사건 조사

귀하께서는 이 페이지에 설명된 대로 사건 세부정보 페이지의 정보와 도구를 사용하여 사례를 조사할 수 있습니다.

또한 탐지에 대해 더 알아보고 조치를 취하는 제안을 얻기 위해 저희 AI 어시스턴트를 사용하는 것을 권장합니다. AI Assistant을 참조하십시오.

사건 세부 페이지의 노트북 탭에 조사 내용을 기록하세요.

경우에 따라서 사례에도 대응할 수 있습니다. 사례 대응을 참조하십시오.

사건 조사

설정을 시작하려면 다음과 같이 하십시오.

1. 컴퓨터 페이지로 이동합니다.

   

2. 사건의 Case ID를 클릭하십시오.

   

3. 태그쌍 2의 '개요' 탭에서 해당 사례를 생성한 감지 정보 및 Sophos AI 도구를 사용하여 분석을 시작할 수 있습니다.

   

이 페이지에서 다음 작업을 수행할 수 있습니다.

• 사건에 대한 정보를 요약하십시오. 사례 요약을 참조하십시오.
• 위협에 의해 실행된 명령 줄을 분석하십시오. 명령줄을 참조하십시오.
• 어떤 기기와 사용자가 영향을 받았는지 확인합니다. 영향을 받는 엔터티을 참조하십시오.
• 사용된 공격 전술과 기술을 찾습니다. 태그 MITRE 전술을(를) 참조하거나 감지 세부 정보를 확인하십시오.

사례 요약

소포스 AI를 사용하여 케이스 요약을 생성할 수 있습니다.

1. 사건 요약에서 AI 아이콘을 클릭합니다.

   Sophos AI가 사례를 분석하고 세부 정보를 요약합니다.

   

2. 요약을 저장하려면 삽입을 클릭하십시오. 해당 항목을 삭제하려면 "X"를 클릭하세요.

   요약을 저장하면 편집 아이콘 을 클릭하여 해당 항목을 수정할 수 있습니다.

   

다른 방법으로는, 사례를 수동으로 요약할 수 있습니다. 편집 아이콘 을(를) 클릭하고 요약을 입력하세요.

명령줄

Sophos AI를 사용하여 케이스를 생성한 위협이 실행한 명령줄을 분석할 수 있습니다.

명령줄 분석에서 AI 아이콘을 클릭합니다.

Sophos AI는 명령줄을 분석하여 위협의 의도와 가능한 영향을 발견합니다. 필요한 경우, 위협을 평가하는 데 필요한 노력을 최소화하기 위해 코드의 난독성을 해제합니다.

영향을 받는 엔터티

영향을 받는 엔티티은(는) 감지된 위협에 영향을 받은 장치, 사용자, 파일, IP 주소 및 프로세스를 나열합니다.

장치 이름을 클릭하여 컴퓨터 및 서버 페이지에서 전체 세부 정보를 확인하세요.

MITRE 전술

MITRE 전술은 감지된 모든 MITRE ATT&CK 전술과 기법을 나열합니다.

원하는 전술 옆에 있는 펼치기 화살표를 클릭하여 기법을 확인합니다.

MITRE 웹 사이트의 세부 정보로 이동하려면 예를 들어 자격 증명 액세스처럼 전술이나 기법 옆에 있는 링크를 클릭합니다.

사례 대응

타사 제품을 통해 감지된 문제를 해결할 수 있습니다.

이 기능을 사용하려면 사용할 타사 제품과 대응 조치 통합을 설정해야 합니다. 제품(으)로 이동하여 해당 제품을 클릭합니다.

이 예시에서는 대응 조치를 사용하여 손상된 사용자를 일시 중단하는 방법을 보여 줍니다. 조치를 취하려면 다음과 같이 하십시오.

1. 원하는 사례 옆에 있는 사례 ID를 클릭하여 새부 정보를 확인합니다.
2. 대응 탭을 선택합니다.

3. 원하는 조치를 찾습니다. 제품 유형 ID를 클릭하여 해당 유형에 사용 가능한 조치를 확인합니다.

   

4. 클릭 사용자 일시 중지.

5. 작업 세부 정보 페이지에서 필요한 정보와 조치 이유를 입력합니다.

   

6. 실행을 클릭합니다.