跳至內容

頁面永久連結

參考此頁面時,請務必使用以下永久連結。在以後的說明版本中,它將保持不變。

https://docs.sophos.com/central/mdr/help/zh-tw/index.html?contextId=mode

有關威脅回應模式的更多資訊

我們知道,負責管理 IT 安全性的團隊在規模、能力和需求方面有很大的差異。我們希望您可以決定潛在威脅的呈報方式、希望我們採取何種應對措施(如果有),以及應在這些通訊中納入哪些人員。

無論您是訂閱 MDR Essentials 還是 MDR Complete,我們提供 2 種威脅回應模式選項:

  • 協同作業

    協作威脅回應模式會向您傳送已觀察活動的通知以及相應的建議。MDR 營運團隊將進行調查,但未經您同意或積極參與,不會採取任何回應措施。選擇「協同作業」,可讓您指派 MDR Ops 團隊執行某些回應操作,而其他回應則由您的團隊或其他合作夥伴 (例如 IT 託管服務提供商) 執行。

    在這種模式下,MDR 營運團隊必須獲得書面授權,才能執行回應措施。我們就像是您的副駕駛,您是機長。

    「協作」下存在一個選項,授權 MDR 營運團隊在 Sophos 嘗試透過電話聯絡客戶定義的所有聯絡人,但未收到確認時以授權模式作業。如果您希望我們以這種方式工作,請確保在 Sophos Central 中勾選「協作」下的方塊。

  • 授權

    授權威脅回應模式也會向您傳送已觀察活動的通知,但 MDR 營運團隊會主動代表您管理所有遏制行動(包括針對 MDR Complete 客戶的徹底消除措施),並通知您所採取的措施。選取「授權」則表示您希望我們盡可能處理大部分的工作、通知您已採取的回應措施,並僅回報需要您或您的團隊採取我們無法採取的特定行動的事情。在這種情況下,我們扮演船長的角色。

回應模式運作方式

我們來透過一個實際範例了解回應模式的運作方式:

MDR 營運團隊在您的環境中發現了一個作用中的勒索軟體攻擊。

  • 協同作業

    MDR Ops 團隊遵循與上述相同的電話和電子郵件通知流程。但也許您正在度假,手邊沒有筆記型電腦,或者您在家中照顧生病的孩子,從而無法執行所需的回應操作,因此您需要我們為您採取這些操作。在這種情況下,我們需要您的授權才能執行這些操作,然後進行管理。

  • 授權

    MDR Ops 團隊會迅速執行回應措施以消除勒索軟體攻擊。消除威脅後,MDR Ops 團隊會透過電話和/或電子郵件與您聯繫,並提供威脅的詳細資訊以及為消除威脅所採取的措施。