사건 조사

사용 가능한 정보와 도구를 사용하여 사건 세부정보 페이지에서 사건을 조사할 수 있습니다. 이 페이지에 설명된 대로.

우리는 탐지에 대해 더 알아보고 조치를 취할 수 있는 제안을 얻기 위해 인공지능(AI) 어시스턴트를 사용하는 것을 권장합니다. AI 지원을 참조하십시오.

사건의 세부 페이지에서 노트북 탭에 대한 조사 기록을 유지하십시오.

일부 경우에는 케이스에도 응답할 수 있습니다. 사례 대응을 참조하십시오.

사건 조사

설정을 시작하려면 다음과 같이 하십시오.

1. 컴퓨터 페이지로 이동합니다.

   

2. 사건의 사건 ID를 클릭합니다.

   

3. 개요

   

이 페이지에서 다음 작업을 수행할 수 있습니다.

• 사건에 대한 정보를 요약합니다. 사례 요약을 참조하십시오.
• 위협이 실행한 명령줄을 분석합니다. 명령줄을 참조하십시오.
• 어떤 기기와 사용자가 영향을 받았는지 확인합니다. 영향을 받는 엔티티을 참조하십시오.
• 사용된 공격 전술과 기술을 찾습니다. 감지 세부 정보에서 MITRE 전술을(를) 확인하십시오.

사례 요약

고객님께서는 Sophos AI를 사용하여 케이스 요약을 생성할 수 있습니다.

1. 태그 쌍 사건 요약에서 AI 아이콘을 클릭하십시오.

   Sophos AI는 사례를 분석하고 세부 정보를 요약합니다.

   

2. 요약을 저장하려면 삽입을 클릭하세요. 해당 항목을 삭제하려면 "X"를 클릭하십시오.

   요약을 저장하면 편집 아이콘 를 클릭하여 수정할 수 있습니다.

   

대신하여, 케이스를 수동으로 요약할 수 있습니다. 편집 아이콘 을(를) 클릭한 후 요약을 입력하세요.

명령줄

위협으로 인한 사례를 생성한 명령줄을 분석하기 위해 Sophos AI를 사용할 수 있습니다.

Command Line

Sophos AI는 명령줄을 분석하여 위협의 의도와 가능한 영향을 발견합니다. 필요한 경우 코드를 해독하여 위협을 평가하는 데 필요한 노력을 최소화합니다.

영향을 받는 엔티티

영향을 받는 엔터티은(는) 감지된 위협으로 영향을 받는 장치, 사용자, 파일, IP 주소 및 프로세스를 나열합니다.

장치 이름을 클릭하여 컴퓨터 및 서버 페이지에서 상세 정보를 확인하십시오.

MITRE 전술

MITRE 전술은 감지된 모든 MITRE ATT&CK 전술과 기법을 나열합니다.

원하는 전술 옆에 있는 펼치기 화살표를 클릭하여 기법을 확인합니다.

MITRE 웹 사이트의 세부 정보로 이동하려면 예를 들어 자격 증명 액세스처럼 전술이나 기법 옆에 있는 링크를 클릭합니다.

사례 대응

타사 제품을 통해 감지된 문제를 해결할 수 있습니다.

이 기능을 사용하려면 사용할 타사 제품과 대응 조치 통합을 설정해야 합니다. 제품(으)로 이동하여 해당 제품을 클릭합니다.

이 예시에서는 대응 조치를 사용하여 손상된 사용자를 일시 중단하는 방법을 보여 줍니다. 조치를 취하려면 다음과 같이 하십시오.

1. 원하는 사례 옆에 있는 사례 ID를 클릭하여 새부 정보를 확인합니다.
2. 대응 탭을 선택합니다.

3. 원하는 조치를 찾습니다. 제품 유형 ID를 클릭하여 해당 유형에 사용 가능한 조치를 확인합니다.

   

4. 클릭하십시오. 사용자 일시정지.

5. 작업 세부 정보 페이지에서 필요한 정보와 조치 이유를 입력합니다.

   

6. 실행을 클릭합니다.