跳至內容

偵測

偵測顯示您可能需要調查的活動。

要查看偵測,請轉至概覽 > 威脅分析中心 > 偵測

偵測可識別裝置上異常或可疑但未遭到封鎖的活動。它們與我們偵測並封鎖(已知為惡意活動)的事件不同。

我們基於裝置上傳至 Sophos Data Lake 的資料產生偵測。

我們會根據威脅分類規則檢查資料。當有匹配時,我們會顯示偵測。

本頁說明如何使用檢測來尋找潛在威脅。

注意

調查可以自動將相關的檢測分在一起,以便進行更高級的分析。請參閱調查

設定偵測

如果您還沒有偵測,則需要允許裝置將資料上傳至 Sophos Data Lake,以便我們可以使用它。請依照下列步驟操作。

  1. 轉至 概觀 > 整體設定
  2. 端點保護伺服器保護下,按一下 Data Lake 上傳。開啟上傳。

    您需要分別開啟電腦和伺服器的上傳功能。

我們現在開始顯示偵測。

有關資料上傳的更多資訊,請參閱 Data Lake 上傳

檢視偵測詳細資料

要查看偵測,請轉至概覽 > 威脅分析中心 > 偵測

我們根據匹配的規則和日期對偵測進行分組。偵測清單顯示以下內容:

  • 風險。風險等級從 1(最低)到 10(最高)。如使用預設設定,我們只顯示分數爲 7 或以上的偵測。使用分數來排定調查的優先順序。
  • 分類規則。匹配的規則名稱。
  • 計數。分類規則在某一天被匹配的次數。
  • 裝置清單。上次匹配規則的裝置以及當天具有相同偵測的其它裝置的數量。
  • 首次出現上次出現。根據當天的分類規則進行的第一次和最後一次偵測。
  • 描述。規則標識的內容。
  • Mitre ATT&CK。對應的 Mitre ATT&CK 策略和技術。

如需瞭解有關偵測的完整詳細資料,例如裝置、使用者及相關處理程序,請按一下右側箭頭。

偵測清單

尋找潛在威脅

您可以使用偵測功能檢查裝置、處理程序、使用者和事件是否存在其他 Sophos 功能未封鎖的潛在威脅跡象。例如:

  • 表示嘗試檢查您的系統並停留在系統中、逃避安全系統或竊取憑證的異常指令。
  • Sophos 惡意軟體警報,如表明攻擊者可能已侵入裝置的動態 Shellcode 防護事件。

大多數偵測都連結至 MITRE ATT&CK 架構,您可在其中找到有關特定策略和技術的更多資訊。請參閱 https://attack.mitre.org/

您也可以搜尋 Sophos 在其他地方發現的可疑或已知威脅的跡象,或者搜尋過時軟體或不安全的瀏覽器。

使用樞紐分析查詢、豐富內容和動作

您可以使用樞紐分析查詢,進一步瞭解偵測。

樞紐分析查詢有助於您在查詢結果中選取重要資料,並將其作為進一步調查的基礎。

如果您開啟了偵測的完整詳細資料,某些項目旁邊會顯示省略符號圖示。省略符號圖示的螢幕擷取畫面

按一下圖示以查看您可以採取的動作。這些動作取決於資料類型。

  • 查询。您可以根據所選資料執行查詢。Live Discover 查詢查看您裝置上的資料。Data Lake 查詢查看裝置上傳至 Sophos Data Lake 的資料。
  • 擴充。這些開放的第三方網站(如 VirusTotal 或 IP Abuse DB)可查找您發現的潛在威脅的相關資訊。
  • 動作。這些功能可提供進一步的偵測或補救。例如,您可以掃描裝置或啟動 Sophos Live Response 以存取和調查裝置。

在顯示的示例中,按一下 IP 地址旁邊的圖示可讓您根據該 IP 地址執行查詢,或查找與之相關風險的第三方資訊。

偵測樞紐功能表

如何取得協助

我們提供「託管威脅響應」服務,可監控您的環境是否有惡意活動,並代您全天候響應。

請參閱 https://www.sophos.com/en-us/products/managed-threat-response.aspx

注意

如果您認為您的安全性遭到破壞,且您需要立即獲得協助,請聯絡我們的快速響應團隊。這是付費服務。

請參閱 https://www.sophos.com/en-us/products/managed-threat-response/rapid-response.aspx

回到頁首