Procedimiento
- Vaya a .
- Haga clic en Avanzado.
- Seleccione Definido por el usuario.
- Especifique el período de datos para la investigación.
- Seleccione una de las opciones siguientes:
-
Coincide con ALGUNO de los criterios: busca objetos que coincidan con alguno de los criterios especificados
-
Coincide con TODOS los criterios: busca objetos que coincidan con todos los criterios especificados
-
- Haga clic en Nuevos criterios, seleccione un tipo de criterio y especifique información válida.Para obtener información, consulte Formatos compatibles de criterios personalizados.Para guardar los criterios para futuras investigaciones, haga clic en
.
- (Opcional) Para cargar criterios personalizados existentes, haga clic en Criterios guardados.
- Seleccione los criterios que desee cargar.
- Haga clic en Aplicar criterios.
- Haga clic en Valorar impacto.Aparecerá la sección Endpoints coincidentes. Deje que la investigación se ejecute.
- Compruebe los resultados en la sección Endpoints coincidentes.Aparecerán los detalles siguientes:Nombre de la columnaDescripciónEndpointNombre del endpoint que contiene el objeto coincidenteDirección IPv4Dirección IP del endpoint que contiene el objeto coincidenteLa red se encarga de asignar la dirección IPSistema operativoSistema operativo utilizado por el endpointUsuarioNombre del usuario que se ha registrado cuando el Security Agent se registró por primera vez el objeto coincidenteHaga clic en el nombre de usuario para ver más detalles sobre el usuario.Primer registroFecha y hora en la que el Security Agent registró por primera vez el objeto coincidenteDetallesHaga clic en el icono para abrir la pantalla Detalles de coincidencia.La pantalla Detalles de coincidencia muestra los detalles siguientes:
-
Criterios: criterios utilizados en la valoración
-
Primer registro: fecha y hora en la que el Security Agent registró por primera vez el objeto coincidente
-
Repeticiones en CLI/registro: número de coincidencias encontradas en la línea de comandos o las entradas del registroHaga clic en el valor para mostrar más detalles.
-
Endpoints afectados: si la clasificación es maliciosa, el número de endpoints en los que se ha encontrado una coincidencia similarEl recuento solo incluye los endpoints afectados en los últimos 90 días.
-
- Para consultar la secuencia de eventos que provocan la ejecución del objeto coincidente,
seleccione los endpoints que precisen un análisis más exhaustivo y haga clic en Generar análisis de causa principal.Aparecerá la pantalla Generar análisis de causa principal.
- Especifique un nombre para el análisis de la causa principal y haga clic en Generar.
- Haga clic en la pestaña Análisis de causa principal para consultar los resultados. Deje que la tarea finalice.