跳至內容
部分或全部頁面已經過機器翻譯。

頁面永久連結

參考此頁面時,請務必使用以下永久連結。在以後的說明版本中,它將保持不變。

https://docs.sophos.com/central/customer/help/zh-tw/index.html?contextId=ThreatGraphs

威脅圖表

您必須擁有Sophos Endpoint、EDR、XDR或MDR才能使用此功能。

威脅圖表可讓您調查並清理惡意軟體攻擊。

您可以找到攻擊的來源、傳播方式以及受影響的進程或檔案。這可幫助您改善安全性。

如果您擁有 Sophos XDR 授權,您還可以執行以下操作:

  • 隔離受影響的裝置。
  • 在您的網路上搜尋更多威脅示例。
  • 清理並攔截威脅。
  • 取得進一步的進階威脅情報。

每當我們偵測到您需要進一步調查的惡意軟體時,我們會為您建立威脅圖表。

限制條件

目前僅適用於 Windows 與 Mac 裝置。

限制條件

由深度學習偵測到的潛在不需要應用程式 (ML PUAs) 不會產生威脅圖。然而,您可以使用 Live Discover 中的 威脅捕獵,搜尋裝置中回報的檔案名稱或 SHA-256 雜湊值。

如何調查並清理威脅

這是對您通常如何調查圖表的概述。有關所有選項的詳細資訊,請參閱 威脅圖表分析

在此處的某些選項僅適用於擁有 Sophos XDR 授權的使用者。我們已標記這些「需要 Sophos XDR」。

  1. 轉至 威脅分析中心 並按一下 威脅圖表,然後按一下圖表。

    這會顯示圖表詳細資訊頁面。

  2. 查看 摘要 以瞭解攻擊的起源以及哪些檔案可能受感染。

  3. 查看 建議的後續步驟。您可以變更圖表的優先級,並查看要調查的進程。

    如果這是一個高優先順序的圖形,您可以點擊隔離此裝置(需要 Sophos XDR)。這會從網路隔離受影響的裝置。您仍然可以從 Sophos Central 管理裝置。

    注意

    如果裝置已自動將其本身隔離,您將不會看到該選項。

  4. 分析 標籤上,您可以看到顯示攻擊進度的圖表。按一下項目顯示更多詳細資訊。

  5. 按一下根本原因或其他進程以顯示其詳細資訊。

  6. 為確保您獲取 Sophos 最新的分析資訊,請點擊請求最新的情報(需要 Sophos XDR)。

    這會傳送檔案至 Sophos 以進行分析。如果我們有有關檔案信譽和散佈程度的新資訊,您將在幾分鐘內於此處看到這些資訊。

    限制條件

    若您使用 Sophos XDR,您將會看到更進階的分析,查看處理程序詳細資料。您還可以執行進一步的偵測和清理,如以下步驟中所示。

  7. 點擊 搜尋項目 (需要 Sophos XDR) 以搜尋您網路上檔案的更多範例。

    如果 項目搜尋結果 頁面顯示任何更多檔案範例,您可以按一下 隔離裝置 以隔離受影響的裝置。

  8. 返回威脅圖表詳細資訊頁面並查看最新威脅情報。

  9. 如果您確信該檔案是惡意的,您可以點擊清除並封鎖(需要XDR)。

    這會在發現項目的 Windows 裝置上清理該項目並在所有 Windows 裝置上攔截它。請參閱 攔截項目

  10. 如果您確信已處理了威脅,可以從隔離中移除裝置(如果需要)。轉至 建議的後續步驟,然後按一下 移除隔離

    如果您隔離了多個裝置,前往設定 > 管理員隔離的裝置 並從隔離中移除它們。請參閱 管理員隔離的裝置

  11. 返回 威脅圖表 清單,選擇圖表並按一下 關閉

關於威脅圖表清單

威脅圖表 列出了過去 90 天內的所有威脅圖表。

如果您有Sophos MDR許可證,該頁面將分為不同的標籤,用於顯示已生成的威脅圖表,如下所示:

  • 由 Sophos 自動產生。
  • 由 Sophos Central 管理員生成。請參閱 管理員生成的威脅圖表
  • 由Sophos Managed Detection and Response (MDR)團隊產生。目前未使用。

如果沒有 MDR 授權,則頁面不會分爲標籤頁。

您可按 裝置狀態優先性 篩選圖表。

您可以使用 搜尋 檢視特定使用者、裝置或威脅名稱的圖表(例如,"Troj/Agent-AJWL")。

對於各圖表,清單顯示以下大多數資訊。顯示的欄位取決於頁面是否分爲標籤頁:

  • 狀態:預設情況下,狀態為 新建。您可以在檢視圖表時對其進行變更。
  • 建立時間:圖表建立的時間和日期。
  • 優先性:圖表建立時會設定優先順序。您可以在檢視圖表時對其進行變更。
  • 名稱:按一下威脅名稱可檢視圖表的詳細資訊。
  • 產生者:產生威脅圖表的 Sophos Central 管理員。
  • 使用者:導致感染的使用者。
  • 裝置:導致感染的裝置。
  • 裝置類型:裝置的類型,例如Computer(電腦) 或 Server(伺服器)。

您可以按一下任何列來對圖表進行排序。

管理員生成的威脅圖表

每當我們偵測到您需要進一步調查的惡意軟體時,我們會為您自動生成一個威脅圖。然而,您也可以手動生成威脅圖。

您可以從 Live Discover 查詢結果生成圖形。對於所有查詢,該選項並不可用。

以下說明僅為範例。

若要生成威脅圖表,請按照以下步驟進行:

  1. 前往威脅分析中心 > Live Discover
  2. Live Discover 中,開啟查询部分(如果尚未開啟)。
  3. 請選擇一個類別,例如,檔案
  4. 按一下您要執行的查詢,例如檔案雜湊

  5. 將您的查詢配置如下:

    • 如果您選擇了端點查詢,請選擇您想要查詢的端點。
    • 如果您選擇了資料湖查詢,請選擇要查詢的時間段。所有端點始終包含在內。

  6. 按一下執行查詢

    結果已顯示。

  7. 在結果中,按一下檔案旁邊的三個點三點圖示。,位於旁邊。

  8. 操作下,點擊生成威脅圖

威脅圖已新增至管理員生成頁籤中的威脅圖表頁面。

有關如何使用 Live Discover 的更多資訊,請參閱 Live Discover