跳至內容
了解我們如何支援MDR。

頁面永久連結

參考此頁面時,請務必使用以下永久連結。在以後的說明版本中,它將保持不變。

https://docs.sophos.com/central/customer/help/zh-tw/index.html?contextId=detection-pipeline

整合功能的偵測管線

此頁面說明了 Sophos 產品整合功能如何擷取、篩選、清理、關聯和升級偵測。

注意

欲了解如何監控正在收集和處理的偵測數量,請參閱 遙測歷程

Sophos MDR 和 XDR 偵測管線圖。

步驟 1:擷取與過濾

我們擷取遙測數據並過濾掉不需要的雜訊。

我們將用以下方式之一進行處理:

  • 內部部署:客戶網路上的日誌收集器將警示轉發至 Sophos Central。
  • 在雲端:API 將警示發送至 Sophos Central。

注意

為了確保所有使用者的服務連續性,Sophos 有時會對客戶的資料輸入進行篩選或取樣。這可能會導致警示數量在擷取與處理階段之間出現暫時性的差異。這也可能導致資料重新佇列以便重新處理,以便為客戶提供全面的防護。

步驟 2:未含病毒

我們擷取的資料並非標準化的,因此 Sophos 會開始將其處理為一致且正規化的結構。

步驟 3:關聯

我們現在開始將看似無關的原始警示分組為相關的警示群集。

我們使用以下準則來分組警示:

  • 我們的目標是讓每個警示群集代表一個相關的活動。
  • 我們根據時間將警示分組,並依據 MITRE ATT&CK 技術和類似的入侵指標 (IOC) 或實體進行分類。
  • 我們使用 MITRE 框架來幫助我們根據特定的威脅使用案例對事件進行分組。

步驟 4:升級

現在,系統會根據準則決定哪些群集需要升級給我們的分析師進行進一步調查。

如有需要,分析師將進行調查,而我們會通知客戶有關調查的進展。

我們通常提供以下資訊:

  • 事件描述。
  • 似乎代表最嚴重威脅的特定警示詳細資訊。
  • 任何處於威脅中的特定基礎架構。
  • 事件發生的具體時間。
  • 對威脅嚴重性的判斷 (是嚴重問題還是誤報,是否已經對所有警示採取行動)。
  • 任何緩解措施。