OpenIOC-Dateien für eine Verlaufsuntersuchung verwenden

Prozedur

1. Navigieren Sie zu Antwort → Historische Untersuchung.
2. Klicken Sie auf die Registerkarte OpenIOC-Datei.

   Hinweis Bei der Verwendung von OpenIOC-Dateien in historischen Untersuchungen gelten folgende Einschränkungen: Es kann jeweils nur eine OpenIOC-Datei geladen werden. Alle in der OpenIOC-Datei angegebenen Operatoren werden in OR geändert. Die einzige unterstützte Bedingung ist IS. Einträge mit sonstigen Bedingungen werden ignoriert und markiert, indem sie durchgestrichen werden. Die einzigen unterstützten Indikatoren sind die Indikatoren, die auf die erfassten Metadaten anwendbar sind. Einträge mit nicht unterstützten Indikatoren werden ignoriert und markiert, indem sie durchgestrichen werden. Details finden Sie unter Unterstützte IOC-Indikatoren für Verlaufsuntersuchungen.

3. So laden Sie eine neue OpenIOC-Datei hoch und führen eine Untersuchung anhand dieser Datei durch:
   1. Klicken Sie auf OpenIOC-Datei hochladen.
   2. Wählen Sie eine gültige OpenIOC-Datei aus.
   3. Klicken Sie auf Öffnen.
4. So führen Sie eine Untersuchung anhand einer vorhandenen OpenIOC-Datei durch:
   1. Klicken Sie auf Vorhandene OpenIOC-Datei verwenden.
   2. Wählen Sie eine Datei aus.
   3. Klicken Sie auf Anwenden.
5. Klicken Sie auf Bewerten.
6. Überprüfen Sie im Ergebnisfenster die angezeigten Ergebnisse.

   Hinweis Warten Sie, bis die Untersuchung durchgeführt wurde. Die Untersuchung hängt weitere Zeilen an die Ergebnistabelle an, sobald übereinstimmende Objekte in den Metadaten gefunden werden. Es dauert möglicherweise einige Minuten, bis die Untersuchung abgeschlossen ist. Zeigen Sie mit der Maus auf die Bezeichnung Endpunkte, um ein Popup-Fenster mit dem Fortschritt der Bewertung anzuzeigen. Die während der historischen Untersuchungen verfügbaren Daten sind eine Teilmenge der Daten des Security Agent und enthalten nur Informationen über Dateitypen mit hohem Risiko. Wenn eine Bewertung keine Ergebnisse zurückgibt, können Sie eine Live-Untersuchung durchführen.

   Die folgenden Informationen sind verfügbar:

   Name der Spalte	Beschreibung
   Endpunkt	Name des Endpunkts mit dem übereinstimmenden Objekt Klicken Sie, um weitere Einzelheiten zum Endpunkt anzuzeigen.
   Status	Aktueller Verbindungsstatus des Endpunkts
   IP-Adresse	IP-Adresse des Endpunkts mit dem übereinstimmenden Objekt Die IP-Adresse wird vom Netzwerk zugewiesen
   Betriebssystem	Vom Endpunkt verwendetes Betriebssystem
   Benutzer	Benutzername des Benutzers, der angemeldet war, als der Security Agent zum ersten Mal das übereinstimmende Objekt protokolliert hat Klicken Sie auf den Benutzernamen, um weitere Informationen über den Benutzer anzuzeigen.
   Verwaltungs-Server	Server, der den betroffenen Endpunkt verwaltet
   Zuerst protokolliert	Datum und Uhrzeit, als der Security Agent zum ersten Mal das übereinstimmende Objekt protokolliert hat
   Details	Klicken Sie auf das Symbol, um das Fenster Übereinstimmungsdetails zu öffnen. Im Fenster Übereinstimmungsdetails werden die folgenden Informationen angezeigt: Kriterien: Kriterien, die bei der Bewertung verwendet werden Zuerst protokolliert: Datum und Uhrzeit, als der Security Agent zum ersten Mal das übereinstimmende Objekt protokolliert hat CLI-/Registrierungs-Vorkommen: Anzahl der Übereinstimmungen, die in der Befehlszeile oder in Registrierungseinträgen gefunden wurden Klicken Sie auf den Wert, um weitere Details anzuzeigen. Bewertung: Eine von Trend Micro Intelligence zugewiesene Bewertung Sie können Objekte mit Bewertungen vom Typ Böswillig in Threat Connect oder VirusTotal weiter untersuchen. Betroffene Endpunkte: Wenn die Bewertung 'bösartig' ist, die Anzahl der Endpunkte, auf denen eine ähnliche Übereinstimmung gefunden wurde Die Anzahl umfasst nur Endpunkte, die in den letzten 90 Tagen betroffen waren.
   Sternchen (*)	Gibt einen Endpunkt an, der als Wichtig gekennzeichnet ist

7. Identifizieren Sie einen oder mehrere Endpunkte, die weitere Maßnahmen erfordern, und wählen Sie sie aus.

   Hinweis Die Ergebnisse der historischen Untersuchung enthalten möglicherweise macOS-Endpunkte. Da keine Aktionen für macOS-Endpunkte verfügbar sind, sind die Kontrollkästchen für diese Endpunkte deaktiviert.

   Aktion	Beschreibung
   Fehlerursachenanalyse generieren	Erstellt eine Fehlerursachenanalyse, um die Abfolge der Ereignisse zu überprüfen, die zur Ausführung des übereinstimmenden Objekts führen. Weitere Informationen finden Sie unter Starten einer Grundanalyse aus einer Bewertung.
   Live-Untersuchung starten	Führt eine neue Untersuchung mit denselben Kriterien auf dem aktuellen Systemstatus aus. Das Fenster Live-Untersuchung wird geöffnet, und eine neue einmalige Untersuchung wird anhand der vorhandenen Kriterien gestartet. Für Bewertungen mittels einer OpenIOC-Datei verwendet Live-Untersuchung die aktuelle OpenIOC-Datei und ausgewählte Endpunkte als Kriterien Weitere Informationen finden Sie unter Einmalige Untersuchung starten.
   Endpunkte isolieren	Trennt die ausgewählten Endpunkte vom Netzwerk. Hinweis Nach dem Beheben der Sicherheitsbedrohungen auf einem isolierten Endpunkt bieten die folgenden Speicherorte im Fenster Verzeichnisse → Benutzer/Endpunkten Optionen zur Wiederherstellung der Netzwerkverbindung eines isolierten Endpunkts: Endpunkte → Alle: Klicken Sie auf den Namen eines Endpunkts in der Tabelle und anschließend im angezeigten Fenster auf Aufgabe → Wiederherstellen. Endpunkte → Filter → Netzwerkverbindung → Isoliert: Wählen Sie die Endpunktzeile in der Tabelle aus und klicken Sie auf Aufgabe → Netzwerkverbindung wiederherstellen.