調查案例
此頁面僅適用於「自我管理」案例。
您可以使用在案例詳細資訊頁面上描述的資訊和工具來調查案例。
我們也建議您使用我們的AI助手,以瞭解更多有關偵測的資訊並獲得採取行動的建議。請參閱 AI 助理。
請在案例詳細資料頁面的筆記本標籤中記錄您的調查。
在某些情況下,您也可以回應事件。請參閱 回應案例。
調查案例
若要啟動 Live Response,請按以下步驟操作:
-
前往 策略 頁面。
-
點擊案例的\
Case ID 
-
On the Overview tab, you can find information about the detection that generated the case and start your analysis using Sophos AI tools.
您可以執行以下操作:
- 使用Sophos AI助理進行調查。請參閱 詢問 Sophos AI。
- 關於案例的資訊做摘要。請參閱 案例摘要。
- 分析威脅執行的命令行。請參閱 命令行。
- 檢查受影響的裝置與使用者。請參閱 受影響的實體。
- 了解使用的攻擊策略與技術。請查看 MITRE 策略 或檢視檢測詳細資料。
詢問 Sophos AI
如果您想使用 Sophos AI 助理調查案件,請在頁面右側點擊Ask Sophos AI。如需協助設定 Managed Risk,請參閱 AI 助理。
注意
無論您位於哪個標籤頁,請教Sophos AI 選項都是可用的。
案例摘要
您可以使用Sophos AI為您生成案例摘要。
-
在案例摘要中,點擊AI圖示。
Sophos AI 分析案例並總結詳細資訊。
-
若要儲存摘要,請按一下Insert。要丟棄它,請按下「X」。
若您儲存摘要,您可以按一下編輯圖示
進行更改。
或者,您可以手動摘要案例。點擊編輯圖示 並輸入摘要。
命令行
您可以使用Sophos AI來分析生成案例的威脅執行的命令行。
在命令列中,點擊 AI 圖示。
Sophos AI 分析指令列以發現威脅的意圖和可能的影響。必要時,它將對代碼進行解混淆,最大程度減少評估威脅所需的工作量。
受影響的實體
「受影響的實體」列出了受偵測到的威脅影響的裝置、使用者、檔案、IP 位址和處理程序。
點擊設備名稱以在電腦與伺服器頁面中查看其完整詳細資訊。
限制條件
因為我們沒有初始檢測細節,對手動建立的案例可能不會顯示受影響的實體。
MITRE 策略
MITRE 策略列出了我們偵測到的任何 MITRE ATT&CK 策略和技術。
按一下策略旁邊的摺疊箭頭以查看技術。
按一下任何策略或技術旁邊的連結,例如 憑證存取,前往 MITRE 網站查看其詳細資訊。
回應案例
目前對大多數第三方產品的整合無法使用回應動作功能。
您可以透過第三方產品解決偵測到的問題。
若要使用此功能,您必須設定與您要使用的第三方產品整合的 回應動作。前往 產品 並按一下您的產品。
我們的範例展示如何使用回應動作來暫停一個遭駭的使用者。若要採取動作,請按照以下步驟操作。
- 按一下案例旁邊的 案例 ID 查看詳細資料。
- 選取 回應 索引標籤。
-
找到要執行的動作。按一下產品類型 身分識別,以查看該類型可用的動作。
-
按一下 暫停使用者。
-
在動作的詳細資料頁面中,輸入所需資訊和執行動作的原因。
-
按一下 執行。