Vai al contenuto

Grafici delle minacce

L'opzione Grafici delle minacce permette di effettuare indagini e rimuovere gli attacchi di malware.

Aiuta a scoprire dove ha avuto inizio un attacco, come si è diffuso e quali processi o file ha colpito. Pertanto contribuisce a migliorare la sicurezza.

Questa funzionalità è disponibile solo per i clienti che dispongono di una licenza Intercept X o Intercept X Advanced with XDR. Se si è in possesso di una licenza Intercept X Advanced with XDR o Intercept X Advanced for Server with XDR, sono anche disponibili le seguenti opzioni:

  • Isolamento dei dispositivi colpiti.
  • Ricerca di ulteriori esempi della minaccia nella propria rete.
  • Rimozione e blocco della minaccia.
  • Raccolta di ulteriori informazioni avanzate sulle minacce.

Viene creato un grafico delle minacce a ogni rilevamento di malware su cui occorre indagare in maniera più approfondita.

Restrizione

Al momento, questa opzione è disponibile solamente per i dispositivi Windows e Mac.

Come effettuare indagini e rimuovere le minacce

Di seguito viene fornita una panoramica su come svolgere indagini su un grafico. Per informazioni dettagliate su tutte le opzioni, vedere Analisi dei grafici delle minacce.

alcune opzioni sono disponibili solamente in presenza di una licenza Intercept X Advanced with XDR o Intercept X Advanced with XDR for Server.

  1. Aprire Centro di analisi delle minacce e cliccare prima su Grafici delle minacce e successivamente su un grafico.

    Verrà visualizzata la pagina dei dettagli del grafico.

  2. Consultare il Riepilogo per scoprire da dove ha avuto inizio l'attacco e quali sono i file che potrebbero essere stati colpiti.

  3. Consultare i Azioni successive consigliate. È possibile modificare la priorità del grafico e visualizzare i processi su cui occorre svolgere indagini.

    Se si tratta di un grafico ad alta priorità, e se è installata Intercept X Advanced with XDR, è possibile cliccare su Isola questo dispositivo. Questa azione isola il dispositivo colpito dalla rete. Il dispositivo può continuare a essere gestito da Sophos Central.

    Nota

    Questa opzione non viene visualizzata se il dispositivo si è isolato automaticamente.

  4. Nella scheda Analizza, viene visualizzato un diagramma che indica l'avanzamento dell'attacco. Cliccando sugli elementi, saranno visualizzati maggiori dettagli.

  5. Cliccare sulla causa originaria o su un altro processo per visualizzarne i dettagli.
  6. Per ricevere i risultati aggiornati delle analisi svolte da Sophos, cliccare su Richiedi i dati di intelligence più recenti.

    Questa operazione invia a Sophos i file da analizzare. Se sono presenti nuove informazioni sulla reputazione e sulla prevalenza di questi file, saranno visualizzate qui entro pochi minuti.

    Restrizione

    Se è installata Intercept X Advanced with XDR o Intercept X Advanced for Server with XDR, saranno visualizzati ulteriori dati di analisi; vedere Dettagli processo. È anche possibile svolgere ulteriori azioni di rilevamento e disinfezione, procedendo come indicato nei seguenti passaggi.

  7. Cliccare su Ricerca elemento per ricercare ulteriori esempi del file all'interno della rete.

    Se la pagina Risultati della ricerca sugli elementi mostra altri esempi del file, è possibile cliccare su Isola dispositivo per isolare i dispositivi colpiti.

  8. Ritornare alla pagina dei dettagli del grafico delle minacce e analizzare i dati di intelligence sulle minacce più recenti.

  9. Se si è sicuri che il file è malevolo, è possibile cliccare su Disinfezione e blocco.

    Questa operazione rimuoverà l'elemento dai dispositivi Windows in cui è stato individuato e lo bloccherà su tutti i dispositivi Windows. Vedere Elementi bloccati.

  10. Una volta sicuri di aver risolto i problemi generati da una minaccia, sarà possibile rimuovere il dispositivo dall'isolamento (se necessario). Aprire Azioni successive consigliate e cliccare su Rimuovi dall'isolamento.

    Se è stato isolato più di un singolo dispositivo, selezionare Impostazioni > Dispositivi isolati dall'amministratore e rimuovere i dispositivi dall'isolamento. Vedere Dispositivi isolati dall'amministratore.

  11. Tornare all'elenco Grafici delle minacce, selezionare il grafico e cliccare su Chiudi.

Informazioni sull'elenco di grafici delle minacce

La pagina Grafici delle minacce elenca tutti i grafici delle minacce degli ultimi 90 giorni.

Se è presente una licenza MTR, questa pagina è suddivisa in schede, corrispondenti ai grafici delle minacce che sono stati generati:

  • Generati automaticamente da Sophos
  • Generati da un amministratore di Sophos Central
  • Generati dal team Sophos Managed Threat Response (MTR) (attualmente non utilizzata)

In assenza di una licenza MTR, la pagina non viene suddivisa in schede.

I grafici possono essere filtrati in base a Dispositivo, Stato o Priorità.

È possibile utilizzare la Cerca per visualizzare i grafici per un utente specifico, un dispositivo o un nome della minaccia (ad es. "Troj/Agent-AJWL").

Per ciascun grafico, l'elenco mostra la maggior parte delle informazioni seguenti. Le colonne visualizzate dipendono dalla suddivisione della pagina in schede:

  • Stato: per impostazione predefinita, lo stato viene visualizzato come Nuovo. Può essere modificata quando si visualizza il grafico.
  • Ora di creazione: data e ora di creazione del grafico.
  • Priorità: al momento della creazione di un grafico, viene impostata una priorità. Può essere modificata quando si visualizza il grafico.
  • Nome: cliccare sul nome della minaccia per visualizzare i dettagli del grafico.
  • Generato/i da: L'amministratore di Sophos Central che ha generato il grafico delle minacce.
  • Utente: il nome dell'utente che ha causato l'infezione.
  • Dispositivo: il dispositivo che ha causato l'infezione.
  • Tipo di dispositivo: Il tipo di dispositivo, ad esempio Computer o Server.

È possibile cliccare su qualsiasi colonna per modificare l'ordine dei grafici.