跳至內容

頁面永久連結

參考此頁面時,請務必使用以下永久連結。在以後的說明版本中,它將保持不變。

https://docs.sophos.com/central/customer/help/zh-tw/index.html?contextId=TACDetections

偵測

偵測顯示您可能需要調查的活動。

偵測可識別裝置上異常或可疑但未遭到封鎖的活動。它們與我們偵測並封鎖(已知為惡意活動)的事件不同。

我們基於裝置上傳至 Sophos Data Lake 的資料產生偵測。我們會根據威脅分類規則檢查資料。當有匹配時,我們會顯示偵測。

本頁說明如何使用檢測來尋找潛在威脅。

注意

案例可以自動將相關的偵測分在一起,以便進行更進階的分析。請參閱案例

設定偵測

如果您還沒有偵測,則需要允許裝置將資料上傳至 Sophos Data Lake,以便我們可以使用它。

您可以從 Sophos 產品和協力廠商產品上傳資料。

有關從 Sophos 產品上傳的資訊,請參閱 Data Lake 上傳。有關從協力廠商產品上傳的資訊,請參閱 整合

查看您的偵測

要查看偵測,請移至威脅分析中心 > 偵測

偵測頁面將偵測資料顯示為條形圖和清單。

偵測頁面。

查看摘要

條形圖在時間軸上顯示最近偵測的摘要。預設情況下,我們顯示過去 24 小時的偵測。

偵測條形圖。

使用時間範圍滑塊

您可以使用滑塊放大較短的時間範圍或縮小。只需按一下滑塊一端的控點並拖曳即可。

您也可以使用偵測清單上方的功能表來設定不同的時間範圍或自訂範圍。

偵測條形圖滑塊。

將滑鼠懸停以查看統計資料

您也可以獲得偵測數字的細分。移至圖表中的一個條形,將遊標放在一個條帶上(例如,高嚴重性),然後將滑鼠懸停以查看具有該嚴重性的偵測數。

當使用者將滑鼠懸停在條形圖上時顯示偵測數字。

注意

您也可以按一下橫條圖中的某個條帶,在偵測清單中僅顯示該嚴重性的偵測數。

查看偵測清單

偵測清單顯示所有偵測以及以下詳細資料:

  • 嚴重性。偵測所代表的風險級別。
  • 類型。偵測類型。目前,顯示的類型是「威脅」或「弱點」。
  • 偵測。偵測名稱。
  • 時間。偵測的時間。
  • 實體。裝置。稍後,我們還將使用此欄位顯示 IP 位址或使用者。
  • 種類。來源類型。端點、網路、防火牆、電子郵件、雲端或 ID 提供者。
  • 來源。偵測的來源。來源可以是 Sophos 或協力廠商軟體。
  • MITRE ATT&CK。對應的 MITRE ATT&CK 策略和技術。

偵測表。

變更時間範圍

您可以變更偵測清單和條形圖顯示的偵測時間範圍。

在清單上方的下拉式功能表中,選取一個常用的時間範圍,或按一下絕對日期範圍並設定自訂範圍。

時間範圍功能表。

群組偵測

您可以根據偵測匹配的規則對其進行分組。

  1. 分組依據下拉式功能表中,選取偵測 ID

    「按 ID 分組」功能表選項。

  2. 相同事件的偵測分為一組並顯示在清單的單列中

    表格中按 ID 分組的偵測。

篩選器偵測

您可以按偵測的嚴重性、威脅類型、使用的 MITRE ATT&CK 策略和其他特徵篩選偵測。

  1. 偵測清單中,按一下顯示篩選器

    帶有「顯示篩選器」按鈕的偵測清單。

  2. 按一下篩選器類別以顯示可用作篩選器的特徵。例如,按一下類型並選取威脅弱點

    篩選器清單。

  3. 按一下更多類別並選取所需的篩選器。

  4. 按一下套用

對於某些類別(如使用者名稱或裝置名稱),您可以輸入自己的術語用於篩選。

對於具有許多特徵可以選取的類別,如 MITRE ATT&CK 策略,您可以按一下全選

要清除所有篩選器,請按一下重設為預設值

您可以將篩選器套用於分組偵測和未分組偵測。

對偵測進行排序

您可以對偵測清單進行排序。

按一下欄位標題旁邊的排序箭頭,可按字母、數字或日期升序或降序順序或嚴重性欄位的優先級對清單進行排序。

偵測按嚴重性排序。

您可以將排序套用於分組偵測和未分組偵測。

打開並共用偵測

  1. 按一下表 中偵測名稱旁邊的三個點 省略符號圖示的螢幕擷取畫面。

  2. 按一下在新索引標籤中打開以打開偵測詳細資料,如果要與同事共用詳細資料,請按一下複製連結

    具有打開和複製選項的偵測功能表。

查看偵測詳細資料

如需瞭解偵測的完整詳細資料,例如涉及的裝置、使用者及處理程序,請按一下表中偵測所在列的任意位置。

新窗格將自螢幕右側滑出。

偵測詳細資料滑出窗格。

透過此詳細資料窗格,您可快速檢閱偵測、在新索引標籤中打開多個偵測、使用樞紐分析查詢、取得 MITRE ATT&CK 詳細資料,以及尋找類似的偵測。

如果要查看詳細資料所依據的完整資料,請按一下原始資料索引標籤。

快速檢閱偵測

您無需在視圖之間切換即可檢閱多個偵測的詳細資料。

按一下主表中的偵測以打開滑出窗格。然後,按一下表中的另一個偵測。滑出窗格詳細資料會自動變更以顯示該偵測的詳細資料。

打開多個偵測

您可以在多個新索引標籤中打開多個偵測,以便讓它們保持打開狀態並輕鬆比較。

在偵測詳細資料滑出窗格中,按一下展開按鈕以在新索引標籤中打開偵測詳細資料。

展開按鈕可在新索引標籤中打開偵測。

使用樞紐分析查詢、擴充功能和動作

您可以使用樞紐分析查詢,進一步瞭解偵測。

樞紐分析查詢有助於您在查詢結果中選取重要資料,並將其作為進一步調查的基礎。

在偵測詳細資料滑出窗格中,您將在某些項目旁邊看到三個點。 省略符號圖示的螢幕擷取畫面。

按一下圖示以查看您可以採取的動作。這些動作取決於資料類型。

  • 查询。您可以根據所選資料執行查詢。Live Discover 查詢查看裝置上的資料(當裝置處於連線狀態時)。Data Lake 查詢查看裝置上傳至 Sophos Data Lake 的資料。
  • 擴充。這些功能可打開各種威脅情報來源(如 VirusTotal),幫助您調查潛在威脅。如果 SophosLabs Intelix 報告可用,它們也可以打開這些報告。請參閱Intelix 報告
  • 動作。這些功能可提供進一步的偵測或補救。例如,您可以掃描裝置或啟動 Sophos Live Response 以存取和調查裝置。

在所示範例中,按一下 Sophos Process ID 旁邊的圖示可讓您基於該 ID 執行查詢。

偵測樞紐分析功能表。

獲取 MITRE ATT&CK 詳細資料

對於許多偵測,偵測詳細資料窗格顯示 MITRE ATT&CK 策略。

按一下策略旁邊的摺疊箭頭以查看技術。

按一下任何策略或技術旁邊的連結(例如以下螢幕擷取畫面中的 TA0002 Execution)以移至其在 MITRE 網站上的詳細資料。

偵測 Mitre 詳細資料。

尋找類似偵測

在偵測詳細資料滑出窗格中,按一下類似偵測。類似的偵測將顯示在主表中。

將偵測新增至案例

案例將偵測中報告的可疑事件組合在一起,並幫助您對這些事件進行取證工作。請參閱案例

偵測頁面上,您可以向現有案例新增偵測或建立新案例。

新增至案例

  1. 偵測清單中,選取要新增的偵測。

    已選取偵測的偵測頁面。

  2. 按一下動作 > 新增至案例

    動作功能表。

  3. 按一下案例,然後按一下新增至案例

    新增至案例對話方塊。

案例名稱顯示在該偵測的案例欄位及其詳細資料窗格底部。

偵測包含在案例頁面上的案例詳細資料中。

建立案例

若要建立新案例並向其新增偵測,請執行下列動作:

  1. 偵測清單中,選取要調查的偵測。

    已選取偵測的偵測頁面。

  2. 按一下動作 > 建立案例

    動作功能表。

  3. 建立案例中,執行以下操作:

    1. 輸入案例名稱和說明。
    2. 選取嚴重性
    3. 選取狀態新建正在調查)。
    4. 選取受派者。這是將調查案例的管理員。
    5. 點選建立

    建立案例對話方塊。

案例將新增至案例頁面。

案例名稱也會顯示在該偵測的案例欄位及其詳細資料窗格底部。

尋找潛在威脅

您可以利用偵測檢查裝置、處理程序、使用者和事件是否存在其他 Sophos 功能未封鎖的潛在威脅跡象。例如:

  • 表示嘗試檢查您的系統並停留在系統中、逃避安全系統或竊取憑證的異常指令。
  • 表明攻擊者可能已侵入裝置的 Sophos 惡意軟體警示,如動態 Shellcode 防護事件。
  • Linux 執行階段偵測(如容器逸出)表明攻擊者正在提升容器存取的權限,以移至容器主機。

大多數偵測都連結至 MITRE ATT&CK 架構,您可在其中找到有關特定策略和技術的更多資訊。請參閱 https://attack.mitre.org/

您也可以搜尋 Sophos 在其他地方發現的可疑或已知威脅的跡象,或者搜尋過時軟體或不安全的瀏覽器。

獲取幫助

Sophos 支援人員無法幫助您調查偵測結果。

如果您購買了 Managed Detection and Response (MDR) 服務,我們的分析師會 24/7 全天候監控您的環境是否存在惡意活動,並與您聯絡或代表您作出回應。請參見 Managed Detection and Response

注意

如果您認為您的安全性遭到破壞,且您需要立即獲得協助,請聯絡我們的快速響應團隊。這是付費服務。請參見 Sophos Rapid Response