ライブ調査では、現在のシステムの状態を調査します。ライブ調査は指定した期間で実行されるよう設定でき、OpenIOCルールやYARAルールを使用した広範な条件がサポートされます。
Windowsプラットフォームにインストールされたセキュリティエージェントに対してのみ使用できます。
ライブ調査では次の条件がサポートされています。
-
OpenIOCルール: OpenIOCルールを使用すると、現在ディスク上にあるすべてのファイルが検索されます。
注:選択後、Endpoint SensorにOpenIOCファイルのプレビューが表示されます。表示されたプレビューで、OpenIOCファイルにサポートされる痕跡と条件が含まれているかどうか確認します。サポートされていない組み合わせには取り消し線が付けられ、調査では無視されます。
詳細については、ライブ調査でサポートされるIOCのインジケータを参照してください。
-
YARAルール: YARAルールを使用すると、現在メモリ内で実行されているすべてのプロセスが検索されます。
注:Root Cause Analysisの結果は、YARAルールにのみ使用できます。
ライブ調査は現在実行中のシステムに対して行われるため、この間、ファイルやレジストリエントリには、ロックされているものもあれば、使用中のものもあります。Root Cause Analysisの結果は、OpenIOCルールまたはレジストリ検索を使用した調査には使用できません。OpenIOCルールまたはレジストリデータを使用してRoot Cause Analysisを生成するには、履歴調査を使用してください。
詳細については、履歴調査を参照してください。
-
レジストリを検索: 対象エンドポイント上で照合するレジストリのキー、名前、およびデータを指定します。
注:調査は、次のルートキーの下のレジストリ値に対してのみ実行されます。
-
HKEY_CURRENT_USER
-
HKEY_CLASSES_ROOT
-
HKEY_LOCAL_MACHINE
-
HKEY_USERS
-
管理者は、実行するライブ調査の種類を指定できます。
-
1回限りの調査は1回だけ実行されます。この調査は、作成後すぐに実行されます。
詳細については、1回限りの調査を開始するを参照してください。
-
予約調査は、指定の間隔で自動的に実行されるように設定できます。
詳細については、予約調査を開始するを参照してください。
ライブ調査は、完了までにしばらく時間がかかります。