Benutzerdefinierte Kriterien für Verlaufsuntersuchungen verwenden

Prozedur

1. Navigieren Sie zu Antwort → Historische Untersuchung.
2. Klicken Sie auf Benutzerdefiniert.
3. Wählen Sie eine der folgenden Optionen aus:
   • ALLE Kriterien erfüllen: Suchen Sie nach Objekten, die alle angegebenen Kriterien erfüllen
   • EINES der Kriterien erfüllen: Suchen Sie nach Objekten, die eines der angegebenen Kriterien erfüllen
4. Klicken Sie auf Neue Kriterien, um einen Kriterientyp auszuwählen, und geben Sie gültige Daten ein.
   Details finden Sie unter Unterstützte Formate für benutzerdefinierte Kriterien.

   Um die Kriterien zu verwalten:

   • Klicken Sie auf Zurücksetzen, um alle angegebenen Kriterien zu löschen.
   • Um die Kriterien für zukünftige Untersuchungen zu speichern, klicken Sie auf und geben Sie einen Kriteriennamen an.

   Hinweis Historische Untersuchungen unterstützen maximal 10 gespeicherte benutzerdefinierte Kriterien.

5. (Optional) Klicken Sie zum Laden vorhandener benutzerdefinierter Kriterien auf Kriterien auswählen.
   1. Klicken Sie auf Ja.

      Hinweis Durch das Anwenden vorhandener Kriterien werden alle derzeit angegebenen Kriterien überschrieben.

   2. Navigieren Sie zur Registerkarte Gespeicherte Kriterien.
   3. Kriterien auswählen.
      Um die Kriterien zu verwalten:

      • Sortieren Sie die Kriterien mithilfe der Spalte Zuletzt verwendet.
      • Gespeicherte Kriterien mit dem Symbol Löschen löschen.
   4. Klicken Sie auf Gespeicherte Kriterien hinzufügen.
6. (Optional) Um C&C-Callback-Ereignisse zu laden, klicken Sie auf Kriterien auswählen.
   1. Klicken Sie auf Ja.

      Hinweis Durch das Anwenden vorhandener Kriterien werden alle derzeit angegebenen Kriterien überschrieben.

   2. Navigieren Sie zur Registerkarte C&C-Callback-Ereignisse.
   3. Wählen Sie ein Kriterium aus.
      Klicken Sie auf Zeitraum, um die C&C-Callback-Ereignisse nach der angegebenen Zeit zu filtern.
   4. Klicken Sie auf C&C-Callback-Ereignisse laden.

      Hinweis Der Bildschirm Protokollabfrage bietet zusätzliche Details zu C&C-Callback-Ereignissen, falls Sie diese vor der Auswahl überprüfen müssen. Um zum Bildschirm Protokollabfrage zu gelangen, navigieren Sie zu Funde → Protokolle → Protokollabfrage und filtern Sie dann nach Netzwerkereignisse → C&C-Callback.

7. Klicken Sie auf Bewerten.
8. Überprüfen Sie im Ergebnisfenster die angezeigten Ergebnisse.

   Hinweis Warten Sie, bis die Untersuchung durchgeführt wurde. Die Untersuchung hängt weitere Zeilen an die Ergebnistabelle an, sobald übereinstimmende Objekte in den Metadaten gefunden werden. Es dauert möglicherweise einige Minuten, bis die Untersuchung abgeschlossen ist. Die während der historischen Untersuchungen verfügbaren Daten sind eine Teilmenge der Daten des Security Agent und enthalten nur Informationen über Dateitypen mit hohem Risiko. Wenn eine Bewertung keine Ergebnisse zurückgibt, können Sie eine Live-Untersuchung durchführen.

   Die folgenden Informationen sind verfügbar:

   Name der Spalte	Beschreibung
   Endpunkt	Name des Endpunkts mit dem übereinstimmenden Objekt Klicken Sie, um weitere Einzelheiten zum Endpunkt anzuzeigen.
   Status	Aktueller Verbindungsstatus des Endpunkts
   IP-Adresse	IP-Adresse des Endpunkts mit dem übereinstimmenden Objekt Die IP-Adresse wird vom Netzwerk zugewiesen
   Betriebssystem	Vom Endpunkt verwendetes Betriebssystem
   Benutzer	Benutzername des Benutzers, der angemeldet war, als der Security Agent zum ersten Mal das übereinstimmende Objekt protokolliert hat Klicken Sie auf den Benutzernamen, um weitere Informationen über den Benutzer anzuzeigen.
   Verwaltungs-Server	Server, der den betroffenen Endpunkt verwaltet
   Zuerst protokolliert	Datum und Uhrzeit, als der Security Agent zum ersten Mal das übereinstimmende Objekt protokolliert hat
   Details	Klicken Sie auf das Symbol, um das Fenster Übereinstimmungsdetails zu öffnen. Im Fenster Übereinstimmungsdetails werden die folgenden Informationen angezeigt: Kriterien: Kriterien, die bei der Bewertung verwendet werden Zuerst protokolliert: Datum und Uhrzeit, als der Security Agent zum ersten Mal das übereinstimmende Objekt protokolliert hat CLI-/Registrierungs-Vorkommen: Anzahl der Übereinstimmungen, die in der Befehlszeile oder in Registrierungseinträgen gefunden wurden Klicken Sie auf den Wert, um weitere Details anzuzeigen. Bewertung: Eine von Trend Micro Intelligence zugewiesene Bewertung Sie können Objekte mit Bewertungen vom Typ Böswillig in Threat Connect oder VirusTotal weiter untersuchen. Betroffene Endpunkte: Wenn die Bewertung 'bösartig' ist, die Anzahl der Endpunkte, auf denen eine ähnliche Übereinstimmung gefunden wurde Die Anzahl umfasst nur Endpunkte, die in den letzten 90 Tagen betroffen waren.
   Sternchen (*)	Gibt einen Endpunkt an, der als Wichtig gekennzeichnet ist

9. Identifizieren Sie einen oder mehrere Endpunkte, die weitere Maßnahmen erfordern, und wählen Sie sie aus.

   Hinweis Die Ergebnisse der historischen Untersuchung enthalten möglicherweise macOS-Endpunkte. Da keine Aktionen für macOS-Endpunkte verfügbar sind, sind die Kontrollkästchen für diese Endpunkte deaktiviert.

   Aktion	Beschreibung
   Fehlerursachenanalyse generieren	Erstellt eine Fehlerursachenanalyse, um die Abfolge der Ereignisse zu überprüfen, die zur Ausführung des übereinstimmenden Objekts führen. Weitere Informationen finden Sie unter Starten einer Grundanalyse aus einer Bewertung.
   Live-Untersuchung starten	Führt eine neue Untersuchung mit denselben Kriterien auf dem aktuellen Systemstatus aus. Wichtig Nur verfügbar für Security Agents, die auf Windows-Plattformen installiert sind. Das Fenster Live-Untersuchung wird geöffnet, und eine neue einmalige Untersuchung wird anhand der vorhandenen Kriterien gestartet. Für Bewertungen mittels benutzerdefinierter Kriterien verwendet Live-Untersuchung nur die ausgewählten Endpunkte als Kriterien Weitere Informationen finden Sie unter Einmalige Untersuchung starten.
   Endpunkte isolieren	Trennt die ausgewählten Endpunkte vom Netzwerk. Wichtig Nur verfügbar für Security Agents, die auf Windows-Plattformen installiert sind. Nach dem Beheben der Sicherheitsbedrohungen auf einem isolierten Endpunkt bieten die folgenden Speicherorte im Fenster Verzeichnisse → Benutzer/Endpunkten Optionen zur Wiederherstellung der Netzwerkverbindung eines isolierten Endpunkts: Endpunkte → Alle: Klicken Sie auf den Namen eines Endpunkts in der Tabelle und anschließend im angezeigten Fenster auf Aufgabe → Wiederherstellen. Endpunkte → Filter → Netzwerkverbindung → Isoliert: Wählen Sie die Endpunktzeile in der Tabelle aus und klicken Sie auf Aufgabe → Netzwerkverbindung wiederherstellen.