威脅圖表
威脅圖表可讓您調查並清理惡意軟體攻擊。
您可以找到攻擊的來源、傳播方式以及受影響的進程或檔案。這可幫助您改善安全性。
此功能僅適用於有 Intercept X 或 Intercept X Advanced with XDR 授權的客戶。如果您有 Intercept X Advanced with XDR 或 Intercept X Advanced for Server with XDR 授權,您也可以執行以下操作:
- 隔離受影響的裝置。
- 在您的網路上搜尋更多威脅示例。
- 清理並攔截威脅。
- 取得進一步的進階威脅情報。
每當我們偵測到您需要進一步調查的惡意軟體時,我們會為您建立威脅圖表。
限制
目前僅適用於 Windows 與 Mac 裝置。
如何調查並清理威脅
這是對您通常如何調查圖表的概述。有關所有選項的詳細資訊,請參閱 威脅圖表分析。
某些選項僅在您有 Intercept X Advanced with XDR 或 Intercept X Advanced with XDR for Server 授權的情況下可用。
-
轉至 威脅分析中心 並按一下 威脅圖表,然後按一下圖表。
這會顯示圖表詳細資訊頁面。
-
查看 摘要 以瞭解攻擊的起源以及哪些檔案可能受感染。
-
查看 建議的後續步驟。您可以變更圖表的優先級,並查看要調查的進程。
如果這是高優先級圖表,並且您有 Intercept X Advanced with XDR,則可以按一下 隔離該裝置。這會從網路隔離受影響的裝置。您仍然可以從 Sophos Central 管理裝置。
注意
如果裝置已自動將其本身隔離,您將不會看到該選項。
-
在 分析 標籤上,您可以看到顯示攻擊進度的圖表。按一下項目顯示更多詳細資訊。
- 按一下根本原因或其他進程以顯示其詳細資訊。
-
為確保您有來自 Sophos 的最新分析,按一下 請求最新情報。
這會傳送檔案至 Sophos 以進行分析。如果我們有有關檔案信譽和散佈程度的新資訊,您將在幾分鐘內於此處看到這些資訊。
限制
如果您有 Intercept X Advanced with XDR 或 Intercept X Advanced for Server with XDR,您將看到更多進階分析,請參閱 處理序詳細資料。您還可以執行進一步的偵測和清理,如以下步驟中所示。
-
按一下 搜尋項目 以在您的網路上搜尋更多檔案示例。
如果 項目搜尋結果 頁面顯示任何更多檔案範例,您可以按一下 隔離裝置 以隔離受影響的裝置。
-
返回威脅圖表詳細資訊頁面並查看最新威脅情報。
-
如果您確定檔案可疑,則可按一下 清除與攔截。
這會在發現項目的 Windows 裝置上清理該項目並在所有 Windows 裝置上攔截它。請參閱攔截項目。
-
如果您確信已處理了威脅,可以從隔離中移除裝置(如果需要)。轉至 建議的後續步驟,然後按一下 移除隔離。
如果您隔離了多個裝置,前往設定 > 管理員隔離的裝置 並從隔離中移除它們。請參閱管理員隔離的裝置。
-
返回 威脅圖表 清單,選擇圖表並按一下 關閉。
關於威脅圖表清單
威脅圖表 列出了過去 90 天內的所有威脅圖表。
如果您有 MDR 授權,對於已生成的威脅圖表,頁面分爲以下標籤頁:
- 由 Sophos 自動產生
- 由 Sophos Central 管理員生成
- 由 Sophos Managed Detection and Response (MDR) 團隊生成(目前未使用)
如果沒有 MDR 授權,則頁面不會分爲標籤頁。
您可按 裝置、狀態 或 優先性 篩選圖表。
您可以使用 搜尋 檢視特定使用者、裝置或威脅名稱的圖表(例如,"Troj/Agent-AJWL")。
對於各圖表,清單顯示以下大多數資訊。顯示的欄位取決於頁面是否分爲標籤頁:
- 狀態:預設情況下,狀態為新。您可以在檢視圖表時對其進行變更。
- 建立時間:圖表建立的時間和日期。
- 優先性:圖表建立時會設定優先順序。您可以在檢視圖表時對其進行變更。
- 名稱:按一下威脅名稱可檢視圖表的詳細資訊。
- 產生者:產生威脅圖表的 Sophos Central 管理員。
- 使用者:導致感染的使用者。
- 裝置:導致感染的裝置。
- 裝置類型:裝置類型,例如 電腦 或 伺服器。
您可以按一下任何列來對圖表進行排序。