跳至內容

頁面永久連結

參考此頁面時,請務必使用以下永久連結。在以後的說明版本中,它將保持不變。

https://docs.sophos.com/central/customer/help/zh-tw/index.html?contextId=threat-analysis-cases

案例

案例 頁面會將 偵測 功能回報的可疑事件進行分組,並幫助您或 MDR 團隊進行調查並作出回應。

案例的運作方式

我們會為您自動建立並管理案例,或者您也可以自行建立並管理案例。

Sophos 管理的案例

我們會自動為您建立案例。這些案例著重於我們認為需要調查的偵測結果。

  • 當存在高風險偵測且該偵測當天尚未被納入案例時,我們會建立一個案例。
  • 如果後續的偵測結果與該案例的偵測類型相同,我們會將其新增到該案例中。
  • 如果該案例是根據 MDR 的偵測結果,我們會進行調查並作出回應。這是一個「Sophos 管理」的案例。

注意

如果該案例是根據 Sophos XDR 偵測結果,我們不會進行調查。請參閱 您管理的案例

您管理的案例

如果我們根據 XDR 偵測結果建立案例,則該案例為「自我管理」案例。當您查看該案例時,會在「管理者」詳細資訊中看到「自行」。您必須指派一位管理員進行調查並作出回應。請參閱 分配案例

您也可以手動建立並管理自己的案例。請參閱 建立案例

檢視案例

若要查看偵測,請前往 威脅分析中心 > 偵測結果

案例頁面。

注意

第一次查看此頁時,清單可能是空的。稍後返回查看自動建立的案例,或建立您自己的案例。如果仍然沒有案例,請參閱 疑難排解案例

案例清單包括每個案例的以下詳細資訊。

嚴重性

層級 顏色 說明
嚴重 紅色 已確認的系統入侵或未經授權的存取。
高度 橙色 顯示可能是導致系統入侵或未經授權存取的定向攻擊的偵測結果。
顯示本身可能不是惡意的,且不確定是否為定向攻擊的偵測結果。
深灰色 不表示系統健康狀況不良、惡意活動或系統入侵或未經授權存取的偵測結果。
資訊 淺灰色 通常用於初步健康檢查的特殊嚴重性等級。

狀態

Sophos 管理的案例可以顯示以下狀態:

  • 進行中:我們仍在分析資料。
  • 需要採取的行動:您需要採取行動。我們已通知您的聯絡人。
  • 已解決:我們已經解決了威脅。

管理者

您可以看到誰管理該案例:

  • Sophos:我們的 MDR 團隊會調查該案例並作出回應。您無法進行任何更改,但可以在案例中回覆 MDR 團隊。
  • 自行: 您必須調查案例並作出回應。

分配案例

此區域僅適用於在「管理者」欄中顯示「自行」的自動產生案例。

您可以按照以下方式將案例指派給您的管理員進行分析:

  1. 前往 威脅分析中心 > 案例,查看案例清單。
  2. 按一下案例旁邊的 案例 ID 查看詳細資料。

  3. 案例詳細資料 頁面中,預設會開啟 概覽 索引標籤。請依照以下步驟操作:

    1. 指派對象中,選取要指派案例的管理員。如果您想要的管理員未列出,請按一下 新增使用者 並新增他們。

      您也可以稍後再選擇指派對象。

    2. 優先級 設定為 嚴重資訊

    3. 如果您準備開始,請將 狀態新建 變更為 正在調查
    4. 摘要 中輸入案例的說明。

    案例詳細資料頁面。

    如需調查案例的建議,請前往 建立案例 並參閱《調查案例》。

注意

如果您為 Sophos Central 管理員設置了電子郵件通知,我們會通知他們有關新案例的資訊。請參閱 電子郵件通知

查看案例詳細資料

若要查看案例的詳細資訊並追蹤其進度,請按以下步驟操作:

  1. 案例 頁面上,按一下案例旁邊的 案例 ID

    案例清單中的案例 ID 連結。

  2. 案例詳細資訊 頁面中,頁面標題會顯示嚴重性、狀態和指派對象。它還顯示案例建立、指派和上次更新的時間。

    案例詳細資料。

此頁面還包含其他索引標籤,提供了更多詳細資料。

概覽索引標籤

概覽 索引標籤是預設開啟的,顯示案例摘要、MITRE 策略詳細資訊和最近活動。

案例詳細資料的概覽索引標籤。

摘要

如果您是 MDR 客戶,MDR 團隊會為您輸入案例摘要。如果您是 XDR 客戶,請輸入案例說明。

MITRE 策略

MITRE 策略列出了我們偵測到的任何 MITRE ATT&CK 策略和技術。

按一下策略旁邊的摺疊箭頭以查看技術。

按一下任何策略或技術旁邊的連結,例如 憑證存取,前往 MITRE 網站查看其詳細資訊。

MITRE 策略詳細資訊。

近期活動

近期活動 顯示案例最近的變更。按一下 查看全部 以前往 歷程記錄 索引標籤。

偵測索引標籤

偵測 索引標籤列出案例中包含的所有偵測。它與 偵測 頁面上的清單顯示相同的詳細資料。請參閱 偵測

偵測索引標籤。

記事本索引標籤

如果您正在處理自我管理的案例,請使用 記事本 索引標籤來記錄您的調查過程。

郵件索引標籤

郵件 索引標籤中,您可以查看並回覆來自 Sophos MDR 團隊有關該案例的郵件。

  • 您發送的郵件會進入 MDR 收件匣。我們稍後會回應這些郵件。
  • 您發送或接收的郵件會被複製到您授權聯絡人的信箱中,因此您不會錯過任何郵件。
  • 您可以發送和接收附件以及郵件。

歷程記錄索引標籤

歷程記錄 索引標籤顯示該案例上所有活動的歷程記錄。例如,已新增偵測,或狀態變更、擁有者變更等。

疑難排解案例

案例是根據您的裝置上傳至 Sophos 資料湖的資料中所發現的偵測結果。這些上傳功能通常預設為啟用狀態。如果您沒有收到偵測結果,請檢查是否已啟用偵測功能。

若要確認資料已從 Sophos 產品上傳,請參閱 Data Lake 上傳。若需來自第三方產品的資料,請參閱 關於MDR和XDR集成