跳至內容
部分或全部頁面已經過機器翻譯。

調查案例

此頁面僅適用於「自行管理」案例。

您可以在此頁面所描述的情況下,使用案例詳情頁面提供的資訊和工具來調查案例。

我們還建議您使用我們的AI助手,以瞭解更多有關偵測的資訊並獲得採取行動的建議。請參閱 AI 助理

在案例詳細資料頁面的《筆記本》標籤上記錄您的調查。

在某些情況下,您也可以回應案例。請參閱 回應案例

調查一個案件

若要啟動 Live Response,請按以下步驟操作:

  1. 前往 策略 頁面。

    案例頁面。

  2. Click the Case ID of the case.

    案例清單中的案例 ID 連結。

  3. 概觀 分頁中,您可以找到有關生成案例的偵測資訊,並使用 Sophos AI 工具開始進行分析。

    案例詳細資料的概覽索引標籤。

您可以在此頁面上執行以下動作:

  • 總結有關案例的資訊。請參閱 案例摘要
  • 分析威脅運行的命令行。請參閱 命令行
  • 檢查受影響的裝置與使用者。請參閱 受影響的實體
  • 了解使用的攻擊策略與技術。請參閱MITRE 策略或查看偵測詳細資訊。

案例摘要

您可以使用Sophos AI為您生成案例摘要。

  1. 案例摘要中,點擊AI圖示。

    Sophos AI 分析案例並摘要說明。

    案例摘要視窗。

  2. 若要儲存摘要,請按下插入。要捨棄它,請點擊「X」。

    若您儲存摘要,便可以按一下編輯圖示 編輯圖示。 並對其進行更改。

    具有插入按鈕的案例摘要。

或者,您可以手動摘要案例。點擊編輯圖示編輯圖示。,並輸入您的摘要。

命令行

您可以使用 Sophos AI 分析生成案例的威脅所運行的命令行。

命令列中,點擊 AI 圖示。

指令列分析窗格。

Sophos AI 分析命令列,以發現威脅的意圖和可能影響。必要時,它將對代碼進行解混淆,減少評估威脅所需的工作量。

受影響的實體

受影響實體列出了被偵測到的威脅影響的裝置、使用者、檔案、IP 位址和流程。

點選裝置名稱以查看在電腦和伺服器頁面中的完整詳細資訊。

MITRE 策略

MITRE 策略列出了我們偵測到的任何 MITRE ATT&CK 策略和技術。

按一下策略旁邊的摺疊箭頭以查看技術。

按一下任何策略或技術旁邊的連結,例如 憑證存取,前往 MITRE 網站查看其詳細資訊。

MITRE 策略詳細資訊。

回應案例

目前對大多數第三方產品的整合無法使用回應動作功能。

您可以透過第三方產品解決偵測到的問題。

若要使用此功能,您必須設定與您要使用的第三方產品整合的 回應動作。前往 產品 並按一下您的產品。

我們的範例展示如何使用回應動作來暫停一個遭駭的使用者。若要採取動作,請按照以下步驟操作。

  1. 按一下案例旁邊的 案例 ID 查看詳細資料。
  2. 選取 回應 索引標籤。
  3. 找到要執行的動作。按一下產品類型 身分識別,以查看該類型可用的動作。

    回應索引標籤顯示身分識別動作。

  4. 按一下 暫停使用者

  5. 在動作的詳細資料頁面中,輸入所需資訊和執行動作的原因。

    「暫停使用者」對話方塊。

  6. 按一下 執行