MDR 每週及每月報告

了解您在 MDR 活動方面的每週及每月合作夥伴報告。

!!! info 「MDR 月報僅包含採用 MSP 或月費訂閱方案的託管客戶。」

客戶摘要

「客戶摘要」區段提供有關客戶總數、已採取的回應模式、使用整合功能的客戶，以及帳戶健康評分的相關資訊。

「回應模式」顯示各回應模式的客戶數量。

「使用整合功能的客戶數」顯示已啟用整合功能且正在主動傳送資料的客戶數量。若未設定整合功能，則該客戶不會計入本節統計。

您的帳戶健康分數顯示了位於特定分數區間內，且具備整體健康分數的客戶數量。這個分數反映了您的裝置或原則是否正在使用推薦的安全設定。它還反映了您所有不同類型的健全狀況檢查中的最低分數。

Sophos 帳戶健全狀況檢查的建議可能包含以下設定：啟用防惡用功能以防範憑證竊取或權限提升，或是啟用惡意流量偵測功能以阻斷與指揮控制伺服器的通訊。帳戶健全狀況檢查可主動改善您的安全性態勢，並補救可能對安全功能產生不利影響的弱點。

表示偵測結果的百分比變化。偵測結果是技術產生的活動指標，會根據其威脅潛力進行加權與分類。在大多數情況下，這些資料點純粹只是提供資訊，不會以此建立案例。偵測通常包括命令執行、打開網路通訊端、驗證事件和執行中應用程式等項目。

表示病例數的百分比變化。無論是偵測導向還是手動建立的案例，都會進行調查，以判斷偵測是否為真正的威脅，以及是否發生惡意活動

表示需要客戶輸入或採取行動，且無法僅由 MDR 營運團隊獨立處理的案件所占的百分比變化。

顯示活躍威脅的百分比變化。「活躍威脅」是指在客戶網路中觀察到的、已確認的攻擊指標（IoA）或入侵指標（IoC）。

MDR 營運團隊會不斷改進偵測的能力，這也自然導致了報告中偵測數出現波動。這些調整可能是為了排除在識別威脅方面價值不高的偵測功能，或是擴大範圍和可見性以找出新的和緊急的威脅。

本節提供關於一個月或一週內觀察到的最高客戶偵測量的分析。這有助於 MDR Ops 團隊辨識潛在攻擊者活動中的轉折點。

MTR 偵測分為幾種高階類別，以方便瞭解在網路中觀察到的所有偵測類型。範例包括常見攻擊工具、PowerShell 執行和持續性等。並非所有偵測結果都表示存在可疑或惡意活動。其中部分可能與所收集的無害資料有關。

MTR 偵測會對應到 MITRE ATT&CK 架構中的特定技術，這是一個根據真實世界中觀察到的結果而建立的攻擊者行為知識庫，受到廣泛使用。您將在週報或月報的此部分中，看到按百分比劃分的偵測明細。

並非所有偵測結果都代表惡意活動，而無害的行為也可能符合已知的攻擊者戰術與技術。此外，MDR 案例的總數可能與觀察到的對抗性策略總數不符。這主要有兩個原因：

「客戶狀態」區段提供各客戶每週或每月的 MDR 活動報告統計摘要。