주요 콘텐츠로 건너뛰기

위협 그래프

위협 그래프를 사용하면 맬웨어 공격을 조사하고 정리할 수 있습니다.

공격이 언제 시작되었는지, 어떻게 확산되었는지 그리고 어느 프로세스 또는 파일이 감염되었는지를 알아낼 수 있습니다. 이렇게 하면 보안을 강화하는 데 도움이 됩니다.

이 기능은 Intercept X 또는 Intercept X Advanced with XDR 라이선스가 있는 고객만 사용할 수 있습니다. Intercept X Advanced with XDR 또는 Intercept X Advanced for Server with XDR 라이선스가 있으면 다음과 같이 할 수도 있습니다.

  • 영향받은 장치를 격리합니다.
  • 네트워크에서 더 많은 위협의 예를 검색합니다.
  • 위협을 정리하고 차단합니다.
  • 더 많은 고급 위협 인텔리전스를 확보합니다.

추가 조사가 필요한 맬웨어를 감지할 때마다 위협 그래프를 생성합니다.

제한

이 기능은 현재 Windows 및 Mac 장치에서만 사용할 수 있습니다.

위협을 조사하고 정리하는 방법

일반적으로 그래프를 조사하는 방법에 대한 개요입니다. 모든 옵션에 대한 세부 정보는 위협 그래프 분석를 참조하십시오.

Intercept X Advanced with XDR 또는 Intercept X Advanced with XDR for Server 라이선스가 있는 경우에만 일부 옵션을 사용할 수 있습니다.

  1. 위협 분석 센터으로 이동하여 위협 그래프을 클릭한 후 그래프를 클릭합니다.

    그러면 그래프 세부 정보 페이지가 표시됩니다.

  2. 요약에서 공격이 시작된 위치와 어느 파일이 감염되었는지를 확인할 수 있습니다.

  3. 제안된 다음 단계를 확인합니다. 그래프의 우선순위를 변경하고 조사할 프로세스를 확인할 수 있습니다.

    그래프의 우선순위가 높고 Intercept X Advanced with XDR이 있으면 이 장치 격리를 클릭할 수 있습니다. 이 옵션은 영향받은 장치를 네트워크에서 격리시킵니다. 여전히 Sophos Central에서 장치를 관리할 수 있습니다.

    참고

    장치가 스스로 자동 격리한 경우에는 이 옵션이 표시되지 않습니다.

  4. 분석 탭에서 공격의 진행상황을 보여주는 다이어그램을 볼 수 있습니다. 항목을 클릭하면 더 많은 세부 정보가 표시됩니다.

  5. 근본 원인 또는 다른 프로세스를 클릭하면 세부 정보가 표시됩니다.
  6. Sophos의 최신 분석을 받으려면 최신 인텔리전스 요청을 클릭하십시오.

    이렇게 하면 분석을 위해 파일을 Sophos로 보냅니다. 파일의 평판과 전파에 대한 새로운 정보가 있으면 여기서 몇 분 이내에 확인할 수 있습니다.

    제한

    Intercept X Advanced with XDR 또는 Intercept X Advanced for Server with XDR 사용자는 더 많은 고급 분석을 볼 수 있습니다. 프로세스 세부 정보를 참조하십시오. 다음 단계에서 보는 것처럼, 추가 감지 및 정리 작업을 수행할 수도 있습니다.

  7. 항목 검색을 클릭하여 네트워크에서 더 많은 파일의 예를 검색할 수 있습니다.

    항목 검색 결과 페이지에 더 많은 파일의 예가 표시되면 거기서 장치 격리을 클릭하여 영향받은 장치를 격리할 수 있습니다.

  8. 위협 그래프 세부 정보 페이지로 돌아가서 최신 위협 인텔리전스를 살펴보십시오.

  9. 파일이 악성이라는 확신이 들면 정리 및 차단을 클릭할 수 있습니다.

    그러면 발견된 Windows 장치에서 해당 항목이 정리되고 모든 Windows 장치에서 차단됩니다. 차단된 항목을 참조하십시오.

  10. 위협을 처리했다는 확신이 들면 장치를 격리에서 제거할 수 있습니다(필요한 경우). 제안된 다음 단계로 이동하여 격리에서 제거를 클릭합니다.

    여러 장치를 분리한 경우, 설정 > 관리자가 격리한 장치로 이동하여 격리에서 장치를 제거합니다. 관리자가 격리한 장치을 참조하십시오.

  11. 위협 그래프 목록으로 돌아가 그래프를 선택하고 닫기를 클릭합니다.

위협 그래프 목록 정보

위협 그래프에서는 지난 90일간의 모든 위협 그래프를 나열합니다.

MDR 라이선스가 있으면, 페이지가 다음과 같이 생성된 위협 그래프에 대한 탭으로 구분됩니다.

  • Sophos에 의해 자동으로 생성
  • Sophos Central 관리자에 의해 생성
  • Sophos Managed Detection and Response(MDR) 팀에 의해 생성됨(현재 사용되지 않음)

MDR 라이선스가 없는 경우 페이지가 탭으로 분할되지 않습니다.

그래프를 장치, 상태 또는 우선순위 기준으로 필터링할 수 있습니다.

검색을 사용하면 특정 사용자, 장치 또는 위협 이름(예: "Troj/Agent-AJWL")에 대한 그래프를 볼 수 있습니다.

각 그래프에 대해 목록에 다음과 같은 정보가 대부분 표시됩니다. 표시되는 열은 페이지가 탭으로 분할되었는지 여부에 따라 달라집니다.

  • 상태: 기본적으로 상태는 새로 만들기입니다. 그래프를 볼 때 변경할 수 있습니다.
  • 만든 시간: 그래프가 생성된 시간 및 날짜입니다.
  • 우선순위: 우선순위는 그래프가 생성될 때 설정됩니다. 그래프를 볼 때 변경할 수 있습니다.
  • 이름: 위협 이름을 클릭하면 그래프의 세부 정보를 볼 수 있습니다.
  • 생성자: 위협 그래프를 생성한 Sophos Central 관리자입니다.
  • 사용자: 감염을 일으킨 사용자.
  • 장치: 감염을 일으킨 장치.
  • 장치 유형: 장치 유형(예: 컴퓨터 또는 서버).

원하는 열을 클릭하여 그래프를 정렬할 수 있습니다.