跳至內容

威脅圖表

威脅圖表可讓您調查並清理惡意軟體攻擊。

您可以找到攻擊的來源、傳播方式以及受影響的進程或檔案。這可幫助您改善安全性。

此功能僅適用於有 Intercept X 或 Intercept X Advanced with XDR 授權的客戶。如果您有 Intercept X Advanced with XDR 或 Intercept X Advanced for Server with XDR 授權,您也可以執行以下操作:

  • 隔離受影響的裝置。
  • 在您的網路上搜尋更多威脅示例。
  • 清理並攔截威脅。
  • 取得進一步的進階威脅情報。

每當我們偵測到您需要進一步調查的惡意軟體時,我們會為您建立威脅圖表。

限制

目前僅適用於 Windows 與 Mac 裝置。

如何調查並清理威脅

這是對您通常如何調查圖表的概述。有關所有選項的詳細資訊,請參閱 威脅圖表分析

某些選項僅在您有 Intercept X Advanced with XDR 或 Intercept X Advanced with XDR for Server 授權的情況下可用。

  1. 轉至 威脅分析中心 並按一下 威脅圖表,然後按一下圖表。

    這會顯示圖表詳細資訊頁面。

  2. 查看 摘要 以瞭解攻擊的起源以及哪些檔案可能受感染。

  3. 查看 建議的後續步驟。您可以變更圖表的優先級,並查看要調查的進程。

    如果這是高優先級圖表,並且您有 Intercept X Advanced with XDR,則可以按一下 隔離該裝置。這會從網路隔離受影響的裝置。您仍然可以從 Sophos Central 管理裝置。

    注意

    如果裝置已自動將其本身隔離,您將不會看到該選項。

  4. 分析 標籤上,您可以看到顯示攻擊進度的圖表。按一下項目顯示更多詳細資訊。

  5. 按一下根本原因或其他進程以顯示其詳細資訊。
  6. 為確保您有來自 Sophos 的最新分析,按一下 請求最新情報

    這會傳送檔案至 Sophos 以進行分析。如果我們有有關檔案信譽和散佈程度的新資訊,您將在幾分鐘內於此處看到這些資訊。

    限制

    如果您有 Intercept X Advanced with XDR 或 Intercept X Advanced for Server with XDR,您將看到更多進階分析,請參閱 處理序詳細資料。您還可以執行進一步的偵測和清理,如以下步驟中所示。

  7. 按一下 搜尋項目 以在您的網路上搜尋更多檔案示例。

    如果 項目搜尋結果 頁面顯示任何更多檔案範例,您可以按一下 隔離裝置 以隔離受影響的裝置。

  8. 返回威脅圖表詳細資訊頁面並查看最新威脅情報。

  9. 如果您確定檔案可疑,則可按一下 清除與攔截

    這會在發現項目的 Windows 裝置上清理該項目並在所有 Windows 裝置上攔截它。請參閱攔截項目

  10. 如果您確信已處理了威脅,可以從隔離中移除裝置(如果需要)。轉至 建議的後續步驟,然後按一下 移除隔離

    如果您隔離了多個裝置,前往設定 > 管理員隔離的裝置 並從隔離中移除它們。請參閱管理員隔離的裝置

  11. 返回 威脅圖表 清單,選擇圖表並按一下 關閉

關於威脅圖表清單

威脅圖表 列出了過去 90 天內的所有威脅圖表。

如果您有 MTR 授權,對於已生成的威脅圖表,頁面分爲以下標籤頁:

  • 由 Sophos 自動產生
  • 由 Sophos Central 管理員生成
  • 由 Sophos Managed Threat Response (MTR) 團隊生成(目前未使用)

如果沒有 MTR 授權,則頁面不會分爲標籤頁。

您可按 裝置狀態優先性 篩選圖表。

您可以使用 搜尋 檢視特定使用者、裝置或威脅名稱的圖表(例如,"Troj/Agent-AJWL")。

對於各圖表,清單顯示以下大多數資訊。顯示的欄位取決於頁面是否分爲標籤頁:

  • 狀態:預設情況下,狀態為。您可以在檢視圖表時對其進行變更。
  • 建立時間:圖表建立的時間和日期。
  • 優先性:圖表建立時會設定優先順序。您可以在檢視圖表時對其進行變更。
  • 名稱:按一下威脅名稱可檢視圖表的詳細資訊。
  • 產生者:產生威脅圖表的 Sophos Central 管理員。
  • 使用者:導致感染的使用者。
  • 裝置:導致感染的裝置。
  • 裝置類型:裝置類型,例如 電腦伺服器

您可以按一下任何列來對圖表進行排序。