跳至內容
部分或全部頁面已經過機器翻譯。

頁面永久連結

參考此頁面時,請務必使用以下永久連結。在以後的說明版本中,它將保持不變。

https://docs.sophos.com/central/customer/help/zh-tw/index.html?contextId=forensic-snapshot

取證快照

法證快照捕捉裝置上的最近活動。

當我們偵測到威脅時,會在裝置上自動建立快照,並用以建立威脅圖,顯示攻擊是如何發展的。

您也可以根據需求建立法證快照,進行自己的分析。

該頁面將引導您如何進行以下操作:

  • 建立鑑識快照。
  • 建立鑑識快照。
  • 為取證快照設定時期。

您還可以執行以下動作:

您只能從 Windows 電腦上傳取證快照。您必須擁有 XDR 或 MDR 授權。

已建立取證快照

您可以從Sophos Central中的設備詳細信息或從威脅圖中創建法證快照。

從裝置詳細資訊建立快照

從設備詳細資訊中建立快照,請按照以下步驟進行:

  1. 在 Sophos Central 中,移至 我的環境 > 電腦與伺服器
  2. 請點擊您要生成快照的裝置名稱。
  3. 在裝置詳細資料頁面的摘要標籤上,點擊更多操作,並選擇建立法證快照
  4. 建立鑑識快照 中,點擊 立即建立

預設情況下,在%PROGRAMDATA%\Sophos\Endpoint Defense\Data\Forensic Snapshots\中建立快照。

或者,您可以將快照上傳至 S3 存儲桶。請參閱 將取證快照上傳至 AWS S3 桶

您必須將快照轉換為一種能讓您進行分析的格式。請參閱 轉換取證快照

從威脅圖表中建立快照

要從威脅圖表創建快照,請按照以下步驟操作:

  1. 在 Sophos Central 中,移至威脅分析中心 > 威脅圖表
  2. 選擇與您想要生成快照的設備相關的偵測到的威脅。
  3. 在威脅圖中,請點擊位於檔案表格下方的建立鑑識快照

預設情況下,快照會在%PROGRAMDATA%\Sophos\Endpoint Defense\Data\Forensic Snapshots\中建立。

或者,您可以將快照上傳到 S3 存儲桶。請參閱 將取證快照上傳至 AWS S3 桶

您必須將您的快照轉換為可供分析的格式。請參閱 轉換取證快照

建立鑑識快照。

您可以在設備上訪問取證快照。

注意

開啟篡改保護後,您必須以提升權限的命令提示字元執行,才能存取已儲存的快照。

預設情況下,您建立的快照位於%PROGRAMDATA%\Sophos\Endpoint Defense\Data\Forensic Snapshots\中。

我們自動基於偵測所建立的快照位於%PROGRAMDATA%\Sophos\Endpoint Defense\Data\Saved Data\中。

為取證快照設定時期

預設情況下,快照包含前兩週的資料。

您可以更改時間範圍,或選擇包括所有可用數據,如下所示:

  1. 按一下「一般設定」圖示一般設定圖示。
  2. 通用下,點擊取證快照
  3. 設定法醫快照的時間範圍 中,選擇一個時間範圍或 所有日誌資料

將取證快照上傳至 AWS S3 桶

開啟 將取證快照上傳至 AWS S3 桶。這使您可以輕鬆存取中心位置的快照,而不用前往每台電腦。

有關如何設定 AWS S3 貯體以便上傳快照的完整詳細資料,請參見 將取證快照上傳至 AWS S3 桶

  • 數位鑑識日誌收集

    如果您在此設定上傳到 AWS S3 存儲桶,我們的新 Forensic Log Collection 功能將使用相同的設定來上傳日誌。

    目前僅可透過我們的Sophos Central API進行法證日誌收集。請查看 https://developer.sophos.com/api。