案例
案例 頁面會將 偵測 功能回報的可疑事件進行分組,並幫助您或 MDR 團隊進行調查並作出回應。
案例的運作方式
我們會為您自動建立並管理案例,或者您也可以自行建立並管理案例。
Sophos 管理的案例
我們會自動為您建立案例。這些案例著重於我們認為需要調查的偵測結果。
- 當存在高風險偵測且該偵測當天尚未被納入案例時,我們會建立一個案例。
- 如果後續的偵測結果與該案例的偵測類型相同,我們會將其新增到該案例中。
- 如果該案例是根據 MDR 的偵測結果,我們會進行調查並作出回應。這是一個「Sophos 管理」的案例。
注意
如果該案例是根據 Sophos XDR 偵測結果,我們不會進行調查。請參閱 您管理的案例。
您管理的案例
如果我們根據 XDR 偵測結果建立案例,則該案例為「自我管理」案例。當您查看該案例時,會在「管理者」詳細資訊中看到「自行」。您必須指派一位管理員進行調查並作出回應。請參閱 分配案例。
您也可以手動建立並管理自己的案例。請參閱 建立案例。
檢視案例
若要查看偵測,請前往 威脅分析中心 > 偵測結果。
注意
第一次查看此頁時,清單可能是空的。稍後返回查看自動建立的案例,或建立您自己的案例。如果仍然沒有案例,請參閱 疑難排解案例。
案例清單包括每個案例的以下詳細資訊。
嚴重性
| 層級 | 顏色 | 說明 |
|---|---|---|
| 嚴重 | 紅色 | 已確認的系統入侵或未經授權的存取。 |
| 高度 | 橙色 | 顯示可能是導致系統入侵或未經授權存取的定向攻擊的偵測結果。 |
| 中 | 黃 | 顯示本身可能不是惡意的,且不確定是否為定向攻擊的偵測結果。 |
| 低 | 深灰色 | 不表示系統健康狀況不良、惡意活動或系統入侵或未經授權存取的偵測結果。 |
| 資訊 | 淺灰色 | 通常用於初步健康檢查的特殊嚴重性等級。 |
狀態
Sophos 管理的案例可以顯示以下狀態:
- 進行中:我們仍在分析資料。
- 需要採取的行動:您需要採取行動。我們已通知您的聯絡人。
- 已解決:我們已經解決了威脅。
管理者
您可以看到誰管理該案例:
- Sophos:我們的 MDR 團隊會調查該案例並作出回應。您無法進行任何更改,但可以在案例中回覆 MDR 團隊。
- 自行: 您必須調查案例並作出回應。
查看案例詳細資料
若要查看案例的詳細資訊並追蹤其進度,請按以下步驟操作:
-
在 案例 頁面上,按一下案例旁邊的 案例 ID。
-
在 案例詳細資訊 頁面中,頁面標題會顯示嚴重性、狀態和指派對象。它還顯示案例建立、指派和上次更新的時間。
此頁面還包含其他索引標籤,提供了更多詳細資料。
概覽索引標籤
預設情況下,概覽索引標籤是開啟的。顯示已新增至案例的檢測次數、偵測到的MITRE戰術、受影響的裝置和使用者、案例摘要,以及案例上最近活動的詳細資訊。
對於自我管理案例,此選項卡讓您使用人工智慧工具來調查案例。請參閱 調查案例。
MITRE 策略
MITRE 策略列出了我們偵測到的任何 MITRE ATT&CK 策略和技術。
按一下策略旁邊的摺疊箭頭以查看技術。
按一下任何策略或技術旁邊的連結,例如 憑證存取,前往 MITRE 網站查看其詳細資訊。
案例摘要
如果您是 MDR 客戶,MDR 團隊會為您輸入案例摘要。如果您是XDR客戶,您可以使用Sophos AI生成案例摘要,或輸入您自己的摘要。
命令列
觸發案例的威脅所執行的命令行。如果您是XDR客戶,您可以使用Sophos AI來分析命令列,以發現其意圖和可能的影響。
近期活動
近期活動 顯示案例最近的變更。按一下 查看全部 以前往 歷程記錄 索引標籤。
偵測索引標籤
偵測 索引標籤列出案例中包含的所有偵測。它與 偵測 頁面上的清單顯示相同的詳細資料。請參閱 偵測。
記事本索引標籤
如果您正在處理自我管理的案例,請使用 記事本 索引標籤來記錄您的調查過程。
郵件索引標籤
在 郵件 索引標籤中,您可以查看並回覆來自 Sophos MDR 團隊有關該案例的郵件。
- 您發送的郵件會進入 MDR 收件匣。我們稍後會回應這些郵件。
- 您發送或接收的郵件會被複製到您授權聯絡人的信箱中,因此您不會錯過任何郵件。
- 您可以發送和接收附件以及郵件。
歷程記錄索引標籤
歷程記錄 索引標籤顯示該案例上所有活動的歷程記錄。例如,已新增偵測,或狀態變更、擁有者變更等。
疑難排解案例
案例是根據您的裝置上傳至 Sophos 資料湖的資料中所發現的偵測結果。這些上傳功能通常預設為啟用狀態。如果您沒有收到偵測結果,請檢查是否已啟用偵測功能。
若要確認資料已從 Sophos 產品上傳,請參閱 Data Lake 上傳。若需來自第三方產品的資料,請參閱 關於MDR和XDR集成。