주요 콘텐츠로 건너뛰기
페이지의 일부 또는 전체가 기계 번역되었습니다.

페이지 고정 링크

이 페이지를 참조할 때는 항상 다음 고정 링크를 사용하십시오. 이후 도움말 버전에서 변경되지 않은 채 유지됩니다.

https://docs.sophos.com/central/customer/help/ko-kr/index.html?contextId=threat-lineage

위협 계통

이 기능을 사용하려면 Sophos EDR, XDR 또는 MDR이 필요합니다.

위협 라인리지

위협 라인리지는 그래픽 형식으로 표시되며, 감지로 이어지는 프로세스를 보여줍니다. 위협이 어떻게 발전했는지, 환경에 어떤 영향을 미쳤는지, 그 결과가 무엇인지를 이해하는 데 도움이 됩니다.

위협 계보 보기

위협 계보 그래프에 접근할 수 있습니다. 감지 세부 정보 페이지에서.

  1. 위협 분석 센터 > 감지로 이동합니다.

    대신 위협 분석 센터 > 사례로 이동하여 탐지 탭을 선택하십시오.

  2. 테이블에서 원하는 감지 항목을 찾고 해당 항목의 행 어디든 클릭하십시오.

    화면 오른쪽에 새 창이 나타납니다.

  3. 세부 창에서 Lineage 탭을 선택합니다.

    만약 Lineage 탭이 표시되지 않는다면, 이 감지는 새로운 기능을 지원하지 않습니다.

    라인리지 탭이 있는 탐지 세부 정보 창.

  4. 클릭하십시오. Lineage Graph 열기.

    Lineage 탭 페이지.

  5. If there's no graph available yet, click Generate.

    참고

    "If a detection generates a "case", a graph is generated automatically and will be available here already." 사례에 대한 정보는 사례을(를) 참조하십시오.

    “생성” 단추가 있는 계보 페이지.

감지를 일으킨 프로세스 및 그들로 인해 발생한 프로세스를 보여주는 그래프가 표시됩니다.

라인지 그래프.

가계도 그래프는 7일 동안 유지됩니다. 데이터를 보관하는 Sophos XDR Data Lake의 기간 동안, 일반적으로 90일 동안 언제든지 재생성할 수 있습니다.

위협 계통의 열쇠

위협 계통 그래프는 아래 아이콘을 사용하여 프로세스와 활동을 나타냅니다.

아이콘 프로세스 설명
클리어한 육각형. 프로세스 탐지로 이어지는 프로세스
빨간 육각형. 영향을 받는 프로세스 의심스러운 또는 잠재적으로 악의적인 프로세스
빨간색 번개 모양. 탐지 트리거가 활성화되었습니다. 감지를 일으킨 프로세스
빨간색 경고 신호. 주요 활동 후속 이벤트의 진행 또는 결과에 영향을 미치는 중요한 조치들

그래프에서 각 프로세스 유형의 아이콘 목록과 갯수를 보려면 페이지 오른쪽 상단의 범례 아이콘을 클릭하십시오.

전설 아이콘.

그래프에는 직접 계보에 속하지 않지만 계보 내의 프로세스에 의해 시작된 프로세스 및 활동도 표시할 수 있습니다. 이것들은 여기에 보여진 것처럼 주 그래프에서 분기합니다. 로그에 대해 자세히 알아보려면 라인리지에 더 많은 프로세스 표시를 참조하십시오.

계보 내 프로세스에 의해 시작된 추가 프로세스를 보여주는 그래프입니다.

프로세스의 자세한 내용을 확인하려면 더 보기를 참조하세요.

다음과 같이 자세한 내용을 확인할 수 있습니다:

  • 프로세스 위로 마우스를 가져가십시오. 이는 기본 세부 정보와 명령 줄을 보여줍니다.

    마우스를 호버하면 세부 정보가 표시되는 프로세스입니다.

  • 피벗 옵션을 사용하십시오. 프로세스 옆의 세 점 점 3개 아이콘.를 클릭하십시오. Live Discover에서 실행할 쿼리를 선택할 수 있습니다.

    피벗 메뉴가 표시된 상태에서 프로세스를 실행합니다.

  • 프로세스를 클릭하십시오 이 그래프 아래에 정보활동 탭이 열립니다.

    The 정보 탭에는 프로세스 세부정보와 명령줄이 표시됩니다. 그래프에서 사용 가능한 동일한 피벗 옵션을 사용하려면 세부 정보 옆의 세 개의 점을 클릭하십시오.

    소포스 AI 기능을 보유하고 있으면 AI 아이콘 AI 아이콘.을(를) 클릭하여 명령행의 분석을 생성하십시오.

    활동 탭의 세부 정보는 프로세스와 관련된 활동을 확인하세요을(를) 참조하십시오.

    정보 탭.

프로세스와 관련된 활동을 확인하세요

프로세스와 관련된 모든 활동을 볼 수 있습니다. 이러한 활동에는 계통 그래프에 포함되지 않은 다른 관련 프로세스가 포함됩니다.

활동을 보려면 다음을 수행하십시오:

  1. 그래프에서 프로세스를 클릭하여 해당 세부 정보를 열 수 있습니다.

  2. 태그 쌍2 "Activities" 탭을 선택하십시오.

    • 계보가 자동으로 생성된 경우 영향을 받는 프로세스를 살펴보고 있다면 탭에 이미 활동이 표시됩니다.
    • 계보를 수동으로 생성한 경우 탭은 처음에 비어 있습니다. 다음 단계에 설명된 대로 데이터를 로드해야 합니다.

    활동 탭.

  3. 탭 오른쪽에 Enrich를 클릭하여 데이터를 로드하십시오.

    처음으로 Enrich를 클릭하면, 프로세스가 시작된 시점부터 데이터의 처음 세 날이 표시됩니다. 각각 Enrich를 클릭할 때마다 세 일치의 데이터가 추가되며 더 많은 활동이 나열됩니다.

    Enrich 타임라인 시작 시 팝업에서 초기 감지 시간 및 날짜가 표시됩니다.

다음과 같이 표시되는 정보를 변경할 수 있습니다.

  • 행을 확장하여 원시 데이터를 표시합니다.
  • 유형, 동작 등으로 활동 필터링

이 목록에서 프로세스를 라인리지 그래프에 추가할 수도 있습니다. 라인리지에 더 많은 프로세스 표시을 참조하십시오.

라인리지에 더 많은 프로세스 표시

프로세스 세부정보의 Activities 탭에는 직접 위협 계보에 없는 추가적인 관련 프로세스가 표시됩니다.

위협을 조사하는 데 도움이 되도록 이러한 프로세스를 계보 그래프에 추가할 수 있습니다.

  1. 프로세스를 클릭하고 해당 Activities 탭을 엽니다.
  2. 활동 목록에서 원하는 관련 프로세스를 찾아보세요.

  3. 프로세스 옆의 눈 아이콘을 클릭하여 해당 프로세스를 표시합니다. 프로세스를 숨기려면 아이콘을 다시 클릭하십시오.

    아이콘.

혈통 내보내기

라인리지 데이터를 CSV 파일로 내보내려면, 내보내기 아이콘을 클릭하십시오.

내보내기 아이콘.

수출 중 오류가 발생하는 경우 그래프 내의 프로세스 중 하나를 선택하고 해당 위치에서 다시 시도하십시오.

계보를 검색하십시오.

라인리지를 검색하려면 페이지 상단 왼쪽의 검색 창에 용어를 입력하십시오.

매칭 결과는 페이지 하단의 정보, 활동, 그리고 매칭 결과 탭에서 표시됩니다.