포렌식 스냅샷

포렌식 스냅샷은 장치에서 최근 발생한 활동을 캡처합니다.

위협이 감지되면 장치에 자동으로 스냅샷이 생성되고, 이 스냅샷을 사용하여 공격이 어떻게 진행되었는지 보여주는 위협 그래프가 만들어집니다.

필요에 따라 포렌식 스냅샷을 생성하고 직접 분석할 수도 있습니다.

이 페이지에서 다음 작업을 수행하는 방법을 알려줍니다.

• 포렌식 스냅샷들 만들기
• 포렌식 스냅샷에 접근하세요.
• 포렌식 스냅샷의 기간을 설정합니다.

또한 다음 작업을 수행할 수 있습니다.

• 스냅샷을 분석할 수 있도록 변환하세요. 포렌식 스냅샷을 변환합니다.을 참조하십시오
• 스냅샷을 AWS SW3 버킷에 업로드합니다. 포렌식 스냅샷을 AWS S3 버킷에 업로드하십시오.을 참조하십시오

!!! info "Windows 장치에서만 스냅샷을 업로드할 수 있습니다." 또한 XDR 또는 MDR 라이선스가 있어야 합니다.

포렌식 스냅샷을 생성합니다.

Sophos Central 의 장치 세부 정보 또는 위협 그래프에서 포렌식 스냅샷을 생성할 수 있습니다.

장치 세부 정보에서 스냅샷을 생성합니다.

장치 세부 정보에서 스냅샷을 생성하려면 다음 단계를 따르세요.

1. Sophos Central에서, 내 환경 > 컴퓨터 및 서버을 클릭합니다.
2. 스냅샷을 생성하려는 장치 의 이름을 클릭하십시오.
3. 장치 세부 정보 페이지의 요약 탭에서 추가 작업을 클릭하고 포렌식 스냅샷 생성을 선택합니다.
4. 포렌식 스냅샷 생성에서 지금 생성을 클릭합니다.

기본적으로 스냅샷은 %PROGRAMDATA%\Sophos\Endpoint Defense\Data\Forensic Snapshots\로 생성됩니다.

또는 스냅샷을 S3 버킷에 업로드할 수도 있습니다. 포렌식 스냅샷을 AWS S3 버킷에 업로드하십시오.을 참조하십시오.

스냅샷을 분석 가능한 형식으로 변환해야 합니다. 포렌식 스냅샷을 변환합니다.을 참조하십시오.

위협 그래프에서 스냅샷을 생성합니다.

위협 그래프에서 스냅샷을 생성하려면 다음 단계를 따르십시오.

1. Sophos Central에서 위협 분석 센터 > 위협 그래프으로 이동합니다.
2. 스냅샷을 생성하려는 장치 와 관련된 탐지된 위협을 선택하십시오.
3. 위협 그래프에서 아티팩트 테이블 아래에 있는 포렌식 스냅샷 만들기를 클릭합니다.

기본적으로 스냅샷은 %PROGRAMDATA%\Sophos\Endpoint Defense\Data\Forensic Snapshots\로 생성됩니다.

또는 스냅샷을 S3 버킷에 업로드할 수도 있습니다. 포렌식 스냅샷을 AWS S3 버킷에 업로드하십시오.을 참조하십시오.

스냅샷을 분석 가능한 형식으로 변환해야 합니다. 포렌식 스냅샷을 변환합니다.을 참조하십시오.

포렌식 스냅샷에 액세스하세요.

장치 의 포렌식 스냅샷에 접근할 수 있습니다.

기본적으로 생성하는 스냅샷은 %PROGRAMDATA%\Sophos\Endpoint Defense\Data\Forensic Snapshots\에 있습니다.

탐지를 기반으로 자동으로 생성되는 스냅샷은 %PROGRAMDATA%\Sophos\Endpoint Defense\Data\Saved Data\에 있습니다.

스냅샷 저장 기간을 설정하세요

기본적으로 스냅샷에는 이전 2주 동안의 데이터가 포함되어 있습니다.

다음과 같이 기간을 변경하거나 사용 가능한 모든 데이터를 포함하도록 선택할 수 있습니다.

1. 전역 설정 아이콘 을 클릭하세요.
2. 제품 및 서비스 > Endpoint 및 Server로 이동하여 포렌식 스냅샷을 클릭합니다.
3. 포렌식 스냅샷 기간 설정에서 기간 또는 모든 로그 데이터를 선택합니다.

스냅샷을 S3 버킷에 업로드합니다.

포렌식 스냅샷을 AWS S3 버킷에 업로드할 수 있습니다. 이렇게 하면 각 장치에 접속하지 않고도 한 곳에서 간편하게 스냅샷에 접근할 수 있습니다.

스냅샷을 업로드할 수 있도록 AWS S3 버킷을 설정하는 방법에 대한 자세한 내용은 포렌식 스냅샷을 AWS S3 버킷에 업로드하십시오.을 참조하세요.