Einmalige Untersuchung starten

Prozedur

1. Navigieren Sie zu Antwort → Live-Untersuchung.
2. Klicken Sie auf die Registerkarte Einmaluntersuchung.
3. Klicken Sie auf Neue Untersuchung.
4. Geben Sie einen Namen für diese Untersuchung an.
5. Wählen Sie basierend auf Objekten, die abgeglichen werden müssen, eine Methode aus:
   • Festplattendateien mit OpenIOC durchsuchen: Objekte auf der Festplatte, die den in einer OpenIOC-Datei angegebenen Regeln entsprechen

     Hinweis Nach Auswahl zeigt Endpoint Sensor eine Vorschau der OpenIOC-Datei an. Überprüfen Sie die Vorschau, um sicherzustellen, dass die OpenIOC-Datei unterstützte Indikatoren und Bedingungen enthält. Nicht unterstützte Kombinationen werden markiert, indem sie durchgestrichen werden, und werden während der Untersuchung ignoriert. Weitere Informationen finden Sie unter Unterstützte IOC-Indikatoren für Live-Untersuchungen.

   • Prozesse im Speicher mit YARA durchsuchen: Objekte, die sich derzeit im Speicher befinden und den in einer YARA-Datei angegebenen Regeln entsprechen
   • Registrierung durchsuchen: Registrierungsschlüssel, Namen und Daten, die den vom Benutzer festgelegten Kriterien entsprechen
6. Klicken Sie auf Endpunkte auswählen und geben Sie die Endpunkte an, die in die Untersuchung einbezogen werden sollen.

   Hinweis Auf dem Bildschirm Zielendpunkte werden möglicherweise nicht alle für die Untersuchung ausgewählten Endpunkte angezeigt. Ein Benutzer kann nur dann Endpunkte anzeigen, wenn er ausreichende Zugriffsrechte erhalten hat. Nur verfügbar für Trend Vision One Endpunkt-Sicherheitsagenten, die auf Windows-Plattformen installiert sind.

7. Klicken Sie auf Untersuchung starten.
8. Um die Ergebnisse anzuzeigen und den Fortschritt einmaliger Untersuchungen zu überwachen:
   1. Navigieren Sie zu Antwort → Live-Untersuchung.
   2. Klicken Sie auf die Registerkarte Einmaluntersuchung.
      Weitere Informationen finden Sie unter Einmalige Untersuchung.