콘텐츠로 이동

감지

감지를 통해 조사가 필요할 수 있는 활동을 확인할 수 있습니다.

감지를 보려면 개요 > 위협 분석 센터 > 감지로 이동합니다.

감지를 통해 장치에서 비정상적이거나 의심스럽지만 차단되지 않은 활동을 식별할 수 있습니다. 이미 악성으로 알려진 활동을 감지하고 차단하는 이벤트와는 다릅니다.

장치가 Sophos 데이터 레이크에 업로드하는 데이터를 기반으로 감지를 생성합니다.

위협 분류 규칙에 따라 해당 데이터를 확인합니다. 일치하는 항목이 있을 경우, 감지 기능을 표시합니다.

이 페이지에서는 감지 기능을 사용하여 잠재적 위협을 찾는 방법을 설명합니다.

참고

조사에서는 고급 분석을 위해 관련 감지를 자동으로 그룹화할 수 있습니다. 조사을 참조하십시오.

감지 설정

아직 감지가 없는 경우, 장치가 Sophos 데이터 레이크에 데이터를 업로드하여 사용할 수 있도록 해야 합니다. 다음과 같이 이를 수행합니다.

  1. 개요 > 전역 설정로 이동합니다.
  2. Endpoint Protection 또는 Server Protection에서 데이터 레이크 업로드를 클릭합니다. 업로드를 켭니다.

    컴퓨터와 서버에 대한 업로드를 별도로 켜야 합니다.

이제 감지가 표시되기 시작합니다.

데이터 업로드에 대한 자세한 내용은 데이터 레이크 업로드를 참조하십시오.

감지 세부 정보 보기

감지를 보려면 개요 > 위협 분석 센터 > 감지로 이동합니다.

일치한 규칙과 날짜에 따라 감지를 그룹화합니다. 목록에는 다음이 표시됩니다.

  • 위험. 위험은 1(최저)에서 10(최고)까지의 척도로 나타납니다. 기본 설정에서는 7점 이상의 감지만 표시합니다. 점수를 사용하여 조사의 우선순위를 지정합니다.
  • 분류 규칙. 일치한 규칙의 이름입니다.
  • 카운트. 특정 요일에 분류 규칙이 일치한 횟수입니다.
  • 장치 목록. 규칙이 마지막으로 일치한 장치 및 같은 날 동일한 감지가 이루어진 다른 장치 수입니다.
  • 처음 표시된 시간마지막 표시된 시간. 같은 날 분류 규칙에 기반한 처음 감지와 마지막 감지입니다.
  • 설명. 규칙이 식별하는 항목입니다.
  • Mitre ATT&CK. 해당하는 Mitre ATT&CK 전술과 기법입니다.

관련된 장치, 사용자, 프로세스 등 감지에 대한 자세한 내용을 보려면 오른쪽에 있는 화살표를 클릭하십시오.

감지 목록

잠재적 위협 찾기

감지를 사용하여 장치, 프로세스, 사용자 및 이벤트를 대상으로 다른 Sophos 기능이 차단하지 않은 잠재적인 위협의 징후가 있는지 검사할 수 있습니다. 예:

  • 귀하의 시스템을 검사하고 시스템에 계속 있으려 하거나, 보안을 회피 또는 자격 증명을 도용하려는 시도를 나타내는 비정상적인 명령입니다.
  • 공격자가 장치에 침투했을 수 있음을 나타내는 Sophos 맬웨어 경고(예: 동적 셸코드 차단 이벤트)입니다.

대부분의 감지는 MITRE ATT & CK 프레임워크에 연결되어 있으며, 여기에서 특정 전술과 기법에 대한 자세한 정보를 확인할 수 있습니다. https://attack.mitre.org/ 참조

또한 Sophos가 다른 곳에서 발견한 의심스럽거나 알려진 위협의 징후를 검색하거나, 오래된 소프트웨어 또는 안전하지 않은 브라우저를 검색할 수도 있습니다.

피벗 쿼리, 보강 및 조치를 사용합니다

피벗 쿼리를 사용하여 감지에 대한 자세한 내용을 확인할 수 있습니다.

피벗 쿼리를 사용하면 감지에서 중요한 데이터를 선택하여 추가 조사를 위한 기준으로 사용할 수 있습니다.

감지의 전체 세부 정보를 열면 일부 항목 옆에 줄임표 아이콘이 표시됩니다. 줄임표 아이콘 스크린샷

아이콘을 클릭하면 수행 가능한 작업을 볼 수 있습니다. 이는 데이터 유형에 따라 달라집니다.

  • 쿼리. 선택한 데이터를 기반으로 쿼리를 실행할 수 있습니다. Live Discover 쿼리는 장치의 데이터를 확인합니다. 데이터 레이크 쿼리는 장치가 Sophos 데이터 레이크에 업로드하는 데이터를 확인합니다.
  • 보강. VirusTotal 또는 IP Abuse DB와 같은 타사 웹사이트가 열리므로 발견한 잠재적인 위협에 대한 정보를 검색할 수 있습니다.
  • 작업. 추가 감지 또는 수정 기능을 제공합니다. 예를 들어, 장치를 스캔하거나, Sophos Live Response를 시작하여 장치에 액세스하고 장치를 조사할 수 있습니다.

표시된 예에서, IP 주소 옆의 아이콘을 클릭하면 해당 IP 주소를 기반으로 쿼리를 실행하거나 관련 위험에 대한 타사 정보를 조회할 수 있습니다.

감지 피벗 메뉴

도움말 보는 방법

당사는 귀하의 환경에서 악의적인 활동을 모니터링하고 연중무휴 24시간 귀하를 대신해 대응할 수 있는 관리형 위협 대응 서비스를 제공합니다.

https://www.sophos.com/en-us/products/managed-threat-response.aspx를 참조하십시오.

참고

보안이 침해되었다고 생각되고 즉각적인 도움이 필요한 경우 신속 대응 팀에 문의하십시오. 유료 서비스입니다.

https://www.sophos.com/en-us/products/managed-threat-response/rapid-response.aspx를 참조하십시오.

맨위로