주요 콘텐츠로 건너뛰기
페이지의 일부 또는 전체가 기계 번역되었습니다.

페이지 고정 링크

이 페이지를 참조할 때는 항상 다음 고정 링크를 사용하십시오. 이후 도움말 버전에서 변경되지 않은 채 유지됩니다.

https://docs.sophos.com/central/customer/help/ko-kr/index.html?contextId=ThreatGraphs

위협 그래프

이 기능을 사용하려면 Sophos Endpoint, EDR, XDR 또는 MDR이 있어야 합니다.

위협 그래프를 사용하면 맬웨어 공격을 조사하고 정리할 수 있습니다.

공격이 언제 시작되었는지, 어떻게 확산되었는지 그리고 어느 프로세스 또는 파일이 감염되었는지를 알아낼 수 있습니다. 이렇게 하면 보안을 강화하는 데 도움이 됩니다.

소포스 XDR 라이선스가 있으면 다음 작업도 수행할 수 있습니다.

  • 영향받은 장치를 격리합니다.
  • 네트워크에서 더 많은 위협의 예를 검색합니다.
  • 위협을 정리하고 차단합니다.
  • 더 많은 고급 위협 인텔리전스를 확보합니다.

추가 조사가 필요한 맬웨어를 감지할 때마다 위협 그래프를 생성합니다.

제한

이 기능은 현재 Windows 및 Mac 장치에서만 사용할 수 있습니다.

제한

딥러닝(ML PUAs)에 의한 잠재적으로 원치 않는 애플리케이션 탐지는 위협 그래프를 생성하지 않습니다. 하지만 위협 사냥 쿼리를 사용하여 Live Discover에서 보고된 파일 이름 또는 SHA-256 해시 값으로 디바이스를 검색할 수 있습니다.

위협을 조사하고 정리하는 방법

일반적으로 그래프를 조사하는 방법에 대한 개요입니다. 모든 옵션에 대한 세부 정보는 위협 그래프 분석를 참조하십시오.

일부 옵션은 Sophos XDR 라이선스를 소지한 경우에만 사용할 수 있습니다. 이 요구 사항에는 "Sophos XDR이 필요합니다"로 표시되어 있습니다.

  1. 위협 분석 센터으로 이동하여 위협 그래프을 클릭한 후 그래프를 클릭합니다.

    그러면 그래프 세부 정보 페이지가 표시됩니다.

  2. 요약에서 공격이 시작된 위치와 어느 파일이 감염되었는지를 확인할 수 있습니다.

  3. 제안된 다음 단계를 확인합니다. 그래프의 우선순위를 변경하고 조사할 프로세스를 확인할 수 있습니다.

    만약 이 그래프가 높은 우선 순위 그래프라면 이 장치를 격리할 수 있습니다 (Sophos XDR이 필요함). 이 옵션은 영향받은 장치를 네트워크에서 격리시킵니다. 여전히 Sophos Central에서 장치를 관리할 수 있습니다.

    참고

    장치가 스스로 자동 격리한 경우에는 이 옵션이 표시되지 않습니다.

  4. 분석 탭에서 공격의 진행상황을 보여주는 다이어그램을 볼 수 있습니다. 항목을 클릭하면 더 많은 세부 정보가 표시됩니다.

  5. 근본 원인 또는 다른 프로세스를 클릭하면 세부 정보가 표시됩니다.

  6. Sophos의 최신 분석을 받으려면 최신 인텔리전스 요청을 클릭하십시오.

    이렇게 하면 분석을 위해 파일을 Sophos로 보냅니다. 파일의 평판과 전파에 대한 새로운 정보가 있으면 여기서 몇 분 이내에 확인할 수 있습니다.

    제한

    만약 Sophos XDR을 사용하고 계시면, 더 고급 분석을 볼 수 있습니다, 프로세스 세부 정보 를 볼 수 있습니다. 다음 단계에서 보는 것처럼, 추가 감지 및 정리 작업을 수행할 수도 있습니다.

  7. 항목 검색을 클릭하여 네트워크에서 더 많은 파일의 예를 검색할 수 있습니다.

    항목 검색 결과 페이지에 더 많은 파일의 예가 표시되면 거기서 장치 격리을 클릭하여 영향받은 장치를 격리할 수 있습니다.

  8. 위협 그래프 세부 정보 페이지로 돌아가서 최신 위협 인텔리전스를 살펴보십시오.

  9. 파일이 악성이라는 확신이 들면 정리 및 차단을 클릭할 수 있습니다.

    그러면 발견된 Windows 장치에서 해당 항목이 정리되고 모든 Windows 장치에서 차단됩니다. 차단된 항목을 참조하십시오.

  10. 위협을 처리했다는 확신이 들면 장치를 격리에서 제거할 수 있습니다(필요한 경우). 제안된 다음 단계로 이동하여 격리에서 제거를 클릭합니다.

    여러 장치를 분리한 경우, 설정 > 관리자가 격리한 장치로 이동하여 격리에서 장치를 제거합니다. 관리자가 격리한 장치을 참조하십시오.

  11. 위협 그래프 목록으로 돌아가 그래프를 선택하고 닫기를 클릭합니다.

위협 그래프 목록 정보

위협 그래프에서는 지난 90일간의 모든 위협 그래프를 나열합니다.

MDR 라이선스가 있으면, 페이지가 다음과 같이 생성된 위협 그래프에 대한 탭으로 구분됩니다.

  • Sophos에 의해 자동으로 생성.
  • Sophos Central 관리자에 의해 생성. 관리자가 생성한 위협 그래프을 참조하십시오.
  • Sophos Managed Detection and Response(MDR) 팀에 의해 생성됨. 현재 사용되지 않습니다.

MDR 라이선스가 없는 경우 페이지가 탭으로 분할되지 않습니다.

그래프를 장치, 상태 또는 우선순위 기준으로 필터링할 수 있습니다.

검색을 사용하면 특정 사용자, 장치 또는 위협 이름(예: "Troj/Agent-AJWL")에 대한 그래프를 볼 수 있습니다.

각 그래프에 대해 목록에 다음과 같은 정보가 대부분 표시됩니다. 표시되는 열은 페이지가 탭으로 분할되었는지 여부에 따라 달라집니다.

  • 상태: 기본적으로 상태는 새로 만들기입니다. 그래프를 볼 때 변경할 수 있습니다.
  • 만든 시간: 그래프가 생성된 시간 및 날짜입니다.
  • 우선순위: 우선순위는 그래프가 생성될 때 설정됩니다. 그래프를 볼 때 변경할 수 있습니다.
  • 이름: 위협 이름을 클릭하면 그래프의 세부 정보를 볼 수 있습니다.
  • 생성자: 위협 그래프를 생성한 Sophos Central 관리자입니다.
  • 사용자: 감염을 일으킨 사용자.
  • 장치: 감염을 일으킨 장치.
  • 장치 유형: 장치 유형(예: 컴퓨터 또는 서버).

원하는 열을 클릭하여 그래프를 정렬할 수 있습니다.

관리자가 생성한 위협 그래프

추가 조사가 필요한 맬웨어를 감지할 때마다 위협 그래프를 생성합니다. 그러나, 위협 그래프를 수동으로 생성할 수도 있습니다.

라이브 디스커버 쿼리 결과에서 그래프를 생성할 수 있습니다. 모든 쿼리에 대해 해당 옵션이 사용할 수 없습니다.

다음 지침은 예시일 뿐입니다.

위협 그래프를 생성하려면 다음을 수행하십시오:

  1. 위협 분석 센터으로 이동하여 Live Discover을 클릭합니다.
  2. Live Discover에서 쿼리 섹션을 엽니다(아직 열려 있지 않은 경우).
  3. 예를 들어 파일과 같은 카테고리를 선택하십시오.
  4. 원하는 쿼리를 실행하려면 파일 해시와 같이 클릭하십시오.

  5. 쿼리를 다음과 같이 구성하십시오.

    • 엔드포인트 쿼리를 선택한 경우 쿼리할 장치를 선택합니다.
    • 데이터 레이크 쿼리를 선택한 경우 쿼리하려는 시간대를 선택하십시오. 모든 엔드포인트는 항상 포함됩니다.

  6. 클릭 쿼리 실행.

    결과가 표시됩니다.

  7. 결과에서 파일의 경로 옆에 있는 세 개의 점 점 3개 아이콘.을 클릭하십시오.

  8. 작업 아래에서 위협 그래프 생성을 클릭합니다.

위협 그래프가 관리자가 생성한 탭에 추가되었습니다. 위협 그래프 페이지에.

Live Discover를 사용하는 방법에 대한 자세한 정보는 Live Discover을(를) 참조하십시오.