주요 콘텐츠로 건너뛰기

페이지 고정 링크

이 페이지를 참조할 때는 항상 다음 고정 링크를 사용하십시오. 이후 도움말 버전에서 변경되지 않은 채 유지됩니다.

https://docs.sophos.com/central/customer/help/ko-kr/index.html?contextId=threat-analysis-cases

사례

사례 페이지는 감지 기능에서 보고된 의심스러운 이벤트를 그룹화하고 사용자 또는 MDR 팀이 이를 조사하고 대응하는 데 도움이 됩니다.

사례 작동 방식

자동으로 사례가 생성되고 관리되지만, 사용자가 직접 사례를 만들고 관리할 수도 있습니다.

Sophos가 관리하는 사례

자동으로 사례를 만듭니다. 그래서 조사가 필요하다고 생각되는 감지에 집중합니다.

  • 고위험 감지가 있을 때 사례를 만듭니다(동일한 날 사례에 포함되지 않은 경우).
  • 감지의 감지 유형이 동일한 경우, 나중에 해당 감지를 사례에 추가합니다.
  • 사례가 MDR 감지를 기반으로 하는 경우, Sophos에서 조사하고 대응합니다. 이것이 "Sophos 관리" 사례입니다.

참고

사례가 Sophos XDR 감지에 기반하는 경우에는 Sophos가 조사하지 않습니다. 사용자가 관리하는 사례을 참조하십시오.

사용자가 관리하는 사례

XDR 감지에 기반하는 사례를 생성하는 경우 이것은 "자체 관리" 사례입니다. 사례를 검토할 때 "관리자" 세부 정보에서 "자체"를 찾으십시오. 조사하고 대응하려면 관리자를 할당해야 합니다. 사례 할당을 참조하십시오.

사용자가 직접 자신의 사례를 만들고 관리할 수도 있습니다. 사례 생성을 참조하십시오.

사례 보기

사례를 보려면 위협 분석 센터 > 사례로 이동합니다.

사례 페이지.

참고

이 페이지를 처음 볼 때 목록이 비어 있을 수 있습니다. 나중에 다시 와서 자동으로 만들어진 사례를 보거나 직접 사례를 만드십시오. 여전히 사례를 얻지 못했다면 사례 문제 해결을(를) 참조하십시오.

사례 목록에는 각 사례에 대한 다음 세부 정보가 포함됩니다.

심각도

수준 색상 설명
중요 빨간색 시스템에 대한 손상 또는 무단 액세스 확인.
높음 오렌지색 손상 또는 무단 액세스를 유발할 수 있는 표적 공격을 나타내는 감지.
중간 노란색 그 자체로는 악의적이지 않을 수 있고 표적이 된 것으로 알려지지 않은 감지.
낮음 진한 회색 상태 불량, 악의적인 활동, 시스템 손상 또는 무단 액세스를 나타내지 않는 감지.
정보 연한 회색 일반적으로 초기 상태 검사에 사용되는 특수 심각도 수준.

상태

Sophos 관리 사례는 다음 상태를 표시할 수 있습니다.

  • 진행 중: 아직 데이터를 분석하고 있습니다.
  • 작업 필요 여부: 조치를 취하셔야 합니다. 귀하의 연락처로 알림을 보내드렸습니다.
  • 해결됨: 위협을 해결했습니다.

에 의해 관리됨

누가 사례를 관리하는지 확인할 수 있습니다.

  • Sophos: Sophos의 MDR 팀이 사건을 조사하고 대응합니다. 사용자는 변경할 수 없지만 사례에 대해 MDR 팀에 회신할 수 있습니다.
  • 자체: 사용자가 사례를 조사하고 대응해야 합니다.

사례 할당

이 섹션은 "관리자" 열에 "자체"가 표시된 자동 생성된 사례에만 해당됩니다.

다음과 같이 분석을 위해 관리자에게 사례를 할당할 수 있습니다.

  1. 위협 분석 센터 > 사례로 이동하여 사례 목록을 확인합니다.
  2. 원하는 사례 옆에 있는 사례 ID를 클릭하여 새부 정보를 확인합니다.

  3. 사례 세부 정보 페이지에는 개요 탭이 기본적으로 열려 있습니다. 다음 단계에 따릅니다.

    1. 할당받은 사람에서 사례를 할당할 관리자를 선택합니다. 원하는 관리자가 목록에 없으면 사용자 추가를 클릭하고 추가합니다.

      원하는 경우 나중에 할당받은 사람을 선택할 수 있습니다.

    2. 심각도중요, 높음, 중간, 낮음 또는 정보로 설정합니다.

    3. 시작할 준비가 되었으면 상태새로 만들기에서 조사 중으로 변경합니다.
    4. 요약에서 해당 사례에 대한 설명을 입력합니다.

    사례 세부 정보 페이지.

    사례 조사에 대한 자세한 내용은 사례 생성(으)로 이동하여 "사례 조사"를 참조하십시오.

참고

새 사례에 대한 이메일 알림을 설정하면 Sophos Central 관리자에게 새 사례에 대해 알립니다. 이메일 알림을 참조하십시오.

사례 세부 정보 보기

사례의 세부 정보를 보고 진행 상황을 추적하려면 다음과 같이 하십시오.

  1. 사례 페이지에서 사례 옆에 있는 사례 ID를 클릭합니다.

    사례 목록의 사례 ID 링크.

  2. 사례 세부 정보 페이지의 페이지 머리글에 심각도, 상태 및 할당받는 사람이 표시됩니다. 또한 사례가 생성, 할당 및 마지막으로 업데이트된 시기도 표시됩니다.

    사례 세부 정보.

이 페이지에는 추가 세부 정보를 볼 수 있는 탭도 있습니다.

개요 탭

개요 탭은 기본적으로 열려 있으며, 사례 요약, MITRE 전략 세부 정보 및 최근 활동을 표시합니다.

사례 세부 정보 개요 탭.

요약

MDR 고객인 경우 MDR 팀에서 대신 사례 요약을 입력합니다. XDR 고객인 경우 자신의 사례 설명을 입력합니다.

MITRE 전술

MITRE 전술은 감지된 모든 MITRE ATT&CK 전술과 기법을 나열합니다.

원하는 전술 옆에 있는 펼치기 화살표를 클릭하여 기법을 확인합니다.

MITRE 웹 사이트의 세부 정보로 이동하려면 예를 들어 자격 증명 액세스처럼 전술이나 기법 옆에 있는 링크를 클릭합니다.

MITRE 전술 세부 정보.

최근 활동

최근 활동은 해당 사례에 대한 최근 변경 사항을 표시합니다. 모두 보기를 클릭하여 기록 탭으로 이동합니다.

감지 탭

감지 탭에는 해당 사례에 포함된 모든 감지가 나열됩니다. 감지 페이지의 목록과 동일한 세부 정보가 표시됩니다. 감지을 참조하십시오.

감지 탭.

노트북 탭

자체 관리 사례에서 작업 중인 경우 노트북 탭을 사용하여 조사 기록을 보관합니다.

메시지 탭

메시지 탭에서 Sophos MDR 팀의 사례에 대한 메시지를 보고 회신할 수 있습니다.

  • 보낸 메시지는 MDR 받은 편지함으로 전송됩니다. 나중에 답변드리겠습니다.
  • 보내거나 받은 메시지는 권한 있는 연락처의 사서함에 복사되므로 귀하는 메시지를 놓칠 일이 없습니다.
  • 메시지는 물론 첨부 파일도 보내고 받을 수 있습니다.

기록 탭

기록 탭에는 해당 사례에 대한 모든 활동의 기록이 표시됩니다. 예를 들어 감지가 추가되거나 상태, 소유자 등이 변경된 활동이 있습니다.

사례 문제 해결

사례는 장치에서 Sophos 데이터 레이크에 업로드하는 데이터에서 발견된 감지 사항에 기반합니다. 일반적으로 이러한 업로드는 기본적으로 켜져 있습니다. 감지되는 사항이 없으면 업로드가 켜져 있는지 확인하십시오.

Sophos 제품에서 데이터가 업로드되었는지 확인하려면 데이터 레이크 업로드을(를) 참조하십시오. 타사 제품의 데이터의 경우 MDR 및 XDR 통합 정보를 참조하십시오.