Vistas:
Tipo
Elemento
FQDN/dirección IP/nombre de host
Especifique el FQDN, la dirección IP o el nombre de host del endpoint remoto para identificar las conexiones de red que realizó el endpoint investigado.
Nota
Nota
El formato IPv6 no es compatible.
Ejemplos:
  • cncserver.com
  • malicioussite.com
  • 192.168.0.1
Nombre de usuario
Especifique el nombre de la cuenta de Active Directory o el usuario local.
Ejemplos:
  • jane_smith
Nota
Nota
Utilice solamente el nombre de cuenta de usuario local (<user name>). No incluya el nombre de dominio.
Nombre del archivo
Especifique el nombre de archivo completo, incluida la extensión
Ejemplo:
  • filename.exe
Valor hash de archivo
Especifique el valor de hash de un archivo.
Ejemplo:
  • SHA-1: a2da9cda33ce378a21f54e9f03f6c0c9efba61fa
  • SHA-256: D9FCB47915363186AEC3EF3EDAE0D92AC452BFA5A41C81D5E714E45583600561
Directorio de archivos
Especifique la ruta completa sin el nombre del archivo
Ejemplo:
  • c:\windows\system32\wbem\
Nota
Nota
No incluya el nombre del archivo.
Clave de registro
Especifique la clave de registro parcial o completa, el nombre o los datos del valor.
Nota
Nota
  • Trend Micro solo registra la actividad de las ubicaciones importantes del registro para reducir el efecto que tienen los recursos en el endpoint.
  • No especifique valores SID como criterios de registro. Las investigaciones no admiten valores SID como criterios de registro personalizados.
  • Utilizar los datos de registro como criterios de investigación tiene las limitaciones siguientes:
    • Cada entrada debe tener 2 caracteres como mínimo.
    • Las entradas no pueden contener espacios.
Ejemplos:
  • Clave de registro
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
  • Nombre del valor de registro
    RunTestExe
  • Datos del valor del registro
    "c:\test\run_test.exe" –abc
Nombre del valor de registro
Datos del valor del registro
Comando CLI
Especifique los parámetros de línea de comandos.
Nota
Nota
Usar la línea de comandos como criterio de investigación tiene las limitaciones siguientes:
  • Cada entrada debe tener 2 caracteres como mínimo.
  • Las entradas no pueden contener espacios.
Ejemplos:
  • "C:\7z.exe" a "c:\log\test.7z" "c:\log\test.log"
  • taskhostw.exe -RegisterDevice -ProtectionStateChanged -FreeNetworkOnly