調查

調查可讓您分析潛在威脅。

調查群組將偵測功能所報告的可疑事件相互組合，並幫助您對這些事件進行取證工作。

本頁說明調查的運作方式，但還是並不會告訴您如何執行下列動作：

• 創建調查。
• 查看並開始調查。
• 調查偵測到的事件。
• 關閉調查。

關於調查

我們會自動為您創建調查。這些重點是我們建議您調查的偵測。

• 我們會在存在高風險偵測時創建調查（若該調查未包含在同一天的調查中）。
• 我們稍後會在調查中新增相關的偵測（其共用相同的偵測類型或受影響的裝置）。

偵測可包括在多項調查內。

有關完整詳細資料，請參見 Sophos 如何創建調查。

您可以編輯和處理這些調查。或者，您也可以創建自己的調查。請參閱創建調查。

創建調查

偵測和調查均基於 Sophos Data Lake 中的資料。開始使用這些功能之前，請確保已打開將安全資料上載至 Data Lake 的功能。

這些資料可以來自各種 Sophos 產品。

請參閱Data Lake 上傳。

查看並開始調查

若要檢視我們創建的調查、啟動調查並將其指派他人，請執行下列步驟：

1. 轉至概覽 > 威脅分析中心 > 偵測。

2. 您會看見調查清單。按一下調查以查看更多詳細資訊。

   注意

   第一次查看此頁時，清單可能爲空。稍後返回查看自動創建的調查、或創建您自己的調查。

   

3. 調查記錄顯示調查詳細資訊，偵測清單顯示包含哪些可疑事件。按照以下步驟開始調查：

   1. 設定優先順序：高、中或低。
   2. 將狀態從未啓動更改爲進行中。
   3. 按一下類型以指派並選取要調查的 Sophos Central 管理員。

   

我們會在調查發生時新增相關偵測。您也可以新增或移除偵測。在偵測清單中，按一下操作，並選擇要執行的操作。

調查偵測到的事件

我們為您提供進行調查的範本。如需調查，請執行以下操作：

1. 轉至概覽 > 威脅分析中心 > 偵測。

2. 按一下調查。

   

3. 展開調查註釋。您將看到一系列基於 Observe-Orient-Decide-Act 的問題。

   • 決定您是否需要調查或關閉調查。
   • 檢查事件中使用的內外部連接。
   • 檢查受影響的裝置與使用者。
   • 了解使用的攻擊策略與技術。這些策略與技術會在偵測詳細資料中進行偵測。
   • 使用偵測中的樞紐分析選項來執行資料的查詢，或是查閱協力廠商威脅分析網站。請參閱偵測。

   

關閉調查

如需關閉調查，請將狀態更改爲已關閉。

我們將在 30 天內刪除此調查。