威脅圖表分析
您可以透過前往威脅圖表的詳細資訊頁面並使用該頁面的分析工具來調查該威脅圖表。
在 威脅圖表 頁面查找威脅圖表。按一下其名稱來查看簡化的事件鏈、摘要、受影響的工件 (處理程序、檔案、金鑰) 詳細資訊,以及顯示威脅發展過程的圖示。下列螢幕擷取畫面顯示在 Windows 檔案總管中開啟 eicar.com
檔案所觸發的 Eicar-AV-Test 偵測。
有關該如何處理的概覽,請參閱 威脅圖表 中的《如何調查和清除威脅》。
有關所有選項的更多資訊,請閱讀此頁面的區塊。
注意
您看到的選項可能取決於您的授權和威脅的嚴重程度。
限制
由深度學習偵測到的潛在不需要應用程式 (ML PUAs) 不會產生威脅圖。然而,您可以使用 Live Discover 中的 威脅捕獵,搜尋裝置中回報的檔案名稱或 SHA-256 雜湊值。
有關使用威脅圖調查偵測的資訊,請參見 威脅圖範例: 惡意程式偵測。
摘要
摘要 為您顯示威脅的摘要,包括以下詳細資訊:
- 根本原因:感染進入您的系統的位置。
- 涉及的可能資料:可能包含重要資料的檔案。檢查它們以查看資料是否已加密或被盜。
- 地點:裝置及其使用者的名稱。
- 時間:偵測時間和日期。
建議的後續步驟
建議的後續步驟 窗格顯示以下內容:
優先性:優先順序自動設定。您可以進行變更。
狀態:預設情況下,狀態為 新建。您可以進行變更。
注意
若將狀態設定為 進行中,則無法再將其重設為 新建。
隔離該裝置:如果圖表是高優先級並且您有 Intercept X Advanced with XDR 或 Intercept X Advanced for Server with XDR,則會看到此內容。它能讓您在調查潛在威脅時隔離裝置。
您仍然可以從 Sophos Central 管理裝置。您仍可以將隔離裝置中的檔案提交至 Sophos 進行分析。
您也可允許隔離的裝置在有限的情況下與其他裝置通訊。欲了解更多資訊,請參閱 裝置隔離排除項。
您隨時可以從隔離中移除裝置。您將在 建議的後續步驟 下看到 移除隔離 選項。
注意
如果裝置已自動將其本身隔離,您將不會看到 隔離該裝置。請參見 威脅防護原則 中的「裝置隔離」。
掃描該裝置:您可以使用該連結掃描受感染的裝置有無威脅。
分析
分析 索引標籤顯示惡意軟體感染中的事件鏈。
索引標籤右側的功能表讓您可以選擇能看到多少詳細資訊:
- 顯示直接路徑:這顯示了根本原因與感染被偵測到的項目 (「信標」) 之間直接相關的項目鏈。
- 顯示完整圖表:這顯示了根本原因、信標、受影響的工件 (應用程式、檔案、金鑰)、感染路徑 (由箭頭顯示) 以及感染是如何發生的。這是預設設定。
若要顯示或隱藏不同類型的工件,請使用圖表上方的核取方塊。
若要查看項目的詳細資訊,請按一下它。這會在圖表的右側打開一個詳細資訊窗格。
圖表記錄
圖表記錄 索引標籤顯示了威脅圖的歷史,從其由 Sophos 或系統管理員建立開始。您可以發表評論,以記錄已採取的措施和其他相關資訊。
處理程序詳細資料
按一下受影響的項目時,您可看到 處理程序詳細資料 窗格。如果有人已經將檔案提交給 Sophos,您將看到最新的威脅情報。
如果檔案尚未提交,或您想查看是否有任何更新的情報,請按一下 請求最新情報。
這將顯示有關檔案的全球信譽的最新資訊,以及是否需要進行調查。
工件清單
這是惡意軟體攻擊圖下方的清單。其顯示所有受影響的項目,例如業務檔案、處理程序、登錄機碼或 IP 位址。
您可以透過點選索引標籤右上角的 匯出為 CSV 來匯出包含受影響工件清單的逗號分隔 (CSV) 檔案。
該清單顯示:
- 名稱:按一下名稱可在詳細資訊窗格中查看更多資訊。
- 類型:工件的類型,例如業務檔案或登錄機碼。
- 信譽
- 記錄的時間:存取處理程序的時間和日期。
- 互動
建立鑑定快照
您可以從裝置中建立資料的「鑑識快照」。這會從裝置活動的 Sophos 日誌中獲取資料並將其儲存在該裝置上。有關鑑識快照的更多資訊,請參閱 取證快照。
您也可以將其儲存在您指定的 Amazon Web Services (AWS) S3 貯體。然後您可以執行分析。
您需要轉換器來讀取資料 (我們會提供)。
注意
您可以選擇快照中要包含多少資料以及上傳的位置。為此,請前往 一般設定 > 鑑識快照。這些選項可能尚未適用於所有客戶。
若要建立快照,請按以下步驟操作:
-
前往威脅圖表的 分析 索引標籤。
或者,在裝置的詳細資料頁面上,開啟 狀態 索引標籤。
-
按一下 建立鑑定快照。
- 按照 將取證快照上傳至 AWS S3 桶 中的步驟操作。
您可以在 %PROGRAMDATA%\Sophos\Endpoint Defense\Data\Forensic Snapshots\
找到產生的快照。
從偵測產生的快照位於 %PROGRAMDATA%\Sophos\Endpoint Defense\Data\Saved Data\
中。
限制
您需要是擁有竄改防護密碼存取權限的管理員,並以管理員身分執行命令提示字元,才能使用已儲存的快照。