偵測

偵測顯示您可能需要調查的活動。

偵測可識別裝置上異常或可疑但未遭到封鎖的活動。它們與我們偵測並封鎖（已知為惡意活動）的事件不同。

我們基於裝置上傳至 Sophos Data Lake 的資料產生偵測。我們會根據威脅分類規則檢查資料。當有匹配時，我們會顯示偵測。

本頁說明如何使用檢測來尋找潛在威脅。

有關更多信息，請參閱 更新NDR流量檢測。

設定偵測

如果您還沒有偵測，則需要允許裝置將資料上傳至 Sophos Data Lake，以便我們可以使用它。

您可以從 Sophos 產品和協力廠商產品上傳資料。

有關從 Sophos 產品上傳的資訊，請參閱 Data Lake 上傳。有關從協力廠商產品上傳的資訊，請參閱 整合。

查看您的偵測

要查看偵測，請移至威脅分析中心 > 偵測。

偵測頁面將偵測資料顯示為條形圖和清單。

查看摘要

條形圖在時間軸上顯示最近偵測的摘要。預設情況下，我們顯示過去 24 小時的偵測。

使用時間範圍滑塊

您可以使用滑塊放大較短的時間範圍或縮小。只需按一下滑塊一端的控點並拖曳即可。

您也可以使用偵測清單上方的功能表來設定不同的時間範圍或自訂範圍。

將滑鼠懸停以查看統計資料

您也可以獲得偵測數字的細分。移至圖表中的一個條形，將遊標放在一個條帶上（例如，高嚴重性），然後將滑鼠懸停以查看具有該嚴重性的偵測數。

查看偵測清單

偵測清單顯示所有偵測以及以下詳細資料：

• 嚴重性。偵測所代表的風險級別。
• 類型。偵測類型。目前，顯示的類型是「威脅」或「弱點」。
• 偵測。偵測名稱。
• 時間。偵測的時間。
• 實體。裝置。稍後，我們還將使用此欄位顯示 IP 位址或使用者。
• 種類。來源類型。端點、網路、防火牆、電子郵件、雲端或 ID 提供者。
• 來源。偵測的來源。來源可以是 Sophos 或協力廠商軟體。
• MITRE ATT&CK。對應的 MITRE ATT&CK 策略和技術。

變更時間範圍

您可以變更偵測清單和條形圖顯示的偵測時間範圍。

在清單上方的下拉式功能表中，選取一個常用的時間範圍，或按一下絕對日期範圍並設定自訂範圍。

群組偵測

您可以根據偵測匹配的規則對其進行分組。

1. 在分組依據下拉式功能表中，選取偵測 ID。

   

2. 相同事件的偵測分為一組並顯示在清單的單列中

   

篩選器偵測

您可以按偵測的嚴重性、威脅類型、使用的 MITRE ATT&CK 策略和其他特徵篩選偵測。

1. 在偵測清單中，按一下顯示篩選器。

   

2. 按一下篩選器類別以顯示可用作篩選器的特徵。例如，按一下類型並選取威脅或弱點。

   

3. 按一下更多類別並選取所需的篩選器。

4. 按一下套用。

對於某些類別（如使用者名稱或裝置名稱），您可以輸入自己的術語用於篩選。

對於具有許多特徵可以選取的類別，如 MITRE ATT&CK 策略，您可以按一下全選。

要清除所有篩選器，請按一下重設為預設值。

您可以將篩選器套用於分組偵測和未分組偵測。

對偵測進行排序

您可以對偵測清單進行排序。

按一下欄位標題旁邊的排序箭頭，可按字母、數字或日期升序或降序順序或嚴重性欄位的優先級對清單進行排序。

您可以將排序套用於分組偵測和未分組偵測。

打開並共用偵測

1. 按一下表 中偵測名稱旁邊的三個點 。

2. 按一下在新索引標籤中打開以打開偵測詳細資料，如果要與同事共用詳細資料，請按一下複製連結。

   

查看偵測詳細資料

如需瞭解偵測的完整詳細資料，例如涉及的裝置、使用者及處理程序，請按一下表中偵測所在列的任意位置。

新窗格將自螢幕右側滑出。

透過此詳細資料窗格，您可快速檢閱偵測、在新索引標籤中打開多個偵測、使用樞紐分析查詢、取得 MITRE ATT&CK 詳細資料，以及尋找類似的偵測。

如果要查看詳細資料所依據的完整資料，請按一下原始資料索引標籤。

快速檢閱偵測

您無需在視圖之間切換即可檢閱多個偵測的詳細資料。

按一下主表中的偵測以打開滑出窗格。然後，按一下表中的另一個偵測。滑出窗格詳細資料會自動變更以顯示該偵測的詳細資料。

打開多個偵測

您可以在多個新索引標籤中打開多個偵測，以便讓它們保持打開狀態並輕鬆比較。

在偵測詳細資料滑出窗格中，按一下展開按鈕以在新索引標籤中打開偵測詳細資料。

使用樞紐分析查詢、擴充功能和動作

您可以使用樞紐分析查詢，進一步瞭解偵測。

樞紐分析查詢有助於您在查詢結果中選取重要資料，並將其作為進一步調查的基礎。

在偵測詳細資料滑出窗格中，您將在某些項目旁邊看到三個點。

按一下圖示以查看您可以採取的動作。這些動作取決於資料類型。

• 查询。您可以根據所選資料執行查詢。Live Discover 查詢查看裝置上的資料（當裝置處於連線狀態時）。Data Lake 查詢查看裝置上傳至 Sophos Data Lake 的資料。
• 擴充。這些功能可打開各種威脅情報來源（如 VirusTotal），幫助您調查潛在威脅。如果 SophosLabs Intelix 報告可用，它們也可以打開這些報告。請參閱Intelix 報告。
• 動作。這些功能可提供進一步的偵測或補救。例如，您可以掃描裝置或啟動 Sophos Live Response 以存取和調查裝置。

在所示範例中，按一下 Sophos Process ID 旁邊的圖示可讓您基於該 ID 執行查詢。

獲取 MITRE ATT&CK 詳細資料

對於許多偵測，偵測詳細資料窗格顯示 MITRE ATT&CK 策略。

按一下策略旁邊的摺疊箭頭以查看技術。

按一下任何策略或技術旁邊的連結（例如以下螢幕擷取畫面中的 TA0002 Execution）以移至其在 MITRE 網站上的詳細資料。

尋找類似偵測

在偵測詳細資料滑出窗格中，按一下類似偵測。類似的偵測將顯示在主表中。

將偵測新增至案例

案例將偵測中報告的可疑事件組合在一起，並幫助您對這些事件進行取證工作。請參閱案例。

在偵測頁面上，您可以向現有案例新增偵測或建立新案例。

新增至案例

1. 在偵測清單中，選取要新增的偵測。

   

2. 按一下動作 > 新增至案例。

   

3. 按一下案例，然後按一下新增至案例。

   

案例名稱顯示在該偵測的案例欄位及其詳細資料窗格底部。

偵測包含在案例頁面上的案例詳細資料中。

建立案例

若要建立新案例並向其新增偵測，請執行下列動作：

1. 在偵測清單中，選取要調查的偵測。

   

2. 按一下動作 > 建立案例。

   

3. 在建立案例中，執行以下操作：

   1. 輸入案例名稱和說明。
   2. 選取嚴重性。
   3. 選取狀態（新建或正在調查）。
   4. 選取受派者。這是將調查案例的管理員。
   5. 點選建立。

   

案例將新增至案例頁面。

案例名稱也會顯示在該偵測的案例欄位及其詳細資料窗格底部。

尋找潛在威脅

您可以利用偵測檢查裝置、處理程序、使用者和事件是否存在其他 Sophos 功能未封鎖的潛在威脅跡象。例如：

• 表示嘗試檢查您的系統並停留在系統中、逃避安全系統或竊取憑證的異常指令。
• 表明攻擊者可能已侵入裝置的 Sophos 惡意軟體警示，如動態 Shellcode 防護事件。
• Linux 執行階段偵測（如容器逸出）表明攻擊者正在提升容器存取的權限，以移至容器主機。

大多數偵測都連結至 MITRE ATT&CK 架構，您可在其中找到有關特定策略和技術的更多資訊。請參閱 https://attack.mitre.org/。

您也可以搜尋 Sophos 在其他地方發現的可疑或已知威脅的跡象，或者搜尋過時軟體或不安全的瀏覽器。

獲取幫助

Sophos 支援人員無法幫助您調查偵測結果。

如果您購買了 Managed Detection and Response (MDR) 服務，我們的分析師會 24/7 全天候監控您的環境是否存在惡意活動，並與您聯絡或代表您作出回應。請參見 Managed Detection and Response。