MDR營運團隊能做什麼
本頁面描述如果您授權我們的MDR營運團隊為您應對威脅,他們可以採取的行動。
我們只在必要時採取行動。但是,如果您在設定MDR時選擇「授權威脅 回應」 ,我們的團隊將對活躍威脅做出回應,而無需事先諮詢您的聯絡人。
如果您不希望MDR營運團隊在未諮詢的情況下採取行動,請選擇「協作威脅 回應」 。要執行此動作,請參見 設定威脅回應方式。
有關不同威脅 回應設定的更多信息,請參閱None 。
Live Response操作
MDR Ops 團隊可以使用Live Response功能連接到設備並採取行動。您必須開啟Live Response才能讓我們執行此操作。請參見 設定並啟動 Live Response。
團隊可以採取以下一些行動:
- 停用用戶
- 刪除使用者
- 結束工作階段
- 終止惡意進程
- 刪除檔案
- 瀏覽資料夾
- 移除計劃任務
- 移除進程
使用Sophos Central 的操作
在Sophos Central 的全域設定中,團隊可以執行以下操作:
- 隔離裝置
- 封鎖應用程式
- 封鎖 IP 位址
使用 Microsoft 365 的操作
如果您已設定該集成,MDR營運團隊可以使用 Microsoft 365 回應操作。
團隊可以依照以下步驟操作:
- 封鎖或允許使用者登入。這有助於阻止未經授權的存取。
- 中斷或撤銷所有目前會話。這有助於隔離被盜用的帳戶。
- 關閉使用者的收件匣規則。這有助於阻止惡意轉發敏感電子郵件、安全規避策略、刪除證據等行為。
若要設定 Microsoft 365 回應操作,請參閱Microsoft 365 回應動作 。
使用Sophos Firewall的操作
如果您有Sophos Firewall,我們可以與 XG 防火牆威脅情報來源互動。例如,如果發生重大事件,我們可以終止受感染使用者的 VPN 會話。