Sophos XDR 検出と調査のアーリー アクセス プログラム (EAP) が、すべてのお客様およびパートナー様に公開されました。この新機能は、管理者が、最も重要な問題を迅速に解決することに重点を置くことで、より効率的に時間を費やすことができるようにします。
EAP には、さらに調査を実行するために、疑わしいアクティビティの優先リストを提供する、検出ダッシュボードが追加されています。疑わしいアクティビティは、1~10 のリスク範囲でランク付けされるので、管理者はリスクの高い項目を簡単に特定して対処できます。
このランキングに加えて、各アクティビティには、説明、MITRE ATT&CK フレームワークへの対応付け、また場合によっては、イベントの日時、関連プロセス、実行されたコマンドライン、ファイルハッシュ、デバイス、ユーザーなどの追加の詳細が含まれます。
このような多種の情報により、管理者は重要な状況を把握できるため、疑わしい項目への対処が必要かどうかをすばやく判断し、必要な是正措置を簡単に実行できます。
EAP には今後、次のような検出ダッシュボードの機能強化が追加されていく予定です。
- 疑わしいアクティビティのより詳細な情報。より適切な状況を提供します
- ピボット機能。脅威のブロックなど、管理者による迅速な対処が可能になります
- 検出ダッシュボードから直接実行可能な、追加の調査アクション
12月には、新しい調査ダッシュボードが追加される予定です。これにより、各管理者はより効率的に互いに協力して作業を行い、複数の個別の検出などに関する調査の詳細を共有できます。
EAP ではまた今後、O365/Azure 監査ログへのアクセスを可能にする、Office 365 コネクタのリリースも予定しています。これにより管理者は、この非常に豊富なデータに対してクエリを実行し、脅威ハンティングや IT 運用活動に組み込むことができます。
EAP に参加
EAP を表示したり参加したりするには、アクティブな Intercept X Advanced with XDR ライセンス、または Intercept X Advanced for Server with XDR ライセンスがある (またはいずれかの製品を評価中である) 必要があります。
Sophos Central で、画面右上にあるユーザー名をクリックした後、「アーリー アクセス プログラム」を選択して、「XDR – 検出と調査」 EAP を選択します。
Sophos Central 内から製品評価を開始するには、左側のカラムで 「無償評価版」を選択し、 「Intercept X Advanced with XDR」または「Intercept X Advanced for Server with XDR」のいずれかを選択します。
既に Endpoint/Server Protection の新機能の EAP に登録済みのお客様も、XDR – 検出と調査の EAP に参加できます。
Data Lake へのアップロードの有効化
検出ダッシュボードに表示されるアクティビティは、Sophos Data Lake で検出されたデータに基づいているため、この機能を使用するためには、Data Lake へのデータのアップロードをオンにする必要があります。Sophos Central コンソールで「グローバル設定」を選択した後、「エンドポイントプロテクション」または「サーバープロテクション」(またはその両方) で、「Data Lake へのアップロード」設定を選択し、「Data Lake へのアップロード」のトグルボタンをオンにします。機能を有効にすると、デバイスに対してスケジュール済みのハイドレーションクエリが実行され、脅威ハンティングに関連するデータを収集して Data Lake に送信します。設定ページから、特定のデバイスを Sophos Data Lake へのデータ送信から除外することもできます。
詳細は SophSkills セッションを視聴
ソフォスは最近、すべてのパートナー様に、この EAP に関する SophSkills セッションへの参加についてご案内しました。ご参加されなかった場合は、ソフォスパートナーポータルで録画版をご視聴いただけます (ログインが必要です)。製品管理チームの Karl Ackerman と Kevin Kingston が、EAP とその機能を 45分間のセッションで紹介します。