威脅脈絡
此功能的可用方式如下:
- MDR 客戶現在可以使用此功能。
- XDR 客戶必須加入新 XDR 功能搶先體驗計畫 (EAP) 才能使用此功能。按一下您的設定檔,然後按一下 搶先體驗計畫 以開始使用。
注意
如果您只有 MDR Essentials for Server 或 MDR Complete for Server,請加入新伺服器防護功能搶先體驗計畫 (EAP),即可立即使用新功能。否則,您將無法在 2025 年 4 月之前使用此功能。
關於威脅脈絡
威脅脈絡以圖形方式顯示觸發偵測的過程。此功能可協助您了解威脅的發展過程、對您的環境造成的影響以及其結果。
觀看威脅脈絡
您可以從偵測的詳細資訊頁面觀看威脅脈絡圖。
-
前往 威脅分析中心 > 偵測。
或者,進入 威脅分析中心 > 案例,然後選擇 偵測 索引標籤。
-
找到您想要的偵測,然後在表格中該行的任意位置按一下。
偵測詳細資訊面板會從螢幕右側滑出。
-
在詳細資訊面板中選擇 脈絡 索引標籤。
如果您看不到 脈絡 索引標籤,則表示此偵測不支援新功能。
-
按一下 開啟脈絡圖。
-
如果尚未有可用的圖表,請按一下 產生。
注意
如果偵測產生了「案件」,則圖表會自動產生並可於此處使用。有關案件的資訊,請參閱 案例。
顯示觸發偵測的處理程序,以及導致這些狀況的其他處理程序的圖表。
脈絡圖會保留 7 天。在 Sophos XDR Data Lake 資料湖保留資料的期間 (通常為 90 天) 內,您可以隨時重新產生它。
威脅脈絡的關鍵
威脅脈絡圖使用以下圖示來代表處理程序與活動。
| 圖示 | 處理程序 | 說明 |
|---|---|---|
 | 處理程序 | 觸發該偵測的一系列過程 |
 | 受影響的處理流程 | 可疑或潛在惡意的處理程序 |
 | 偵測已觸發 | 觸發一個偵測的處理程序 |
 | 關鍵活動 | 影響後續事件發展或結果的關鍵活動 |
若要查看圖表中這些圖示及每種處理程序類型的數量,請按一下頁面右上角的「歷程」圖示。
該圖表也可以顯示不在直接脈絡中的處理程序和活動,但這些處理程序是由脈絡中的某個處理程序啟動的。這些會從主圖表分支出來,如下所示。若要了解關於這些的更多資訊,請參閱 顯示脈絡中的更多處理程序。
查看處理程序的更多詳細資訊
您可以查看更多詳細資訊,如下所示:
-
將滑鼠懸停在處理程序上。此時將顯示基本詳細資訊和命令列。
-
使用下列選項操作。按一下處理程序旁的三個點
。然後,您可以選擇要在 Live Discover 中執行的查詢。
-
按一下處理程序。這會打開圖表下方的 資訊 和 活動 索引標籤。
資訊 索引標籤顯示處理程序詳細資訊和命令列。按一下詳細資訊旁邊的三個點
,使用和圖表中相同的樞紐選項。如果您擁有 Sophos AI 功能,請按一下 AI 圖示
以產生命令列的分析。有關 活動 索引標籤的詳細資訊,請參閱 查看與處理程序相關的活動
查看與處理程序相關的活動
您可以查看與該處理程序相關的所有活動。這些活動包括其他與之相關的處理程序,這些處理程序不在脈絡圖中。
若要查看活動,請依照以下步驟操作:
- 按一下圖表中的處理程序以開啟其詳細資訊。
-
選取 活動 索引標籤。
- 如果脈絡是自動產生的,且您正在查看受影響的處理程序,則該索引標籤會顯示活動。
- 如果您是手動產生脈絡,該索引標籤最初是空的。您必須按照下一步驟載入資料。
-
按一下索引標籤右側的 補充 以載入資料。
第一次按一下 補充 時,它會顯示從處理程序啟動後的前三天資料。每次按一下 補充 時,會新增三天的資料,並列出更多活動。
在 補充 時間軸開始處會顯示一個快顯視窗,顯示 初始偵測 的日期和時間。
您可以按以下方式更改顯示的資訊:
- 展開一行以顯示原始資料。
- 根據類型、動作等篩選活動。
您也可以將此清單中的處理程序新增到脈絡圖中。請參閱 顯示脈絡中的更多處理程序。
顯示脈絡中的更多處理程序
處理程序詳細資訊中的 活動 索引標籤顯示其他額外且不在直接威脅脈絡中的其他相關處理程序。
您可以將這些處理程序新增到脈絡圖中,以協助調查威脅。
- 按一下某處理程序並開啟其 活動 索引標籤。
- 在活動清單中,尋找您想要顯示的相關處理程序。
-
按一下處理程序旁邊的眼睛圖示以顯示它。再次按一下圖示可隱藏該處理程序。
匯出脈絡
若要將脈絡資料匯出為 CSV 檔案,請按一下匯出圖示。
如果匯出時發生錯誤,請從圖表中選擇一個處理程序,並從該處嘗試匯出。
搜尋脈絡
若要搜尋脈絡,請在頁面左上角的搜尋欄中輸入關鍵字。
比對符合的結果會顯示在頁面底部的 資訊、活動 和 比對結果 索引標籤中。