포렌식 스냅샷
포렌식 스냅샷은 장치의 최근 활동을 캡처합니다.
위협을 감지하면 디바이스에 스냅샷이 자동으로 생성되고 공격이 어떻게 발생했는지를 보여주는 위협 그래프를 만드는 데 사용됩니다.
또한 필요에 따라 포렌식 스냅샷을 생성하고 자체 분석을 수행할 수 있습니다.
이 페이지에서 다음 작업을 수행하는 방법을 알려줍니다.
- 포렌식 스냅샷 만들기
- 포렌식 스냅샷에 액세스합니다.
- 포렌식 스냅샷 기간 설정
또한 다음 작업을 수행할 수 있습니다.
- 스냅샷을 변환하여 분석할 수 있습니다. 포렌식 스냅샷 변환를 참조하십시오.
- 포렌식 스냅샷을 AWS SW3 버킷에 업로드하십시오. 포렌식 스냅샷을 AWS S3 버킷에 업로드하십시오.를 참조하십시오.
Windows 장치에서만 스냅샷을 업로드할 수 있습니다. 또한 XDR 또는 MDR 라이센스가 있어야 합니다.
포렌식 스냅샷 생성됨
Sophos Central의 장치 세부 정보 또는 위협 그래프에서 포렌식 스냅샷을 생성할 수 있습니다.
디바이스 세부 정보에서 스냅샷 생성
디바이스 세부 정보에서 스냅샷을 생성하려면 다음을 수행합니다.
- Sophos Central에서, 나의 제품 > 일반 설정을 클릭합니다.
- 스냅샷을 생성할 디바이스의 이름을 클릭합니다.
- * 장치 세부 정보 페이지의 요약 탭에서 *More 작업 를 클릭하고 포렌식 스냅샷 생성을 선택합니다.
- 포렌식 스냅샷 만들기 에서 지금 만들기를 클릭합니다.
기본적으로 스냅샷은 에서 생성됩니다 %PROGRAMDATA%\Sophos\Endpoint Defense\Data\Forensic Snapshots\
.
또는 스냅샷을 S3 버킷에 업로드할 수 있습니다. 포렌식 스냅샷을 AWS S3 버킷에 업로드하십시오.을 참조하십시오.
스냅샷을 분석할 수 있는 형식으로 변환해야 합니다. 포렌식 스냅샷 변환을 참조하십시오.
위협 그래프에서 스냅샷 생성
위협 그래프에서 스냅샷을 생성하려면 다음을 수행합니다.
- Sophos Central에서 위협 분석 센터 > 위협 그래프으로 이동합니다.
- 스냅샷을 생성할 장치와 연관된 감지된 위협을 선택합니다.
- 위협 그래프에서 **** 아티팩트 테이블 아래에 있는 포렌식 스냅샷 생성 을 클릭합니다.
기본적으로 스냅샷은 에서 생성됩니다 %PROGRAMDATA%\Sophos\Endpoint Defense\Data\Forensic Snapshots\
.
또는 스냅샷을 S3 버킷에 업로드할 수 있습니다. 포렌식 스냅샷을 AWS S3 버킷에 업로드하십시오.을 참조하십시오.
스냅샷을 분석할 수 있는 형식으로 변환해야 합니다. 포렌식 스냅샷 변환을 참조하십시오.
포렌식 스냅샷 액세스
장치에서 포렌식 스냅샷에 액세스할 수 있습니다.
참고
변조 보호가 설정된 상태에서 저장된 스냅샷에 액세스하려면 상승된 권한의 명령 프롬프트에서 를 실행해야 합니다.
기본적으로 생성하는 스냅샷은 에 있습니다 %PROGRAMDATA%\Sophos\Endpoint Defense\Data\Forensic Snapshots\
.
감지를 기반으로 자동으로 생성되는 스냅샷은 에 있습니다 %PROGRAMDATA%\Sophos\Endpoint Defense\Data\Saved Data\
.
포렌식 스냅샷을 위한 기간 선택
기본적으로 스냅샷에는 이전 2주 동안의 데이터가 포함되어 있습니다.
다음과 같이 기간을 변경하거나 사용 가능한 모든 데이터를 포함하도록 선택할 수 있습니다.
- Sophos Central에서, 전역 설정으로 이동하여 포렌식 스냅샷을 클릭합니다.
- 포렌식 스냅샷에 대한 기간 설정 에서기간 또는 모든 로그 데이터를 선택합니다.
S3 버킷에 스냅샷 업로드
포렌식 스냅샷을 AWS S3 버킷에 업로드하십시오.를 켭니다. 이렇게 하면 각 시스템으로 이동하지 않고 중앙 위치에서 스냅샷에 쉽게 액세스할 수 있습니다.
스냅샷을 업로드할 수 있도록 AWS S3 버킷을 설정하는 방법에 대한 자세한 내용은 포렌식 스냅샷을 AWS S3 버킷에 업로드하십시오.을(를) 참조하십시오.
-
포렌식 로그 수집
여기에서 AWS S3 버킷에 업로드를 설정하면 새로운 Forensic 로그 수집 기능이 동일한 설정을 사용하여 로그를 업로드합니다.
법의학적 로그 수집은 현재 Sophos Central API를 통해서만 사용할 수 있습니다. https://developer.sophos.com/api 참조하십시오.