Vai al contenuto

Link permanente della pagina

Utilizza sempre il seguente link permanente quando fai riferimento a questa pagina. Rimarrà invariato nelle versioni future della guida.

https://docs.sophos.com/central/customer/help/it-it/index.html?contextId=forensic-snapshot

Snapshot di analisi approfondita

Gli snapshot di analisi approfondita acquisiscono l’attività recente su un dispositivo.

Quando rileviamo una minaccia, sul dispositivo interessato viene creato automaticamente uno snapshot, che viene quindi utilizzato per creare un grafico delle minacce che mostra come si è sviluppato un attacco.

È anche possibile creare snapshot di analisi approfondita su richiesta e svolgere le proprie analisi in maniera indipendente.

Questa pagina fornisce informazioni su come eseguire le seguenti operazioni:

  • Creazione di snapshot di analisi approfondita.
  • Accesso agli snapshot di analisi approfondita.
  • Impostazione del periodo di tempo per gli snapshot di analisi approfondita.

È anche possibile svolgere le seguenti operazioni:

È possibile caricare snapshot solo da computer Windows. Inoltre, occorre avere una licenza XDR o MDR.

Creazione di snapshot di analisi approfondita

È possibile creare snapshot di analisi approfondita dai dettagli del dispositivo in Sophos Central, oppure da un grafico delle minacce.

Creazione di uno snapshot dai dettagli del dispositivo

Per creare uno snapshot dai dettagli del dispositivo, procedere come segue:

  1. In Sophos Central, selezionare Prodotti > Computer e server.
  2. Cliccare sul nome del dispositivo per cui si desidera generare uno snapshot.
  3. Nella scheda Riepilogo della pagina dei dettagli del dispositivo, cliccare su Altre azioni e selezionare Crea snapshot di analisi approfondita.
  4. In Crea snapshot di analisi approfondita, cliccare su Crea ora.

Per impostazione predefinita, uno snapshot viene creato in %PROGRAMDATA%\Sophos\Endpoint Defense\Data\Forensic Snapshots\.

In alternativa, gli snapshot possono anche essere caricati su un bucket S3. Vedere Caricamento di snapshot di analisi approfondita su un bucket S3 AWS.

Occorre convertire lo snapshot in un formato che ne permetta l’analisi. Vedere Conversione di snapshot di analisi approfondita.

Creazione di uno snapshot da un grafico delle minacce

Per creare uno snapshot da un grafico delle minacce, procedere come segue:

  1. In Sophos Central, aprire Centro di analisi delle minacce > Grafici delle minacce.
  2. Selezionare una minaccia rilevata associata al dispositivo per il quale si desidera generare uno snapshot.
  3. Nel Grafico delle minacce, cliccare su Crea snapshot di analisi approfondita sotto la tabella degli elementi.

Per impostazione predefinita, uno snapshot viene creato in %PROGRAMDATA%\Sophos\Endpoint Defense\Data\Forensic Snapshots\.

In alternativa, gli snapshot possono anche essere caricati su un bucket S3. Vedere Caricamento di snapshot di analisi approfondita su un bucket S3 AWS.

Occorre convertire lo snapshot in un formato che ne permetta l’analisi. Vedere Conversione di snapshot di analisi approfondita.

Accesso agli snapshot di analisi approfondita

È possibile accedere agli snapshot di analisi approfondita sul dispositivo.

Nota

Quando è attivato il Blocco rimozione, è necessario eseguire i comandi da un prompt dei comandi elevato per accedere agli snapshot salvati.

Per impostazione predefinita, gli snapshot che si creano vengono salvati in %PROGRAMDATA%\Sophos\Endpoint Defense\Data\Forensic Snapshots\.

Gli snapshot creati automaticamente da Sophos in base ai rilevamenti si trovano in %PROGRAMDATA%\Sophos\Endpoint Defense\Data\Saved Data\.

Impostazione del periodo di tempo per gli snapshot

Per impostazione predefinita, gli snapshot includono i dati delle ultime due settimane.

È possibile modificare questo periodo di tempo o scegliere di includere tutti i dati disponibili. Per farlo, procedere come segue:

  1. In Sophos Central, aprire Impostazioni generali > Snapshot di analisi approfondita.
  2. In Imposta periodo di tempo per gli snapshot di analisi approfondita, selezionare un periodo di tempo oppure Tutti i dati di log.

Caricamento degli snapshot su un bucket S3

È possibile caricare snapshot di analisi approfondita su un bucket S3 AWS. Questa opzione consente di accedere agli snapshot con maggiore semplicità, in quanto sono situati in un’unica posizione, piuttosto che su singoli dispositivi a cui dover effettuare l’accesso individualmente.

Per informazioni su come impostare un bucket S3 AWS in modo da poter caricare snapshot, vedere Caricamento di snapshot di analisi approfondita su un bucket S3 AWS.

  • Forensic Log Collection (Raccolta di log di analisi approfondita)

    Se si impostano caricamenti su un bucket S3 AWS da qui, la nuova funzionalità Forensic Log Collection (Raccolta di log di analisi approfondita) utilizzerà le stesse impostazioni per caricare log.

    Al momento, Forensic Log Collection è disponibile solo tramite la nostra API Sophos Central. Vedere https://developer.sophos.com/api.