사건 조사
이 페이지는 "자체 관리" 사례에만 해당됩니다.
사용 가능한 정보와 도구를 사용하여 사건 세부정보 페이지에서 사건을 조사할 수 있습니다. 이 페이지에 설명된 대로.
우리는 탐지에 대해 더 알아보고 조치를 취할 수 있는 제안을 얻기 위해 인공지능(AI) 어시스턴트를 사용하는 것을 권장합니다. AI 지원을 참조하십시오.
사건의 세부 페이지에서 노트북 탭에 대한 조사 기록을 유지하십시오.
일부 경우에는 케이스에도 응답할 수 있습니다. 사례 대응을 참조하십시오.
사건 조사
설정을 시작하려면 다음과 같이 하십시오.
이 페이지에서 다음 작업을 수행할 수 있습니다.
- 사건에 대한 정보를 요약합니다. 사례 요약을 참조하십시오.
- 위협이 실행한 명령줄을 분석합니다. 명령줄을 참조하십시오.
- 어떤 기기와 사용자가 영향을 받았는지 확인합니다. 영향을 받는 엔티티을 참조하십시오.
- 사용된 공격 전술과 기술을 찾습니다. 감지 세부 정보에서 MITRE 전술을(를) 확인하십시오.
사례 요약
고객님께서는 Sophos AI를 사용하여 케이스 요약을 생성할 수 있습니다.
-
태그 쌍 사건 요약에서 AI 아이콘을 클릭하십시오.
Sophos AI는 사례를 분석하고 세부 정보를 요약합니다.
-
요약을 저장하려면 삽입을 클릭하세요. 해당 항목을 삭제하려면 "X"를 클릭하십시오.
요약을 저장하면 편집 아이콘
를 클릭하여 수정할 수 있습니다.
대신하여, 케이스를 수동으로 요약할 수 있습니다. 편집 아이콘 을(를) 클릭한 후 요약을 입력하세요.
명령줄
위협으로 인한 사례를 생성한 명령줄을 분석하기 위해 Sophos AI를 사용할 수 있습니다.
Command Line
Sophos AI는 명령줄을 분석하여 위협의 의도와 가능한 영향을 발견합니다. 필요한 경우 코드를 해독하여 위협을 평가하는 데 필요한 노력을 최소화합니다.
영향을 받는 엔티티
영향을 받는 엔터티은(는) 감지된 위협으로 영향을 받는 장치, 사용자, 파일, IP 주소 및 프로세스를 나열합니다.
장치 이름을 클릭하여 컴퓨터 및 서버 페이지에서 상세 정보를 확인하십시오.
MITRE 전술
MITRE 전술은 감지된 모든 MITRE ATT&CK 전술과 기법을 나열합니다.
원하는 전술 옆에 있는 펼치기 화살표를 클릭하여 기법을 확인합니다.
MITRE 웹 사이트의 세부 정보로 이동하려면 예를 들어 자격 증명 액세스처럼 전술이나 기법 옆에 있는 링크를 클릭합니다.
사례 대응
대응 작업 기능은 현재 대부분의 타사 제품 통합에서 사용할 수 없습니다.
타사 제품을 통해 감지된 문제를 해결할 수 있습니다.
이 기능을 사용하려면 사용할 타사 제품과 대응 조치 통합을 설정해야 합니다. 제품(으)로 이동하여 해당 제품을 클릭합니다.
이 예시에서는 대응 조치를 사용하여 손상된 사용자를 일시 중단하는 방법을 보여 줍니다. 조치를 취하려면 다음과 같이 하십시오.