주요 콘텐츠로 건너뛰기
페이지의 일부 또는 전체가 기계 번역되었습니다.

페이지 고정 링크

이 페이지를 참조할 때는 항상 다음 고정 링크를 사용하십시오. 이후 도움말 버전에서 변경되지 않은 채 유지됩니다.

https://docs.sophos.com/central/customer/help/ko-kr/index.html?contextId=threat-lineage

위협 계보

이 기능은 다음과 같이 사용할 수 있습니다.

  • MDR 고객은 지금 이 기능을 사용할 수 있습니다.
  • XDR 고객이 이 기능을 사용하려면 새로운 XDR 기능 EAP(Early Access Program)에 가입해야 합니다. 프로필을 클릭한 다음 조기 액세스 프로그램을 클릭하여 시작합니다.

참고

서버용 MDR Essentials 또는 MDR Complete를 사용 중이라면 새로운 서버 보호 기능 EAP에 가입하여 지금 바로 새로운 기능을 사용할 수 있습니다. 그렇지 않으면 2025년 4월까지 사용할 수 없습니다.

위협 계보 정보

위협 계보에는 감지를 유발하고 트리거한 프로세스가 그래픽 형식으로 표시됩니다. 위협이 어떻게 개발되었는지, 위협이 환경에 미치는 영향 및 그 결과를 이해하는 데 도움이 됩니다.

위협 계보 보기

감지의 세부 정보 페이지에서 위협 계보 그래프에 액세스할 수 있습니다.

  1. 위협 분석 센터 > 감지로 이동합니다.

    또는 위협 분석 센터 > 사례로 * 이동하여 *감지 탭을 선택합니다.

  2. 원하는 감지를 찾고 표에서 해당 행의 아무 곳이나 클릭합니다.

    화면 오른쪽에 새 창이 나타납니다.

  3. **** 세부 정보 창에서 리니지 탭을 선택합니다.

    라인지 탭을 보이지 않는다면 이 탐지는 새로운 기능을 지원하지 않습니다.

    탐지 세부 정보 패널에 계보 탭이 있습니다.

  4. 계보 그래프 열기

    리니지 탭 페이지.

  5. 아직 사용할 수 있는 그래프가 없으면 생성을 클릭합니다.

    참고

    감지가 "사례"를 생성하면 그래프가 자동으로 생성되며 여기에서 이미 사용할 수 있습니다. 변수에 대한 자세한 내용은 사례을(를) 참조하십시오.

    "생성" 버튼이 있는 계보 페이지.

감지를 트리거한 프로세스와 이를 실행한 프로세스의 그래프가 표시됩니다.

계보 그래프.

계보 그래프는 7일 동안 사용할 수 있습니다. Sophos XDR 데이터 레이크가 데이터를 유지하는 기간(일반적으로 90일) 동안 언제든지 다시 생성할 수 있습니다.

위협 계보의 핵심 요소

위협 계보 그래프는 아래 아이콘을 사용하여 프로세스와 활동을 나타냅니다.

아이콘 프로세스 설명
명확한 육각형입니다. 프로세스 감지를 이끈 프로세스
빨간색 육각형. 영향을 받는 프로세스 의심스럽거나 잠재적으로 악의적인 프로세스
붉은 번개. 탐지 트리거가 작동되었습니다. 감지를 트리거한 프로세스
빨간색 경고 신호. 키 활동 이후 이벤트의 진행 상황 또는 결과에 영향을 미치는 Pivotal 작업

그래프에서 이 아이콘 목록과 각 프로세스 유형의 수를 보려면 페이지 오른쪽 위에 있는 범례 아이콘을 클릭합니다.

전설 아이콘.

또한 그래프는 직접 계보에 있지 않지만 계보의 프로세스에 의해 시작된 프로세스와 활동을 표시할 수 있습니다. 이러한 분기는 여기에 표시된 것처럼 기본 그래프에서 분기됩니다. 로그에 대해 자세히 알아보려면 계보에서 더 많은 프로세스 표시를 참조하십시오.

계보의 프로세스에 의해 시작된 추가 프로세스를 보여 주는 그래프입니다.

프로세스에 대한 자세한 내용 보기

다음과 같이 자세한 내용을 볼 수 있습니다.

  • 프로세스 위로 마우스를 가져갑니다. 기본 세부 정보와 명령줄이 표시됩니다.

    마우스를 가져가면 세부 정보가 표시된 프로세스입니다.

  • 다음 옵션을 사용합니다. 점 3개 아이콘. 프로세스 옆에 있는 세 개의 점을 클릭합니다. 그런 다음 Live Discover에서 실행할 쿼리를 선택할 수 있습니다.

    회전 메뉴가 표시된 상태에서 프로세스 진행하세요.

  • 프로세스를클릭합니다. * * 그래프 아래에 정보 및 활동 탭이 열립니다.

    정보 탭에는 프로세스 세부 정보와 명령줄이 표시됩니다. 점 3개 아이콘. 세부 정보 옆에 있는 세 개의 점을 클릭하여 그래프에서 사용할 수 있는 것과 동일한 피벗 옵션을 사용합니다.

    Sophos AI 기능이 있는 경우 AI 아이콘을 클릭하여 AI 아이콘. 명령줄 분석을 생성합니다.

    활동 탭에 대한 자세한 내용은 프로세스와 연결된 활동 보기를 참조하십시오.

    정보 탭.

프로세스와 연결된 활동 보기

프로세스와 연결된 모든 활동을 볼 수 있습니다. 이러한 활동에는 계보 그래프에 없는 다른 관련 프로세스가 포함됩니다.

활동을 보려면 다음과 같이 하십시오.

  1. 그래프에서 프로세스를 클릭하여 세부 정보를 엽니다.

  2. 어플라이언스 탭을 선택합니다.

    • 계보가 자동으로 생성되었고 영향을 받는 프로세스를 보고 있는 경우 탭에 이미 활동이 표시됩니다.
    • 계보를 수동으로 생성한 경우 탭은 처음에 비어 있습니다. 다음 단계에 설명된 대로 데이터를 로드해야 합니다.

    "활동" 탭.

  3. **** 탭 오른쪽에 있는 보강을 클릭하여 데이터를 로드합니다.

    Enrich를 처음 클릭할 때는 *프로세스가 시작된 날부터 3일치의 데이터를 보여줍니다. 보강을 클릭할 때마다 *3일치의 데이터가 추가되는 등 더 많은 활동들이 표시됩니다.

    보강 타임라인의 시작 부분에 있는 팝업에서는 초기 감지시점의 날짜와 시간을 보여줍니다.

다음과 같이 표시된 정보를 변경할 수 있습니다.

  • 행을 확장하여 원시 데이터를 표시합니다.
  • 유형, 작업 등을 기준으로 활동을 필터링합니다.

이 목록의 프로세스를 계보 그래프에 추가할 수도 있습니다. 계보에서 더 많은 프로세스 표시을 참조하십시오.

계보에서 더 많은 프로세스 표시

**** 프로세스 세부 정보의 활동 탭에는 직접 위협 계보에 없는 추가 관련 프로세스가 표시됩니다.

계보 그래프에 이러한 프로세스를 추가하여 위협을 조사하는 데 도움을 줄 수 있습니다.

  1. 프로세스를 클릭하고 해당 활동 탭을 엽니다.
  2. 활동 목록에서 표시할 관련 프로세스를 찾습니다.

  3. 프로세스 옆에 있는 Eye 아이콘을 클릭하여 표시합니다. 프로세스를 숨기려면 아이콘을 다시 클릭합니다.

    눈 아이콘.

계보 내보내기

계보 데이터를 CSV 파일로 내보내려면 내보내기 아이콘을 클릭합니다.

내보내기 아이콘.

내보내기 중에 오류가 발생하면 그래프에서 프로세스 중 하나를 선택하고 내보내기를 시도합니다.

계보 검색

계보를 검색하려면 페이지 왼쪽 위에 있는 검색 창에 용어를 입력합니다.

일치하는 결과는 * *** 페이지 하단의 정보 , 활동 및 일치 결과 탭에 표시됩니다.