주요 콘텐츠로 건너뛰기
페이지의 일부 또는 전체가 기계 번역되었습니다.

사례

사례는 조사를 대체합니다. 아직 진행 중인 조사를 마칠 수 있도록 조사는 일정 기간 동안 사용할 수 있는 상태로 유지됩니다.

사례 페이지는 감지 기능에서 보고된 의심스러운 이벤트를 그룹화하고 사용자 또는 MDR 팀이 이에 대한 포렌식 작업을 수행하고 대응하는 데 도움이 됩니다.

사례 정보

자동으로 사례를 만듭니다. 이렇게 하면 조사가 권장되는 감지에 중점을 둡니다.

  • 고위험 감지가 있을 때 사례를 만듭니다(동일한 날 사례에 포함되지 않은 경우).
  • 감지의 감지 유형이 동일한 경우, 나중에 해당 감지를 사례에 추가합니다.

사례는 Sophos XDR 감지 또는 Sophos MDR 감지를 기반으로 할 수 있습니다. XDR 사례를 변경할 수 있지만 MDR 사례는 읽기 전용입니다.

또한 자체 사례를 만들 수도 있습니다. 사례 생성을 참조하십시오.

사례 활성화

감지사례는 Sophos 데이터 레이크의 데이터를 기반으로 합니다.

아직 감지가 되지 않는다면 해당 데이터 레이크에 대한 보안 데이터 업로드가 켜져 있는지 확인해야 합니다.

데이터는 다양한 Sophos 제품 또는 타사 제품에서 가져올 수 있습니다.

Sophos 제품의 데이터의 경우 데이터 레이크 업로드를 참조하십시오. 타사 제품의 데이터의 경우 통합를 참조하십시오.

사례 보기

사례를 보려면 다음과 같이 하십시오.

  1. 위협 분석 센터 > 사례로 이동합니다.

    사례 페이지.

    참고

    이 페이지를 처음 볼 때 목록이 비어 있을 수 있습니다. 나중에 다시 와서 자동으로 만들어진 사례를 보거나 직접 사례를 만드십시오.

  2. 원하는 사례 옆에 있는 사례 ID를 클릭하여 새부 정보를 확인합니다.

    사례 목록의 사례 ID 링크.

이제 사례 세부 정보 페이지가 표시됩니다. 자세한 내용은 사례 세부 정보 보기를 참조하십시오.

사례 세부 정보.

사례 편집 및 할당

XDR 사례를 편집하고 할당만 할 수 있습니다. MDR 팀은 MDR 사례를 처리합니다.

사례를 편집하고 분석을 위해 관리자에게 할당할 수 있습니다.

파트너 슈퍼 관리자 및 엔터프라이즈 슈퍼 관리자는 사례를 편집하고 할당할 수 없습니다.

다시 알림 설정된 문제를 편집하려면 다음과 같이 하십시오.

  1. 위협 분석 센터 > 사례로 이동하여 사례 목록을 확인합니다.
  2. 원하는 사례 옆에 있는 사례 ID를 클릭하여 새부 정보를 확인합니다.
  3. 사례 세부 정보 페이지에는 개요 탭이 기본적으로 열려 있습니다. 다음 단계에 따릅니다.

    1. 우선순위심각, 높음, 중간, 낮음 또는 정보로 설정합니다.
    2. 시작할 준비가 되었으면 상태새로 만들기에서 조사 중으로 변경합니다.
    3. 소유자에서 사례를 할당할 관리자를 선택합니다.
    4. 요약에서 해당 사례에 대한 설명을 입력합니다.

    사례 세부 정보 페이지.

관련 감지가 발생하면 저희는 해당 감지를 사례에 추가합니다.

참고

Sophos Central 관리자에게 이메일 알림을 설정하면 새 케이스에 대해 알립니다. 이메일 알림을 참조하십시오.

사례 세부 정보 보기

사례의 전체 세부 정보를 보려면 해당 사례 옆에 있는 사례 ID를 클릭합니다.

사례 세부 정보 페이지 머리글에는 해당 사례의 심각도, 상태 및 소유자가 표시됩니다. 또한 사례가 생성, 할당 및 마지막으로 업데이트된 시기도 표시됩니다.

이 페이지에는 추가 세부 정보를 볼 수 있는 탭도 있습니다.

사례 세부 정보 머리글.

개요 탭

개요 탭은 기본적으로 열려 있으며, 사례 요약, MITRE 전략 세부 정보 및 최근 활동을 표시합니다.

사례 세부 정보 개요 탭.

요약

XDR 고객인 경우 사례 설명을 입력합니다. MDR 고객인 경우 MDR 팀에서 대신 설명을 입력합니다.

MITRE 전술

MITRE 전술은 감지된 모든 MITRE ATT&CK 전술과 기법을 나열합니다.

원하는 전술 옆에 있는 펼치기 화살표를 클릭하여 기법을 확인합니다.

MITRE 웹 사이트의 세부 정보로 이동하려면 예를 들어 자격 증명 액세스처럼 전술이나 기법 옆에 있는 링크를 클릭합니다.

MITRE 전술 세부 정보.

최근 활동

최근 활동은 해당 사례에 대한 최근 변경 사항을 표시합니다. 모두 보기를 클릭하여 기록 탭으로 이동합니다.

감지 탭

감지 탭에는 해당 사례에 포함된 모든 감지가 나열됩니다. 감지 페이지의 목록과 동일한 세부 정보가 표시됩니다. 감지을 참조하십시오.

감지 탭.

노트북 탭

노트북 탭을 사용하여 조사 기록을 보관합니다.

기록 탭

기록 탭에는 해당 사례에 대한 모든 활동의 기록이 표시됩니다. 예를 들어 감지가 추가되거나 상태, 소유자 등이 변경된 활동이 있습니다.

사례 조사

사례 세부 정보에서 노트북 탭을 사용하여 해당 사례에 대한 조사를 기록합니다. 다음 단계를 따르는 것이 좋습니다.

  • 조사가 필요한지 아니면 조사를 종료해야 하는지 결정합니다.
  • 이벤트에 사용된 외부 및 내부 연결을 확인합니다.
  • 어떤 기기와 사용자가 영향을 받았는지 확인합니다.
  • 사용된 공격 전술과 기술을 찾습니다. 이러한 정보는 감지 세부 정보에서 확인할 수 있습니다.
  • 감지에서 피벗 옵션을 사용하여 데이터에 대한 쿼리를 실행하거나 타사 위협 분석 웹 사이트를 참조하십시오. 피벗 쿼리, 보강 및 조치 사용을 참조하십시오.

사례 대응

타사 제품을 통해 감지된 문제를 해결할 수 있습니다.

이 기능을 사용하려면 사용할 타사 제품과 대응 조치 통합을 설정해야 합니다. 통합(으)로 이동하여 해당 제품을 클릭합니다.

이 예시에서는 대응 조치를 사용하여 손상된 사용자를 일시 중단하는 방법을 보여 줍니다. 조치를 취하려면 다음과 같이 하십시오.

  1. 원하는 사례 옆에 있는 사례 ID를 클릭하여 새부 정보를 확인합니다.
  2. 대응 탭을 선택합니다.
  3. 원하는 조치를 찾습니다. 제품 유형 ID를 클릭하여 해당 유형에 사용 가능한 조치를 확인합니다.

    ID 조치를 보여 주는 대응 탭.

  4. 사용자 일시 중단 조치를 클릭합니다.

  5. 작업 세부 정보 페이지에서 필요한 정보와 조치 이유를 입력합니다.

    사용자 일시 중단 대화 상자.

  6. 실행을 클릭합니다.

사례 종료 또는 제거

사례를 종료하려면 상태를 종료됨으로 변경합니다. 사례는 30일 동안 목록에 남아 있으며 그 후 삭제됩니다.

파트너 슈퍼 관리자 및 엔터프라이즈 슈퍼 관리자는 케이스를 종료하거나 제거할 수 없습니다.

허용 목록에서 사례를 삭제하려면 사례 제거를 클릭합니다.

제거할 사례가 선택된 사례 목록입니다.