콘텐츠로 이동

조사

조사를 통해 잠재적 위협을 분석할 수 있습니다.

조사감지 기능에서 보고된 의심스러운 이벤트를 그룹화하고 이에 대한 포렌식 작업을 수행하는 데 도움이 됩니다.

이 페이지에서는 조사가 어떻게 작동하는지 설명하고 다음을 수행하는 방법을 알려줍니다.

  • 조사를 설정합니다.
  • 조사를 보고 시작합니다.
  • 감지된 이벤트를 조사합니다.
  • 조사를 종료합니다.

조사 소개

자동으로 조사를 만듭니다. 이렇게 하면 조사가 권장되는 감지에 중점을 둡니다.

  • 고위험 감지가 있을 때 조사를 만듭니다(동일한 날 조사에 포함되지 않은 경우).
  • 관련이 있으면 나중에 감지를 조사에 추가합니다(동일한 감지 유형 또는 영향을 받는 장치를 공유).

감지는 여러 조사에서 이루어질 수 있습니다.

자세한 내용은 Sophos가 조사를 만드는 방법를 참조하십시오.

이러한 조사를 편집하고 수행할 수 있습니다. 또는 자체 조사를 만들 수 있습니다. 조사 만들기을 참조하십시오.

조사 설정

감지조사는 Sophos 데이터 레이크의 데이터를 기반으로 합니다. 이러한 기능을 사용하기 전에 데이터 레이크에 대한 보안 데이터 업로드가 켜져 있는지 확인하십시오.

데이터는 다양한 Sophos 제품에서 가져올 수 있습니다.

데이터 레이크 업로드을 참조하십시오.

조사 보기 및 시작

저희가 만든 조사를 보고 시작하고 사람들에게 할당하려면 다음과 같이 하십시오.

  1. 개요 > 위협 분석 센터 > 조사로 이동합니다.
  2. 조사 목록이 나타납니다. 자세한 내용을 보려면 조사를 클릭하십시오.

    참고

    이 페이지를 처음 볼 때 목록이 비어 있을 수 있습니다. 나중에 다시 와서 자동으로 만들어진 조사를 보거나 직접 조사를 만드십시오.

    조사 페이지

  3. 조사 레코드에는 조사 세부 정보가 표시되고 감지 목록에는 포함된 의심스러운 이벤트가 표시됩니다. 다음과 같이 조사를 시작합니다.

    1. 우선순위를 높음, 보통 또는 낮음으로 설정합니다.
    2. 상태를 시작되지 않음에서 진행 중으로 변경합니다.
    3. 할당 유형을 클릭하여 조사할 Sophos Central 관리자를 선택합니다.

    조사 세부 정보 페이지

관련 감지가 발생하면 저희는 해당 감지를 조사에 추가합니다. 귀하는 감지를 추가 또는 제거할 수도 있습니다. 감지 목록에서 작업을 클릭하고 수행할 작업을 선택합니다.

참고

기본적으로, 새로운 조사가 있을 때마다 슈퍼 관리자에게 이메일을 보냅니다. 이메일 알림을 참조하십시오.

감지된 이벤트 조사

조사를 수행하기 위한 템플릿을 제공해 드렸습니다. 조사하려면 다음과 같이 하십시오.

  1. 개요 > 위협 분석 센터 > 조사로 이동합니다.
  2. 조사를 클릭합니다.

    조사 페이지

  3. 조사 노트를 확장합니다. Observe-Orient-Decide-Act 모델을 기반으로 하는 일련의 질문이 표시됩니다.

    • 조사가 필요한지 아니면 조사를 종료해야 하는지 결정합니다.
    • 이벤트에 사용된 외부 및 내부 연결을 확인합니다.
    • 어떤 기기와 사용자가 영향을 받았는지 확인합니다.
    • 사용된 공격 전술과 기술을 찾습니다. 이는 감지 세부 정보에서 확인됩니다.
    • 감지에서 피벗 옵션을 사용하여 데이터에 대한 쿼리를 실행하거나 타사 위협 분석 웹 사이트를 참조하십시오. 감지을 참조하십시오.

    조사 노트

조사 종료

조사를 종료하려면 상태를 종료됨으로 변경합니다.

30일 후에 조사를 삭제하겠습니다.

맨위로