Vues :

Procédure

  1. Accédez à DÉTECTION ET RÉPONSEInvestigation des menaces.
  2. Cliquez sur Avancé.
  3. Sélectionnez Défini par l'utilisateur.
  4. Spécifiez la période de données de l'investigation.
  5. Sélectionnez l'une des options suivantes :
    • Faire correspondre N'IMPORTE QUEL critère : rechercher les objets correspondant à l'un des critères spécifiés
    • Faire correspondre TOUS les critères : rechercher les objets correspondant à tous les critères spécifiés
  6. Cliquez sur Nouveaux critères, sélectionnez un type de critères et spécifiez des informations valides.
    Pour plus de détails, consultez Formats pris en charge pour les critères personnalisés.
    Pour enregistrer vos critères en vue d'investigations ultérieures, cliquez sur save.jpg.
  7. (Facultatif) Pour charger des critères personnalisés existants, cliquez sur Critères enregistrés.
    1. Sélectionnez les critères à charger.
    2. Cliquez sur Appliquer les critères.
  8. Cliquez sur Évaluer l'effet.
    La section Endpoints correspondants s'affiche. Veuillez attendre la fin de l'exécution de l'investigation.
  9. Vérifiez les résultats dans la section Endpoints correspondants.
    Les informations suivantes sont disponibles :
    Nom de la colonne
    Description
    Endpoint
    Nom de l'endpoint contenant l'objet correspondant
    Adresse IPv4
    Adresse IP de l'endpoint contenant l'objet correspondant
    L'adresse IP est attribuée par le réseau
    Système d'exploitation
    Système d'exploitation de l'endpoint
    Utilisateur
    Nom de l'utilisateur connecté lors de la première journalisation de l'objet correspondant par Security Agent
    Cliquez sur le nom d'utilisateur pour afficher plus de détails sur celui-ci.
    Première journalisation
    Date et heure de la première journalisation de l'objet correspondant par Security Agent
    Détails
    Cliquez sur l'icône pour ouvrir l'écran Détails de correspondance.
    L'écran Détails de correspondance affiche les informations suivantes :
    • Critères : critères utilisés pour l'évaluation
    • Première journalisation : date et heure de la première journalisation de l'objet correspondant par Security Agent
    • Occurrences dans l'interface de ligne de commande / le Registre : nombre de correspondances trouvées dans la ligne de commande ou les entrées de Registre
      Cliquez sur la valeur pour afficher plus de détails.
    • Endpoints affectés : si l'évaluation estime qu'un objet est malveillant, nombre d'endpoints sur lesquels une correspondance similaire a été détectée
      Ce nombre ne comprend que les endpoints affectés au cours des 90 derniers jours.
  10. Pour consulter la séquence des événements menant à l'exécution de l'objet correspondant, sélectionnez les endpoints qui nécessitent une analyse plus approfondie et cliquez sur Générer une analyse de cause première.
    L'écran Générer une analyse de cause première s'affiche.
  11. Donnez un nom à l'analyse de la cause première, puis cliquez sur Générer.
  12. Cliquez sur l'onglet Analyse de la cause première pour consulter les résultats. Veuillez attendre la fin de tâche.
Information associée