跳至內容
部分或全部頁面已經過機器翻譯。

頁面永久連結

參考此頁面時,請務必使用以下永久連結。在以後的說明版本中,它將保持不變。

https://docs.sophos.com/central/customer/help/zh-tw/index.html?contextId=ThreatGraphs

威脅圖表

此功能僅適用於有 Intercept X 或 Intercept X Advanced with XDR 授權的客戶。

威脅圖表可讓您調查並清理惡意軟體攻擊。

您可以找到攻擊的來源、傳播方式以及受影響的進程或檔案。這可幫助您改善安全性。

如果您有 Intercept X Advanced with XDR 或 Intercept X Advanced for Server with XDR 授權,您也可以執行以下操作:

  • 隔離受影響的裝置。
  • 在您的網路上搜尋更多威脅示例。
  • 清理並攔截威脅。
  • 取得進一步的進階威脅情報。

每當我們偵測到您需要進一步調查的惡意軟體時,我們會為您建立威脅圖表。

限制

目前僅適用於 Windows 與 Mac 裝置。

限制

由深度學習偵測到的潛在不需要應用程式 (ML PUAs) 不會產生威脅圖。然而,您可以使用 Live Discover 中的 威脅捕獵,搜尋裝置中回報的檔案名稱或 SHA-256 雜湊值。

如何調查並清理威脅

這是對您通常如何調查圖表的概述。有關所有選項的詳細資訊,請參閱 威脅圖表分析

某些選項僅在您有 Intercept X Advanced with EDR 或 Intercept X Advanced with EDR for Server 授權的情況下可用。我們已將這些標記為"需要XDR"。

  1. 轉至 威脅分析中心 並按一下 威脅圖表,然後按一下圖表。

    這會顯示圖表詳細資訊頁面。

  2. 查看 摘要 以瞭解攻擊的起源以及哪些檔案可能受感染。

  3. 查看 建議的後續步驟。您可以變更圖表的優先級,並查看要調查的進程。

    如果這是高優先級圖形,您可以單擊 隔離此設備 (需要XDR)。這會從網路隔離受影響的裝置。您仍然可以從 Sophos Central 管理裝置。

    注意

    如果裝置已自動將其本身隔離,您將不會看到該選項。

  4. 分析 標籤上,您可以看到顯示攻擊進度的圖表。按一下項目顯示更多詳細資訊。

  5. 按一下根本原因或其他進程以顯示其詳細資訊。

  6. 為確保您有來自 Sophos 的最新分析,按一下 請求最新情報

    這會傳送檔案至 Sophos 以進行分析。如果我們有有關檔案信譽和散佈程度的新資訊,您將在幾分鐘內於此處看到這些資訊。

    限制

    如果您有XDR,您將看到更高級的分析,請參見 處理程序詳細資料。您還可以執行進一步的偵測和清理,如以下步驟中所示。

  7. 按一下 搜尋項目 以在您的網路上搜尋更多檔案示例。

    如果 項目搜尋結果 頁面顯示任何更多檔案範例,您可以按一下 隔離裝置 以隔離受影響的裝置。

  8. 返回威脅圖表詳細資訊頁面並查看最新威脅情報。

  9. 如果您確定檔案可疑,則可按一下 清除與攔截

    這會在發現項目的 Windows 裝置上清理該項目並在所有 Windows 裝置上攔截它。請參閱 攔截項目

  10. 如果您確信已處理了威脅,可以從隔離中移除裝置(如果需要)。轉至 建議的後續步驟,然後按一下 移除隔離

    如果您隔離了多個裝置,前往設定 > 管理員隔離的裝置 並從隔離中移除它們。請參閱 管理員隔離的裝置

  11. 返回 威脅圖表 清單,選擇圖表並按一下 關閉

關於威脅圖表清單

威脅圖表 列出了過去 90 天內的所有威脅圖表。

如果您有 MDR 授權,對於已生成的威脅圖表,頁面分爲以下標籤頁:

  • 由 Sophos 自動產生。
  • 由 Sophos Central 管理員生成。請參閱 管理員生成的威脅圖
  • 由 Sophos Managed Detection and Response (MDR) 團隊生成(目前未使用)目前尚未使用。

如果沒有 MDR 授權,則頁面不會分爲標籤頁。

您可按 裝置狀態優先性 篩選圖表。

您可以使用 搜尋 檢視特定使用者、裝置或威脅名稱的圖表(例如,"Troj/Agent-AJWL")。

對於各圖表,清單顯示以下大多數資訊。顯示的欄位取決於頁面是否分爲標籤頁:

  • 狀態:預設情況下,狀態為 新建。您可以在檢視圖表時對其進行變更。
  • 建立時間:圖表建立的時間和日期。
  • 優先性:圖表建立時會設定優先順序。您可以在檢視圖表時對其進行變更。
  • 名稱:按一下威脅名稱可檢視圖表的詳細資訊。
  • 產生者:產生威脅圖表的 Sophos Central 管理員。
  • 使用者:導致感染的使用者。
  • 裝置:導致感染的裝置。
  • 裝置類型:裝置的類型,例如Computer(電腦) 或 Server(伺服器)。

您可以按一下任何列來對圖表進行排序。

管理員生成的威脅圖

每當我們偵測到您需要進一步調查的惡意軟體時,我們會為您建立威脅圖表。但是,您也可以手動生成威脅圖。

您可以從實時發現查詢結果生成圖表。此選項並非適用於所有查詢。

以下說明僅為示例。

要產生報告,請執行以下操作:

  1. 轉至 威脅分析中心 並按一下 Live Discover
  2. Live Discover 中,開啟查询部分(如果尚未開啟)。
  3. 選擇種類,例如 文件
  4. 單擊要運行的查詢,例如 文件哈希

  5. 按如下所示配置查詢:

    • 如果選取了端點查詢,請選取要查詢的裝置。
    • 如果選擇了Data Lake查詢,請選擇要查詢的時間段。所有裝置都始終包含在內。

  6. 單擊 執行查詢

    顯示結果。

  7. 在結果中,單擊 三點圖示。 文件 路徑旁邊的三個點

  8. 操作下,單擊 生成威脅圖

威脅圖將添加到 * *威脅圖 頁面的管理員生成選項卡中。

有關允許應用程式的更多資訊,請參見 Live Discover