案例

案例頁面會將偵測功能所報告的可疑事件組合在一起，並幫助您或 MDR 團隊對這些事件進行取證工作並做出回應。

關於案例

我們會自動為您建立案例。這些重點是我們建議您調查的偵測。

• 我們會在存在高風險偵測時建立案例（若該偵測未包含在同一天的案例中）。
• 若之後的偵測共用相同的偵測類型，我們會將這些偵測新增至案例。

案例可以基於 Sophos XDR 偵測或 Sophos MDR 偵測。您可以對 XDR 案例進行變更，但 MDR 案例為唯讀狀態。

您也可以建立您自己的案例。請參閱建立案例。

啟用案例

偵測和案例均基於 Sophos Data Lake 中的資料。

如果您尚未獲得偵測，則需要確保已開啟將安全資料上傳至 Data Lake。

這些資料可以來自各種 Sophos 產品或協力廠商產品。

有關來自 Sophos 產品的資料，請參閱 Data Lake 上傳。有關來自協力廠商產品的資料，請參閱 整合。

檢視案例

若要檢視案例，請執行以下操作：

1. 移至威脅分析中心 > 案例。

   

   注意

   第一次查看此頁時，清單可能爲空。稍後返回查看自動建立的案例，或建立您自己的案例。

2. 按一下案例旁邊的案例 ID 以查看其詳細資料。

   

現在您將看到案例詳細資料頁面。如欲瞭解更多詳情，請參閱 查看案例詳細資料。

編輯和指派案例

您可以編輯案例並將其指派至管理員進行分析。

要編輯延遲的問題，請執行以下動作：

1. 進入威脅分析中心 > 案例以查看案例清單。
2. 按一下案例旁邊的案例 ID 以查看其詳細資料。

3. 在案例詳細資料頁面中，預設情況下打開概覽索引標籤。請依照以下步驟操作：

   1. 在擁有者中，選取要向其指派案例的管理員。

      您必須先選擇所有者，然後才能設定案例的優先級和狀態。

   2. 將優先級設定為嚴重、高、中、低或資訊。

   3. 如果您準備開始，請將狀態從新建變更為正在調查。
   4. 在摘要中，輸入案例的說明。

   

我們會在發生相關偵測時將其新增至案例。

查看案例詳細資料

若要查看案例的完整詳細資料，請按一下案例旁邊的案例 ID。

案例詳細資料頁面標題顯示案例的嚴重性、狀態和擁有者。它還顯示案例建立、指派和上次更新的時間。

此頁面還包含其他索引標籤，提供更多詳細資料。

概覽索引標籤

預設情況下，概覽索引標籤處於打開狀態，顯示案例摘要、MITRE 策略詳細資料和最近活動。

摘要

如果您是 XDR 客戶，請輸入案例說明。如果您是 MDR 客戶，MDR 團隊會為您輸入說明。

MITRE 策略

MITRE 策略列出了我們偵測到的任何 MITRE ATT&CK 策略和技術。

按一下策略旁邊的摺疊箭頭以查看技術。

按一下任何策略或技術旁邊的連結（例如憑證存取）以移至其在 MITRE 網站上的詳細資料。

近期活動

最近活動顯示案例的最近變更。按一下查看全部以移至歷程記錄索引標籤。

偵測索引標籤

偵測索引標籤列出了案例中包含的所有偵測。它與偵測頁面上的清單顯示相同的詳細資料。請參閱偵測。

筆記型電腦索引標籤

使用筆記型電腦索引標籤保存調查紀錄。

歷程記錄索引標籤

歷程記錄索引標籤顯示該案例上所有活動的歷程記錄。例如，已新增偵測，或狀態、擁有者等變更。

調查案例

在案例詳細資料中，使用筆記型電腦索引標籤記錄案例調查。建議您按照以下步驟操作：

• 決定您是否需要調查或關閉調查。
• 檢查事件中使用的內外部連接。
• 檢查受影響的裝置與使用者。
• 了解使用的攻擊策略與技術。您可以在偵測詳細資料中看到這些內容。
• 使用偵測中的樞紐分析選項來執行資料的查詢，或是查閱協力廠商威脅分析網站。請參閱使用樞紐分析查詢、擴充功能和動作。

回應案例

您可以透過協力廠商產品解決偵測到的問題。

要使用此功能，您必須設定與要使用的協力廠商產品整合的回應動作。移至 整合 並按一下您的產品。

我們的範例顯示如何使用回應動作來暫停受攻擊的使用者。要採取動作，請執行以下操作。

1. 按一下案例旁邊的案例 ID 以查看其詳細資料。
2. 選取回應索引標籤。

3. 找到要執行的動作。按一下產品類型身分識別以查看該類型可用的動作。

   

4. 按一下暫停使用者動作。

5. 在動作的詳細資料頁面中，輸入所需資訊和執行動作的原因。

   

6. 按一下執行。

關閉或移除案例

如需關閉案例，請將狀態變更為已關閉。該案例將在清單中保留 30 天，然後我們會將其删除。

要從清單中移除案例，請選中它，然後按一下移除案例。