Sophos EDR 4.0 - Nu met DataLake
Sophos
Sophos Data Lake slaat kritische informatie op van uw EDR-enabled endpoints en servers, wat betekent dat u toegang heeft tot die gegevens, zelfs wanneer die apparaten offline zijn.
Met het Sophos Data Lake kunt u niet alleen belangrijke gegevens van apparaten ophalen, zelfs als ze niet online zijn (bijvoorbeeld als ze offline zijn gehaald tijdens een aanval of als een laptop zoek is geraakt), maar het Sophos Data Lake maakt ook event correlatie op een veel bredere schaal mogelijk. U kunt bijvoorbeeld snel vaststellen dat een verdacht account op meerdere apparaten is ingelogd.
Vervolgens kunt u, zodra u een gebied van belang hebt geïdentificeerd, het apparaat bevragen met Live Discover en ongelooflijk rijke live gegevens krijgen en op afstand toegang krijgen tot het apparaat via Live Response om passende maatregelen te nemen. Het is het beste van twee werelden.
U krijgt standaard 7 dagen retentie in het Data Lake (30 dagen met Sophos XDR), naast de 90 dagen die al direct op de apparaten zijn opgeslagen.
Houd er rekening mee dat u het Sophos Data Lake moet activeren. Selecteer in uw Sophos Central console 'Global settings' en vervolgens onder 'Endpoint or server protection' (of beide) 'Data Lake uploads' en schakel de 'Upload to Data Lake' toggle in. In hetzelfde venster kunt u ook selecteren welke apparaten gegevens naar het Sophos Data Lake sturen.
Sophos Data Lake is nu beschikbaar voor Windows- en Linux-apparaten. Mac-ondersteuning volgt later dit jaar.
Geplande zoekopdrachten
Een van de meest gevraagde functies van deze release is de invoering van geplande query's, zodat u altijd kritieke informatie bij de hand hebt. Query's kunnen 's nachts worden ingepland, zodat belangrijke gegevens de volgende dag klaar zijn voor analyse.
Om een geplande query in te stellen, moet u eerst een query selecteren door naar het Threat Analysis Centre en vervolgens naar Live Discover te gaan. Zodra u de query hebt geselecteerd die u wilt uitvoeren, verschijnt een nieuwe optie waarmee u de query kunt plannen in plaats van deze onmiddellijk uit te voeren.
Als de query met succes is gepland, verschijnt hij in uw lijst "Geplande query's".
Geplande query's zijn nu beschikbaar voor Sophos Data Lake query's. Windows- en Linux-apparaten kunnen nu geplande query's gebruiken. Mac-ondersteuning volgt later dit jaar. Geplande query's voor on-disk query's zullen later dit jaar beschikbaar zijn.
Verbeterde bruikbaarheid
Werk nog sneller met verbeterde workflows en pivoting. Krijg sneller toegang tot belangrijke informatie en voer acties en reacties nog sneller uit.