跳至內容

頁面永久連結

參考此頁面時,請務必使用以下永久連結。在以後的說明版本中,它將保持不變。

https://docs.sophos.com/central/customer/help/zh-tw/index.html?contextId=LiveDiscover

Live Discover

透過 Live Discover,您可檢查 Sophos Central 管理的裝置、尋找威脅跡象或評估合規性。

您可以使用 Live Discover 查詢搜尋其他 Sophos 功能未偵測到的具有威脅跡象的裝置。例如:

  • 對登錄的異常變更。
  • 失敗的驗證。
  • 運行的進程極少運行。

如果 Sophos Central 在其他地方發現威脅,或者使用者報告了其裝置上的可疑行爲,則您也可以搜尋裝置以查找可疑威脅或已知威脅的跡象。

您也可以檢查每個裝置的合規性。例如,您可以搜尋具有不安全設定的過期軟體或瀏覽器。

本頁說明如何使用 Live Discover。您也可以透過完成 Sophos XDR 訓練來瞭解它。

您可以使用 Sophos 社群共用查詢或調整查詢。請參閱 Live Discover 查詢論壇

您可以按如下方式取得支援:

  • 如果 Sophos 預定義查詢不起作用,Sophos 支援人員可以幫助確保資料從裝置上載到 Sophos Data Lake。
  • 如果您需要有關自訂查詢的說明,請參閱 Live Discover 查詢論壇,或聯絡 Sophos 專業服務

查詢的運作方式

我們提供了一系列查詢,供您用於檢查裝置。您可以依原樣使用它們,也可以編輯它們(您需要熟悉 osquery 或 SQL)。您也可建立查詢。

您可以執行查詢,從不同來源取得資訊:

  • 端點查詢從目前連線的裝置獲取最新資訊。
  • Data Lake 查詢可從裝置定期向其上傳資料的 Data Lake 取得資訊。它們還可以從您設定爲將資料傳送到 Data Lake 的其他 Sophos 產品(例如 Sophos Cloud Optix 或 Sophos Email)中獲取資訊。請參閱Data Lake 查詢
  • Data Lake 查詢還可以從協力廠商來源獲取資訊。您可以新增 Microsoft 365 稽核記錄,我們也會新增更多資料來源。

若要開始使用,請檢查您是否可以從您要查詢的資源處取得資料。若要瞭解如何從裝置處取得資料,請遵循下列指示。

要瞭解如何從 Sophos Cloud Optix 和 Microsoft 365 稽核記錄中獲取資料,請參閱 Data Lake 上傳

然後按照後面幾節中的說明設定和運執行查詢。

從裝置獲取資料

如果要使用 Data Lake 查詢,您必須讓裝置將資料上傳至 Data Lake。

若要設定裝置以上傳資料,請執行以下動作。

  1. 移至我的產品 > 一般設定
  2. 端點防護 下(或伺服器的 伺服器保護),按一下 Data Lake 上傳
  3. 開啟 上傳到 Data Lake

如欲瞭解更多詳情,請參閱 Data Lake 上傳

Sophos Mobile 的需求

如果要對雲端環境中的資料使用 Data Lake 查詢,則需要 Sophos Central 中的 Mobile Advanced 或 Intercept X for Mobile 授權,以及包含 Sophos XDR 的 Intercept X 授權。

若要設定行動裝置以上傳資料,請執行以下動作。

  1. 移至我的產品 > 一般設定
  2. 行動裝置下,按一下 Data Lake 上傳
  3. 開啟 上傳到 Data Lake

如欲瞭解更多詳情,請參閱 Data Lake 上傳

選取查詢

若要選取預先準備好的查詢,請執行以下操作:

  1. 轉至 威脅分析中心 並按一下 Live Discover

  2. Live Discover 中,開啟查询部分(如果尚未開啟)。

    設計工具模式可讓您編輯或建立查詢。如果您使用我們預先準備好的查詢,則不需要開啟。

    Live Discover 頁面的螢幕擷取畫面。

  3. 預設情況下,您會看到 所有查詢 索引標籤。如果您願意,請按一下所需查詢類型的索引標籤:

    • 端點查詢。這些查詢會從連線的端點獲取最新資料。
    • Data Lake 查詢。這些查詢會從端點定期向其上傳資料的 Data Lake 中獲取資料。

    您會看到可用的 類別

    查詢類別的螢幕擷取畫面。

  4. 按一下您要使用的類別。這會顯示該類別中的查詢清單。

    系統影響會基於最近使用情況指示查詢對裝置效能的影響。

    查詢清單的螢幕擷取畫面。

  5. 如果您要精簡清單,請篩選或搜尋查詢。

  6. 按一下您要執行的查詢。這將顯示查詢的詳細資料,包括支援的作業系統和效能資料。

    所選查詢的螢幕擷取畫面。

  7. 可選:如果選擇了 Data Lake 查詢,請按一下箭頭以開啟選取時段並選取查詢的期間。預設值為過去 7 天。

    此選項並非排程。它用於指定查詢執行的過往資料量,而非執行的頻率。

    您可以使用此選項來避免產生過多資料。

    某些查詢(包括端點查詢)還允許您在其變量中指定一個時段(例如,在事件日誌上執行的查詢)。

    時段選擇器。

如果選擇了端點查詢,請選擇要查詢的裝置。

如果選擇了 Data Lake 查詢,就可準備執行或排程查詢。請參閱「執行查詢」。

選取要查詢的裝置

如果選取了端點查詢,請選取要查詢的裝置。

如果選擇了 Data Lake 查詢,則始終包括所有裝置。跳過此部分。

  1. Live Discover 中,請開啟 裝置選擇器

    可用裝置 將顯示由 Sophos Central 管理的所有電腦和伺服器。

    裝置選取器的螢幕擷取畫面。

  2. 可用裝置 下,篩選顯示的裝置。例如,您可能想要查詢具有特定作業系統的裝置。按一下应用

    您不需要輸入完全相符的項目,而且篩選器不區分大小寫。

    篩選器的螢幕擷取畫面。

  3. 選取要查詢的裝置,然後按一下 更新所選裝置清單

    這會將裝置新增到 選取的裝置 索引標籤上的清單中,您可以在該清單中輕鬆管理這些裝置。

    所選裝置的螢幕擷取畫面。

  4. 可選:如果要進一步精簡清單,您可以篩選選定的裝置或取消選取裝置。若要執行此操作,按一下 選取的裝置,並依照以下步驟操作。

    • 按一下 顯示篩選。篩選選定裝置。
    • 取消選取裝置,然後按一下 更新所選裝置清單

執行查詢

完成查詢設定之後,即可執行查詢。

您最多可以在裝置上同時執行四個查詢。

注意

您可以在其執行時,變更選取的裝置或編輯查詢。

若要執行查詢,請執行以下操作。

  1. 在頁面 Live Discover 底部,按一下 執行查詢

    執行查詢按鈕的螢幕擷取畫面。

  2. 如果您之前沒有執行查詢,會出現訊息,建議您在一台裝置上執行查詢以進行測試。返回以編輯選定的裝置,或按一下 執行查詢 以繼續。

    未測試查詢警告的螢幕擷取畫面。

  3. 當查詢停止執行時,您會看到查詢結果面板。其顯示:

    • 每台裝置找到的項目。
    • 您可以根據結果中的項目建立新的查詢或動作。按一下省略符號圖示 省略符號圖示。 查看選項。
    • 裝置遙測(結果下方)。這是查詢速度及其產生多少資料的相關資訊。請參閱 “Live Discover 遙測“。

    查詢結果的螢幕擷取畫面。

    您將看到進程的 Sophos PID。這是唯一的進程 ID。我們絕不會重複使用它,因此基於它的查詢不會獲得較舊進程的不想要結果。

您可以排程某些查詢以在設定的時間執行(僅限 Data Lake 查詢)。請參閱排定的查詢

若要進一步分析,您可以根據結果執行查詢。請參閱“使用樞紐分析查詢、豐富內容和動作“。

使用樞紐分析查詢、豐富內容和動作

您可以使用查詢結果作為針對潛在威脅的其他查詢的基礎。

在結果表中,某些項目旁邊會顯示省略符號圖示。省略符號圖示的螢幕擷取畫面。

按一下圖示查看可用的動作:

  • 查询。這些「樞紐分析查詢」可讓您根據選取的項目快速執行新的查詢。有關如何使用它們的範例,請參見"樞紐分析查詢"。
  • 擴充。這些開放式網站(如 VirusTotal)可查找您發現的潛在威脅。如果 SophosLabs Intelix 報告可用,它們也可以打開這些報告。請參閱Intelix 報告
  • 動作。這些功能可提供進一步的偵測或補救。例如,您可以提出威脅圖表來深入分析事件,或啟動 Live Response 來存取及調查電腦。

您可以自訂某些樞紐分析設定。請參閱擴充