MDR每周和每月報告
了解您每周和每月有關MDR活動的子資產報告。
子遺產摘要
子遺產摘要部分提供有關子遺產總數,所採用的回覆模式,使用整合的子遺產,以及帳戶健康評分的資料。
回應模式
響應模式顯示每種響應模式的子屬性數。
使用集成的子莊園計數
使用集成的子資產計數顯示已啟用集成且正在主動發送數據的子資產的數量。如果未啟用集成,則此部分不計入子資產。
帳戶健全狀況分數
您的賬戶健康評分顯示其整體健康評分在特定分數範圍內的子莊園數量。這個分數反映了您的裝置或原則是否正在使用推薦的安全設定。它還反映了您所有不同類型的健全狀況檢查中的最低分數。
Sophos 帳戶健全狀況檢查建議包括諸如啟用反漏洞利用功能以防止憑證竊取或權限提升,或是啟用惡意流量偵測以阻止與命令和控制伺服器的通訊等內容。帳戶健全狀況檢查可主動改善您的安全性態勢,並補救可能對安全功能產生不利影響的弱點。
偵測
指示檢測的百分比變化。技術產生的活動指標,根據其潛在威脅加以加權和分類。在大多數情況下,這些資料點純粹只是提供資訊,不會以此建立案例。偵測通常包括命令執行、打開網路通訊端、驗證事件和執行中應用程式等項目。
案例
指示案例中的百分比變化。無論是偵測導向還是手動建立的案例,都會進行調查,以判斷偵測是否為真正的威脅,以及是否發生惡意活動
向上呈報
表示需要子資產輸入或動作但無法單獨由MDR Ops執行的情況的百分比變化。
主動威脅
指示活動威脅的百分比變化。主動威脅是在子資產網路中觀察到的攻擊(IOA)或入侵(IOC)的確診指標。
按威脅相關檢測列出的首要子資產
MDR 營運團隊會不斷改進偵測的能力,這也自然導致了報告中偵測數出現波動。這些調整可能是為了排除在識別威脅方面價值不高的偵測功能,或是擴大範圍和可見性以找出新的和緊急的威脅。
本節提供對在一個月或一個星期內觀察到的主要子資產檢測量的深入分析。這有助於MDR營運團隊確定潛在對手活動中的轉折點。
偵測分類摘要
MDR 偵測分為幾種高階類別,以方便瞭解在網路中觀察到的所有偵測類型。範例包括常見攻擊工具、PowerShell 執行和持續性等。並非所有檢測都表明存在可疑或惡意活動。有些可能與收集的良性數據相關。
MITRE ATT&CK 架構
MDR 偵測會對應到 MITRE ATT&CK 架構中的特定技術,這是一個根據真實世界中觀察到的結果而建立的攻擊者行為知識庫,受到廣泛使用。您將在每月報告的這一部分看到按百分比顯示的偵測結果。
並非所有檢測都代表惡意活動,良性行為可能與已知的對抗戰術和技術相一致。此外,MDR案件總數可能與觀察到的對抗戰術總數不匹配。發生這種情況的主要原因有兩個:
- 單一的MDR案例可能涉及多種對抗策略,使戰術總數大於案例數。
- 一些MDR案例,如健康檢查案例,可能不涉及任何對抗策略,導致案例多於觀察到的戰術。
子不動產狀態
子遺產狀態部分提供每個子遺產的每周或每月MDR活動報告的統計摘要。