跳至內容

威脅圖表分析

您可以透過前往威脅圖表的詳細資訊頁面並使用該頁面的分析工具來調查該威脅圖表。

威脅圖表 頁面查找威脅圖表。按一下其名稱可查看簡化的事件鏈、摘要、受影響的成品(進程、檔案、金鑰)的詳細資訊以及顯示威脅如何發展的圖表。下列螢幕擷取畫面顯示在 Windows 檔案總管中開啟 eicar.com 檔案所觸發的 Eicar-AV-Test 偵測。

HPmal/Eicar-A 的威脅圖表,顯示「摘要」和「建議的下一步」區段,以及「分析」索引標籤。

有關如何操作的概覽,請參見 中的威脅圖表

有關所有選項的更多詳細資訊,請閱讀此頁面上的部分。

注意

您看到的選項可能取決於您的授權和威脅的嚴重程度。

有關使用威脅圖調查偵測的詳細資訊,請參見威脅圖範例:惡意程式偵測

摘要

摘要 為您顯示威脅的摘要,包括以下詳細資訊:

  • 根本原因::感染進入您的系統的位置。
  • 涉及的可能資料::可能包含重要資料的檔案。檢查它們以查看資料是否已加密或被盜。
  • 地點::裝置及其使用者的名稱。
  • 時間::偵測時間和日期。

建議的後續步驟

建議的後續步驟 窗格顯示以下內容:

優先性:優先順序自動設定。您可以進行變更。

狀態:預設情況下,狀態為。您可以進行變更。

注意

若將狀態設定為進行中,則無法再將其重設為最新

隔離該裝置:如果圖表是高優先級並且您有 Intercept X Advanced with XDR 或 Intercept X Advanced for Server with XDR,則會看到此內容。它能讓您在調查潛在威脅時隔離裝置。

您仍然可以從 Sophos Central 管理裝置。您仍可以將隔離裝置中的檔案提交至 Sophos 進行分析。

您也可允許隔離的裝置在有限的情況下與其他裝置通訊。如欲瞭解更多詳情,請參閱 裝置隔離排除項

您隨時可以從隔離中移除裝置。您將在 建議的後續步驟 下看到 移除隔離 選項。

注意

如果裝置已自動將其本身隔離,您將不會看到 隔離該裝置。請參見 威脅防護策略 中的 “裝置隔離“。

掃描該裝置:您可以使用該連結掃描受感染的裝置有無威脅。

分析

分析 標籤顯示惡意軟體感染中的事件鏈。

標籤右側的功能表讓您可以選擇能看到多少詳細資訊:

  • 顯示直接路徑:這顯示了根本原因與偵測到感染的項目之間直接涉及的項目鏈(「信標」)。
  • 顯示完整圖表:這顯示了根本原因、信標、受影響的成品(應用程式、檔案、金鑰)、感染路徑(箭頭所示)以及感染是如何發生的。這是預設設定。

要顯示或隱藏不同類型的成品,請使用圖表上方的核取方塊。

要查看項目的詳細資訊,請按一下它。這會在圖表的右側打開一個詳細資訊窗格。

圖表記錄

圖表記錄標籤顯示了威脅圖表的歷史記錄,從 Sophos 或管理員建立威脅圖表開始。您可以張貼註解,以記錄已採取的動作和其他相關資訊。

處理序詳細資料

按一下受影響的項目時,您可看到 程式詳情 窗格。如果有人已提交了檔案至 Sophos,您可看到最新威脅情報。

如果未提交檔案或者您想查看是否有任何更新的情報,按一下 請求最新情報

這會顯示有關檔案的全域信譽和您是否需要調查的最新資訊。

成品清單

這是惡意軟體攻擊圖下方的清單。其顯示所有受影響的項目,例如業務檔案、處理程序、登錄機碼或 IP 位址。

您可以透過點選標籤右上角的 匯出為 CSV 來匯出包含受影響成品清單的逗號分隔的 (CSV) 檔案。

該清單顯示:

  • 名稱:按一下名稱可在詳細資訊窗格中查看更多資訊。
  • 類型: 成品的類型,例如業務檔案或登錄機碼。
  • 信譽
  • 記錄的時間:存取處理程序的時間和日期。
  • 互動

建立鑑定快照

您可以從裝置中建立資料的「取證快照」。這會從裝置活動的 Sophos 日誌中獲取資料並將其儲存在該裝置上。有關取證快照的更多資訊,請參閱 取證快照

您也可以將其儲存在您指定的 Amazon Web Services (AWS) S3 貯體。然後,您便可以執行分析。

您需要轉換器(我們提供)來讀取資料。

注意

您可以選擇快照中需要的資料量以及上傳位置。為此,請前往 整體設定 > 取證快照。這些選項可能尚未適用於所有客戶。

若要建立快照,請執行以下操作:

  1. 前往威脅圖表的 分析 標籤。

    或者,在裝置的詳細資料頁面上,開啟 狀態 索引標籤。

  2. 按一下 建立鑑定快照

  3. 按照 將取證快照上傳至 AWS S3 貯體 中的步驟操作。

您可以在 %PROGRAMDATA%\Sophos\Endpoint Defense\Data\Forensic Snapshots\ 找到您產生的快照。

從偵測生成的快照位於 %PROGRAMDATA%\Sophos\Endpoint Defense\Data\Saved Data\ 中。

限制

您必須是具有竄改防護密碼存取權限的管理員,並以管理員身份執行命令提示字元,才能存取儲存的快照。