取證快照
取證快照捕獲設備上最近的活動。
當我們檢測到威脅時,系統會在設備上自動創建一個快照,用於創建威脅圖,以顯示攻擊的發展情況。
您也可以根據需要創建取證快照並進行自己的分析。
該頁面將引導您如何進行以下操作:
- 建立鑑識快照。
- 訪問取證快照。
- 為取證快照設定時期。
您還可以執行以下動作:
- 轉換快照以便您可以對其進行分析。請參閱轉換取證快照。
- 將取證快照上傳至 AWS SW3 桶請參閱將取證快照上傳至 AWS S3 桶。
您只能從Windows設備上載快照。您還必須具有XDR或MDR授權。
已建立取證快照
您可以從Sophos Central中的設備詳細資訊或威脅圖創建取證快照。
從設備詳細資訊創建快照
要從設備詳細資訊創建快照,請執行以下操作:
- 在 Sophos Central 中,移至 我的產品 > 電腦和伺服器。
- 單擊要為其生成快照的設備的名稱。
- 在 * 設備的詳細資訊頁面的摘要選項卡上,單擊 *更多操作 ,然後選擇 創建取證快照。
- 在 創建取證快照中,單擊 立即創建。
默認情況下,快照是在中創建的 %PROGRAMDATA%\Sophos\Endpoint Defense\Data\Forensic Snapshots\。
或者,您可以將快照上載到S3存儲桶。請參閱將取證快照上傳至 AWS S3 桶。
您必須將快照轉換為能夠分析快照的格式。請參閱轉換取證快照。
從威脅圖創建快照
要從威脅圖創建快照,請執行以下操作:
- 在 Sophos Central 中,移至威脅分析中心 > 威脅圖表。
- 選擇檢測到的與要為其生成快照的設備關聯的威脅。
- 在威脅圖中,單擊 **** 工件表下方的創建取證快照。
默認情況下,快照是在中創建的 %PROGRAMDATA%\Sophos\Endpoint Defense\Data\Forensic Snapshots\。
或者,您可以將快照上載到S3存儲桶。請參閱將取證快照上傳至 AWS S3 桶。
您必須將快照轉換為能夠分析快照的格式。請參閱轉換取證快照。
訪問取證快照
您可以訪問設備上的取證快照。
注意
打開篡改保護後,您必須從提昇的命令提示符處執行才能訪問已保存的快照。
默認情況下,創建的快照位於 %PROGRAMDATA%\Sophos\Endpoint Defense\Data\Forensic Snapshots\中。
我們根據檢測自動創建的快照位於中 %PROGRAMDATA%\Sophos\Endpoint Defense\Data\Saved Data\。
設定快照的時間段
預設情況下,快照包含前兩週的資料。
您可以更改時間段或選擇包括所有可用數據,如下所示:
- 在 Sophos Central 中,移至 一般設定,然後按一下 取證快照。
- 在 Set time period for fromend snapshot ****(爲取證快照設置時間段)中,選擇一個時間段
將快照上載到S3存儲桶
開啟 將取證快照上傳至 AWS S3 桶。這使您可以在單個位置輕鬆訪問快照,而不是訪問每個設備。
有關如何設定AWS S3存儲桶以便上載快照的詳細資訊,請參閱 將取證快照上傳至 AWS S3 桶。
-
取證日誌收集
如果您在此處設定上傳至AWS S3存儲桶,我們新的取證日誌收集功能將使用相同的設定來上傳日誌。
取證日誌收集當前僅可通過我們的Sophos Central API進行。見https://developer.sophos.com/api。