跳至內容
部分或全部頁面已經過機器翻譯。

頁面永久連結

參考此頁面時,請務必使用以下永久連結。在以後的說明版本中,它將保持不變。

https://docs.sophos.com/central/customer/help/zh-tw/index.html?contextId=ThreatGraphs

威脅圖表

您必須擁有Sophos Endpoint、EDR、XDR 或MDR才能使用此功能。

威脅圖表可讓您調查並清理惡意軟體攻擊。

您可以找到攻擊的來源、傳播方式以及受影響的進程或檔案。這可幫助您改善安全性。

如果您擁有Sophos XDR 許可證,您也可以執行以下操作:

  • 隔離受影響的裝置。
  • 在您的網路上搜尋更多威脅示例。
  • 清理並攔截威脅。
  • 取得進一步的進階威脅情報。

每當我們偵測到您需要進一步調查的惡意軟體時,我們會為您建立威脅圖表。

限制

目前僅適用於 Windows 與 Mac 裝置。

限制

由深度學習偵測到的潛在不需要應用程式 (ML PUAs) 不會產生威脅圖。然而,您可以使用 Live Discover 中的威脅捕獵,搜尋裝置中回報的檔案名稱或 SHA-256 雜湊值。

如何調查並清理威脅

這是對您通常如何調查圖表的概述。有關所有選項的詳細資訊,請參閱 威脅圖表分析

!!! info "只有擁有Sophos XDR 許可證才能使用這裡的一些選項。"我們已將這些標記為「需要Sophos XDR」。

  1. 轉至 威脅分析中心 並按一下 威脅圖表,然後按一下圖表。

    這會顯示圖表詳細資訊頁面。

  2. 查看 摘要 以瞭解攻擊的起源以及哪些檔案可能受感染。

  3. 查看 建議的後續步驟。您可以變更圖表的優先級,並查看要調查的進程。

    如果這是高優先級圖表,您可以按一下「隔離此裝置」 (需要Sophos XDR)。這會從網路隔離受影響的裝置。您仍然可以從 Sophos Central 管理裝置。

    注意

    如果裝置已自動將其本身隔離,您將不會看到該選項。

  4. 分析 標籤上,您可以看到顯示攻擊進度的圖表。按一下項目顯示更多詳細資訊。

  5. 按一下根本原因或其他進程以顯示其詳細資訊。

  6. 若要確保您獲得Sophos的最新分析,請點選「請求最新情報」 (需要Sophos XDR)。

    這會傳送檔案至 Sophos 以進行分析。如果我們有有關檔案信譽和散佈程度的新資訊,您將在幾分鐘內於此處看到這些資訊。

    限制

    如果您擁有Sophos XDR,您將看到更高級的分析,請參閱程式詳情。您還可以執行進一步的偵測和清理,如以下步驟中所示。

  7. 點擊「搜尋項目」 (需要Sophos XDR)以在您的網路上搜尋更多檔案範例。

    如果 項目搜尋結果 頁面顯示任何更多檔案範例,您可以按一下 隔離裝置 以隔離受影響的裝置。

  8. 返回威脅圖表詳細資訊頁面並查看最新威脅情報。

  9. 如果您確信該檔案是惡意的,您可以按一下「清理並封鎖」(需要 XDR)。

    這會在發現項目的 Windows 裝置上清理該項目並在所有 Windows 裝置上攔截它。請參見 攔截項目

  10. 如果您確信已處理了威脅,可以從隔離中移除裝置(如果需要)。轉至 建議的後續步驟,然後按一下 移除隔離

    如果您隔離了多個裝置,前往設定 > 管理員隔離的裝置 並從隔離中移除它們。請參見 管理員隔離的裝置

  11. 返回 威脅圖表 清單,選擇圖表並按一下 關閉

關於威脅圖表清單

威脅圖表 列出了過去 90 天內的所有威脅圖表。

如果您擁有Sophos MDR許可證,則頁面會分成多個選項卡,分別顯示如下產生的威脅圖表:

  • 由 Sophos 自動產生。
  • 由 Sophos Central 管理員生成。請參見 管理員產生的威脅圖表
  • 由Sophos Managed Detection and Response(MDR) 團隊產生。目前未使用。

如果您沒有MDR許可證,則頁面不會分成多個標籤頁。

您可按 裝置狀態優先性 篩選圖表。

您可以使用 搜尋 檢視特定使用者、裝置或威脅名稱的圖表(例如,"Troj/Agent-AJWL")。

對於各圖表,清單顯示以下大多數資訊。顯示的欄位取決於頁面是否分爲標籤頁:

  • 狀態:預設情況下,狀態為 新建。您可以在檢視圖表時對其進行變更。
  • 建立時間:圖表建立的時間和日期。
  • 優先性:圖表建立時會設定優先順序。您可以在檢視圖表時對其進行變更。
  • 名稱:按一下威脅名稱可檢視圖表的詳細資訊。
  • 產生者:產生威脅圖表的 Sophos Central 管理員。
  • 使用者:導致感染的使用者。
  • 裝置:導致感染的裝置。
  • 裝置類型:裝置的類型,例如Computer(電腦) 或 Server(伺服器)。

您可以按一下任何列來對圖表進行排序。

管理員產生的威脅圖表

當我們偵測到需要您進一步調查的惡意軟體時,我們會自動為您產生威脅圖。不過,您也可以手動產生威脅圖。

您可以從 Live Discover 查詢結果產生圖表。並非所有查詢都提供此選項。

以下說明僅為範例。

若要產生威脅圖,請依照下列步驟操作:

  1. 前往威脅 分析 中心 > 即時發現
  2. Live Discover 中,開啟查询部分(如果尚未開啟)。
  3. 選擇一個類別,例如“文件”
  4. 按一下要執行的查詢,例如檔案雜湊值

  5. 請如下配置查詢:

    • 如果您選擇了端點查詢,請選擇要查詢的端點。
    • 如果您選擇了Data Lake查詢,請選擇要查詢的時間段。所有端點始終包含在內。

  6. 點選「執行查詢」

    結果已顯示。

  7. 在結果中,按一下檔案路徑旁邊的三個點圖示。

  8. 「操作」下,按一下「產生威脅圖」

威脅圖表已新增至「威脅圖表」頁面的「管理員產生」索引標籤。

有關使用 Live Discover 的更多信息,請參閱Live Discover