跳至內容

調查

調查可讓您分析潛在威脅。

調查群組將偵測功能所報告的可疑事件相互組合,並幫助您對這些事件進行取證工作。

本頁說明調查的運作方式,但還是並不會告訴您如何執行下列動作:

  • 創建調查。
  • 查看並開始調查。
  • 調查偵測到的事件。
  • 關閉調查。

關於調查

我們會自動為您創建調查。這些重點是我們建議您調查的偵測。

  • 我們會在存在高風險偵測時創建調查(若該調查未包含在同一天的調查中)。
  • 我們稍後會在調查中新增相關的偵測(其共用相同的偵測類型或受影響的裝置)。

偵測可包括在多項調查內。

有關完整詳細資料,請參見 Sophos 如何創建調查

您可以編輯和處理這些調查。或者,您也可以創建自己的調查。請參閱創建調查

創建調查

偵測調查均基於 Sophos Data Lake 中的資料。開始使用這些功能之前,請確保已打開將安全資料上載至 Data Lake 的功能。

這些資料可以來自各種 Sophos 產品。

請參閱Data Lake 上傳

查看並開始調查

若要檢視我們創建的調查、啟動調查並將其指派他人,請執行下列步驟:

  1. 轉至威脅分析中心 >
  2. 您會看見調查清單。按一下調查以查看更多詳細資訊。

    注意

    第一次查看此頁時,清單可能爲空。稍後返回查看自動創建的調查、或創建您自己的調查。

    調查頁面

  3. 調查記錄顯示調查詳細資訊,偵測清單顯示包含哪些可疑事件。按照以下步驟開始調查:

    1. 設定優先順序:
    2. 將狀態從未啓動更改爲進行中
    3. 按一下類型以指派並選取要調查的 Sophos Central 管理員。

    調查詳細資料頁面

我們會在調查發生時新增相關偵測。您也可以新增或移除偵測。在偵測清單中,按一下操作,並選擇要執行的操作。

注意

預設情況下,每當有新的調查時,我們都會將郵件傳送給超級管理員。請參閱電子郵件通知

調查偵測到的事件

我們為您提供進行調查的範本。如需調查,請執行以下操作:

  1. 轉至威脅分析中心 >
  2. 按一下調查。

    調查頁面

  3. 展開調查註釋。您將看到一系列基於 Observe-Orient-Decide-Act 的問題。

    • 決定您是否需要調查或關閉調查。
    • 檢查事件中使用的內外部連接。
    • 檢查受影響的裝置與使用者。
    • 了解使用的攻擊策略與技術。這些策略與技術會在偵測詳細資料中進行偵測。
    • 使用偵測中的樞紐分析選項來執行資料的查詢,或是查閱協力廠商威脅分析網站。請參閱偵測

    調查注釋

關閉調查

如需關閉調查,請將狀態更改爲已關閉

我們將在 30 天內刪除此調查。