鑑識快照
取證快照會擷取裝置上的近期活動。
當我們偵測到威脅時,會在裝置上自動建立快照,並使用該快照建立威脅圖,該圖顯示了攻擊是如何發展的。
您也可以按需建立取證快照並進行自己的分析。
該頁面將引導您如何進行以下操作:
- 建立鑑識快照。
- 存取取證快照。
- 為取證快照設定時期。
您還可以執行以下動作:
- 轉換快照以便進行分析。請參見 轉換鑑識快照
- 上傳快照到 AWS SW3 儲存桶。請參見 將取證快照上傳至 AWS S3 桶
!!! info "您只能從 Windows 裝置上傳快照。"您還必須持有XDR或MDR許可證。
建立取證快照
您可以從Sophos Central中的裝置詳細資料或威脅圖表建立取證快照。
從裝置詳細資訊建立快照
若要根據裝置詳細資料建立快照,請依下列步驟操作:
- 在 Sophos Central 中,前往 我的環境 > 電腦與伺服器。
- 按一下要為其產生快照的裝置名稱。
- 在裝置詳細資料頁面的「摘要」索引標籤上,按一下「更多動作」 ,然後選擇「建立取證快照」 。
- 在「建立取證快照」中,按一下「立即建立」 。
預設情況下,快照創建於%PROGRAMDATA%\Sophos\Endpoint Defense\Data\Forensic Snapshots\。
或者,您可以將快照上傳到 S3 儲存桶。請參見 將取證快照上傳至 AWS S3 桶。
您必須將快照轉換為可以進行分析的格式。請參見 轉換鑑識快照。
從威脅圖中建立快照
若要從威脅圖建立快照,請依下列步驟操作:
- 在 Sophos Central 中,移至威脅分析中心 > 威脅圖表。
- 選擇與要產生快照的裝置關聯的已偵測到的威脅。
- 在威脅 圖表中,按一下工件表下方的「建立取證快照」 。
預設情況下,快照創建於%PROGRAMDATA%\Sophos\Endpoint Defense\Data\Forensic Snapshots\。
或者,您可以將快照上傳到 S3 儲存桶。請參見 將取證快照上傳至 AWS S3 桶。
您必須將快照轉換為可以進行分析的格式。請參見 轉換鑑識快照。
存取取證快照
您可以存取裝置上的取證快照。
注意
啟用竄改 防護後,您必須從提升權限的命令 提示 字元執行才能存取已儲存的快照。
預設情況下,您建立的快照位於%PROGRAMDATA%\Sophos\Endpoint Defense\Data\Forensic Snapshots\。
我們根據偵測結果自動建立的快照位於%PROGRAMDATA%\Sophos\Endpoint Defense\Data\Saved Data\。
設定快照的時間段
預設情況下,快照包含前兩週的資料。
您可以變更時間段,也可以選擇包含所有可用數據,具體操作如下:
- 按一下工作列中的「整體設定」
。 - 前往「產品和服務」 > “端點和伺服器” ,然後按一下「取證快照」 。
- 在「設定取證快照的時間段」中,選擇時間段或所有日誌資料。
將快照上傳到 S3 儲存桶
您可以將取證快照上傳到 AWS S3 儲存桶。這樣,您就可以在一個位置輕鬆存取您的快照,而無需存取每個裝置。
有關如何設定 AWS S3 儲存桶以便上傳快照的詳細信息,請參閱將取證快照上傳至 AWS S3 桶 。
-
取證日誌收集
如果您在此處設定上傳到 AWS S3 儲存桶,我們新的取證日誌收集功能將使用相同的設定來上傳日誌。
目前,取證日誌收集僅可透過我們的Sophos Central API 實現。請參見 https://developer.sophos.com/api。