上傳由 Sophos Mobile 管理的 Windows 電腦和 Mac 的資料 。

開啟 Sophos Cloud Optix 上傳。

您必須是 Sophos Cloud Optix Advanced 中的超級管理員才能在 Sophos Cloud Optix 中開啟 Data Lake 上傳。

如果要對雲端環境中的資料使用 Data Lake 查詢,則需要 Sophos Central 中的 Sophos Cloud Optix Advanced 授權,以及包含 Sophos XDR 的 Intercept X 授權。

若要開啟 Sophos Cloud Optix 上傳,請執行以下動作。

  1. 登入至 Sophos Cloud Optix。
  2. 前往設定 > 進階
  3. 開啟 XDR Data Uploads

    您可以上傳特定雲端環境或所有環境的活動記錄資料。

資料上傳順序與 Sophos Cloud Optix 所擷取的順序相符。最近擷取的資料會先上傳。

開啟 Microsoft 365 稽核記錄的上傳

您可以將 Microsoft 365 稽核記錄資料新增至 Data Lake。

您必須是 Microsoft 365 管理員。

您必須在 Microsoft 365 中開啟稽核。如果您沒有開啟,系統會提示您在設定期間開啟。

若要將 Microsoft 365 資料新增至 Data Lake,請執行下列動作:

  1. 按一下協力廠商整合
  2. 按一下 Microsoft 365 使用者活動記錄
  3. Microsoft 365 連線 - 網域設定/狀態頁面上,按一下 + 新增 Microsoft 365 連線
  4. 可選:如果未開啟稽核,您可以按一下開啟 Microsoft 365 稽核頁面上的連結。

    將帶您前往 Microsoft 365。您可以開啟稽核,然後返回 Sophos Central。請參閱開啟或關閉稽核。Microsoft 可能會要求您進行驗證,以開啟稽核。

    注意

    Microsoft 365 稽核記錄資料在您開啟稽核之後,可能需要至多 12 小時才會顯示。

  5. 按一下下一步

    您現在將導向至 Microsoft 365 進行驗證。

  6. 根據 Microsoft 中指示授予權限,以在 Microsoft 365 中建立應用程式。

    視您的 Microsoft 365 環境而定,系統會要求您至少授權一次。

    連線大約需要一分鐘。

新網域將顯示在 Microsoft 365 連線 - 網域設定/狀態中。

Live Discover > 查詢中,新類別 Microsoft 365 稽核資料會顯示。您可以在 Microsoft 365 資料上執行此類別中的查詢。