Casi di minacce

L'opzione Casi di minacce permette di effettuare indagini e rimuovere gli attacchi di malware.

Aiuta a scoprire dove ha avuto inizio un attacco, come si è diffuso e quali processi o file ha colpito. Pertanto contribuisce a migliorare la sicurezza.

Questa funzionalità è disponibile solo per i clienti che dispongono di una licenza Intercept X o Intercept X Advanced with XDR. Se si è in possesso di una licenza Intercept X Advanced with XDR o Intercept X Advanced for Server with XDR, sono anche disponibili le seguenti opzioni:

  • Isolamento dei dispositivi colpiti.
  • Ricerca di ulteriori esempi della minaccia nella propria rete.
  • Rimozione e blocco della minaccia.
  • Raccolta di ulteriori informazioni avanzate sulle minacce.

Viene creato un caso di minaccia a ogni rilevamento di malware su cui occorre indagare in maniera più approfondita.

Nota Al momento, questa opzione è disponibile solamente per i dispositivi Windows.

Come effettuare indagini e rimuovere le minacce

Di seguito viene fornita una panoramica su come svolgere indagini su un caso. Per informazioni dettagliate su tutte le opzioni, vedere Pagina di analisi dei Casi di minacce.

alcune opzioni sono disponibili solamente in presenza di una licenza Intercept X Advanced with XDR o Intercept X Advanced with XDR for Server.

  1. Aprire Panoramica > Centro di analisi delle minacce e cliccare prima su Casi di minacce e successivamente su un caso.

    Verrà visualizzata la pagina dei dettagli del caso.

  2. Consultare il Riepilogo per scoprire da dove ha avuto inizio l'attacco e quali sono i file che potrebbero essere stati colpiti.
  3. Consultare i Azioni successive consigliate. È possibile modificare la priorità del caso e visualizzare i processi su cui occorre svolgere indagini.

    Se si tratta di un caso ad alta priorità, e se è installata Intercept X Advanced with XDR, è possibile cliccare su Isola questo dispositivo. Questa azione isola il dispositivo colpito dalla rete. Il dispositivo può continuare a essere gestito da Sophos Central.

    Nota Questa opzione non viene visualizzata se il dispositivo si è isolato automaticamente.
  4. Nella scheda Analizza, viene visualizzato un diagramma che indica l'avanzamento dell'attacco. Cliccando sugli elementi, saranno visualizzati maggiori dettagli.
  5. Cliccare sulla causa originaria o su un altro processo per visualizzarne i dettagli.
  6. Per ricevere i risultati aggiornati delle analisi svolte da Sophos, cliccare su Richiedi i dati di intelligence più recenti.

    Questa operazione invia a Sophos i file da analizzare. Se sono presenti nuove informazioni sulla reputazione e sulla prevalenza di questi file, saranno visualizzate qui entro pochi minuti.

    Limitazione Se è installata Intercept X Advanced with XDR o Intercept X Advanced for Server with XDR, saranno visualizzati ulteriori dati di analisi; vedere Dettagli processo. È anche possibile svolgere ulteriori azioni di rilevamento e disinfezione, procedendo come indicato nei seguenti passaggi.
  7. Cliccare su Ricerca elemento per ricercare ulteriori esempi del file all'interno della rete.

    Se la pagina Risultati della ricerca sugli elementi mostra altri esempi del file, è possibile cliccare su Isola dispositivo per isolare i dispositivi colpiti.

  8. Ritornare alla pagina dei dettagli del Caso di minacce e analizzare i dati di intelligence sulle minacce più recenti.
  9. Se si è sicuri che il file è malevolo, è possibile cliccare su Disinfezione e blocco.

    Questa operazione rimuoverà l'elemento dai dispositivi in cui è stato individuato e lo bloccherà su tutti i dispositivi.

  10. Una volta sicuri di aver risolto i problemi generati da una minaccia, sarà possibile rimuovere il dispositivo dall'isolamento (se necessario). Aprire Azioni successive consigliate e cliccare su Rimuovi dall'isolamento.

    Se è stato isolato più di un singolo dispositivo, selezionare Impostazioni > Dispositivi isolati dall'amministratore e rimuovere i dispositivi dall'isolamento. Vedere Dispositivi isolati dall'amministratore.

  11. Tornare all'elenco Casi di minacce rilevati, selezionare il caso e cliccare su Chiudi.

Informazioni sull'elenco di casi di minacce

La pagina Casi di minacce rilevati elenca tutti i casi di minacce degli ultimi 90 giorni.

Se è presente una licenza MTR, questa pagina è suddivisa in schede, corrispondenti ai casi di minacce che sono stati generati:

  • Generati automaticamente da Sophos
  • Generati da un amministratore di Sophos Central
  • Generati dal team Sophos Managed Threat Response (MTR) (attualmente non utilizzata)

In assenza di una licenza MTR, la pagina non viene suddivisa in schede.

I casi possono essere filtrati in base a Dispositivo, Stato o Priorità.

È possibile utilizzare la Cerca per visualizzare i casi per un utente specifico, un dispositivo o un nome della minaccia (ad es. "Troj/Agent-AJWL").

Per ciascun caso, l'elenco mostra la maggior parte delle informazioni seguenti. Le colonne visualizzate dipendono dalla suddivisione della pagina in schede:

  • Stato: per impostazione predefinita, lo stato viene visualizzato come Nuovo. Può essere modificata quando si visualizza il caso.
  • Ora di creazione: data e ora di creazione del caso.
  • Priorità: al momento della creazione di un caso, viene impostata una priorità. Può essere modificata quando si visualizza il caso.
  • Nome: cliccare sul nome della minaccia per visualizzare i dettagli del caso.
  • Generato/i da: L'amministratore di Sophos Central che ha generato il caso di minacce.
  • Utente: il nome dell'utente che ha causato l'infezione. Cliccare sul nome dell'utente per visualizzarne i dettagli.
  • Dispositivo: il dispositivo che ha causato l'infezione. Cliccare sul nome di un dispositivo per visualizzarne i dettagli.
  • Tipo di dispositivo: Il tipo di dispositivo, ad esempio Computer o Server.

È possibile cliccare su qualsiasi colonna per modificare l'ordine dei casi.