주요 콘텐츠로 건너뛰기
페이지의 일부 또는 전체가 기계 번역되었습니다.

포렌식 스냅샷

포렌식 스냅샷은 장치의 최근 활동을 캡처합니다.

위협을 감지하면 디바이스에 스냅샷이 자동으로 생성되고 공격이 어떻게 발생했는지를 보여주는 위협 그래프를 만드는 데 사용됩니다.

또한 필요에 따라 포렌식 스냅샷을 생성하고 자체 분석을 수행할 수 있습니다.

이 페이지에서 다음 작업을 수행하는 방법을 알려줍니다.

  • 포렌식 스냅샷 만들기
  • 포렌식 스냅샷에 액세스합니다.
  • 포렌식 스냅샷 기간 설정

또한 다음 작업을 수행할 수 있습니다.

Windows 장치에서만 스냅샷을 업로드할 수 있습니다. 또한 XDR 또는 MDR 라이센스가 있어야 합니다.

포렌식 스냅샷 생성됨

Sophos Central의 장치 세부 정보 또는 위협 그래프에서 포렌식 스냅샷을 생성할 수 있습니다.

디바이스 세부 정보에서 스냅샷 생성

디바이스 세부 정보에서 스냅샷을 생성하려면 다음을 수행합니다.

  1. Sophos Central에서, 나의 제품 > 일반 설정을 클릭합니다.
  2. 스냅샷을 생성할 디바이스의 이름을 클릭합니다.
  3. * 장치 세부 정보 페이지의 요약 탭에서 *More 작업 를 클릭하고 포렌식 스냅샷 생성을 선택합니다.
  4. 포렌식 스냅샷 만들기 에서 지금 만들기를 클릭합니다.

기본적으로 스냅샷은 에서 생성됩니다 %PROGRAMDATA%\Sophos\Endpoint Defense\Data\Forensic Snapshots\.

또는 스냅샷을 S3 버킷에 업로드할 수 있습니다. 포렌식 스냅샷을 AWS S3 버킷에 업로드하십시오.을 참조하십시오.

스냅샷을 분석할 수 있는 형식으로 변환해야 합니다. 포렌식 스냅샷 변환을 참조하십시오.

위협 그래프에서 스냅샷 생성

위협 그래프에서 스냅샷을 생성하려면 다음을 수행합니다.

  1. Sophos Central에서 위협 분석 센터 > 위협 그래프으로 이동합니다.
  2. 스냅샷을 생성할 장치와 연관된 감지된 위협을 선택합니다.
  3. 위협 그래프에서 **** 아티팩트 테이블 아래에 있는 포렌식 스냅샷 생성 을 클릭합니다.

기본적으로 스냅샷은 에서 생성됩니다 %PROGRAMDATA%\Sophos\Endpoint Defense\Data\Forensic Snapshots\.

또는 스냅샷을 S3 버킷에 업로드할 수 있습니다. 포렌식 스냅샷을 AWS S3 버킷에 업로드하십시오.을 참조하십시오.

스냅샷을 분석할 수 있는 형식으로 변환해야 합니다. 포렌식 스냅샷 변환을 참조하십시오.

포렌식 스냅샷 액세스

장치에서 포렌식 스냅샷에 액세스할 수 있습니다.

참고

변조 보호가 설정된 상태에서 저장된 스냅샷에 액세스하려면 상승된 권한의 명령 프롬프트에서 를 실행해야 합니다.

기본적으로 생성하는 스냅샷은 에 있습니다 %PROGRAMDATA%\Sophos\Endpoint Defense\Data\Forensic Snapshots\.

감지를 기반으로 자동으로 생성되는 스냅샷은 에 있습니다 %PROGRAMDATA%\Sophos\Endpoint Defense\Data\Saved Data\.

포렌식 스냅샷을 위한 기간 선택

기본적으로 스냅샷에는 이전 2주 동안의 데이터가 포함되어 있습니다.

다음과 같이 기간을 변경하거나 사용 가능한 모든 데이터를 포함하도록 선택할 수 있습니다.

  1. Sophos Central에서, 전역 설정으로 이동하여 포렌식 스냅샷을 클릭합니다.
  2. 포렌식 스냅샷에 대한 기간 설정 에서기간 또는 모든 로그 데이터를 선택합니다.

S3 버킷에 스냅샷 업로드

포렌식 스냅샷을 AWS S3 버킷에 업로드하십시오.를 켭니다. 이렇게 하면 각 시스템으로 이동하지 않고 중앙 위치에서 스냅샷에 쉽게 액세스할 수 있습니다.

스냅샷을 업로드할 수 있도록 AWS S3 버킷을 설정하는 방법에 대한 자세한 내용은 포렌식 스냅샷을 AWS S3 버킷에 업로드하십시오.을(를) 참조하십시오.

  • 포렌식 로그 수집


    여기에서 AWS S3 버킷에 업로드를 설정하면 새로운 Forensic 로그 수집 기능이 동일한 설정을 사용하여 로그를 업로드합니다.

    법의학적 로그 수집은 현재 Sophos Central API를 통해서만 사용할 수 있습니다. https://developer.sophos.com/api 참조하십시오.