MDR Operations 團隊可以執行的工作
本頁面描述了我們的MDR運營團隊可以採取的行動,如果您授權其代表您應對威脅。
我們只在必要時採取行動。然而,如果您在設置 MDR 時選擇 授權 威脅回應,我們的團隊將在未先諮詢您的聯絡人的情況下對主動威脅作出回應。
如果您不希望讓 MDR Operations 團隊在未諮詢的情況下採取行動,請選擇「協作」威脅應對方式。要執行此動作,請參見 設定威脅回應方式。
如需進一步瞭解不同的威脅應對設定,請參閱None。
具有即時回應功能的操作
MDR 運營團隊可使用 Live Response 連線至裝置並採取行動。必須啟用即時回應功能,以便我們進行此操作。請參閱 設定並啟動 Live Response。
團隊可以採取以下一些行動:
- 停用使用者
- 刪除使用者
- 結束工作階段
- 終止惡意進程
- 刪除檔案
- 瀏覽資料夾
- 移除已排程的任務
- 移除程序
註冊 Sophos Central
從 Sophos Central 的一般設置中,團隊可以按照以下方式進行操作:
- 隔離裝置
- 阻擋的應用程式
- 封鎖 IP 位址
Microsoft 365的操作
如果您已經設定了整合,MDR Operations 團隊可以使用 Microsoft 365 回應操作。
此時您可以按以下步驟操作:
- 封鎖或允許使用者登入。這有助於阻止未經授權的存取。
- 中斷/撤銷所有目前工作階段。這有助於隔離受到威脅的帳戶。
- 關閉使用者的收件匣規則。這有助於阻止敏感郵件的惡意轉發、安全逃避策略、證據刪除等行為。
建立 Microsoft 365 回應動作,請查看 Microsoft 365 回應動作。
與 Sophos 防火牆的操作
如果您使用Sophos防火牆,我們可以與XG防火牆威脅訂閱進行交互。例如,如果發生重大事件,我們可以終止受影響使用者的VPN會話。