ビュー:
注:

現在のシステムの状態を調査するには、[ライブ調査] を使用してください。

詳細については、1回限りの調査を開始するを参照してください。

  1. [レスポンス] > [履歴調査]に移動します。
  2. [OpenIOCファイル] タブをクリックします。
    注:

    履歴調査でOpenIOCファイルを使用する場合は、次の制限があります。

    • 1度にロードできるOpenIOCファイルは1 つだけです。

    • OpenIOCファイルに指定されている演算子はすべてORに変更されます。

    • サポートされる条件はISのみです。他の条件を使用したエントリは無視され、取り消し線が付けられます。

    • サポート対象の痕跡は、収集されたメタデータに適用可能な痕跡のみです。サポート対象外の痕跡を使用したエントリは無視され、取り消し線が付けられます。

      詳細については、履歴調査でサポートされるIOCの痕跡を参照してください。

  3. 新しいOpenIOCファイルをアップロードして調査するには、次の手順を実行します。
    1. [OpenIOCファイルのアップロード] をクリックします。
    2. 有効なOpenIOCファイルを選択します。
    3. [開く] をクリックします。
  4. 既存のOpenIOCファイルを使用して調査するには、次の手順を実行します。
    1. [既存のOpenIOCファイルを使用] をクリックします。
    2. ファイルを選択します。
    3. [適用] をクリックします。
  5. [診断] をクリックします。
  6. 結果ペインで、表示された結果を確認します。
    注:

    • 履歴調査が実行されるまでしばらく待ちます。この調査では、メタデータに一致するオブジェクトが見つかるとすぐに結果の表に行が追加されます。調査が完了するまでに数分かかる場合があります。

    • [エンドポイント] ラベルにカーソルを合わせると、診断の進行状況を示すポップアップが表示されます。

    • 履歴調査中に利用可能なデータは、セキュリティエージェントデータのサブセットであり、高リスクのファイルタイプに関する情報のみが含まれています。診断で結果が返されなかった場合、ライブ調査を実行することをお勧めします。

    次の詳細を確認できます。

    列名

    説明

    エンドポイント

    一致するオブジェクトを含むエンドポイントの名前を示します。

    クリックすると、エンドポイントの詳細が表示されます。

    ステータス

    エンドポイントの現在の接続ステータスを示します。

    IPアドレス

    一致するオブジェクトを含むエンドポイントのIPアドレスを示します。

    IPアドレスはネットワークによって割り当てられます。

    オペレーティングシステム

    エンドポイントで使用されているOSを示します。

    ユーザ

    セキュリティエージェントが一致したオブジェクトを最初に記録したときにログインしていたユーザのユーザ名を示します。

    ユーザ名をクリックすると、ユーザの詳細が表示されます。

    管理サーバ

    感染エンドポイントを管理するサーバを示します。

    最初に確認された日時

    セキュリティエージェントが一致したオブジェクトを最初に記録した日時を示します。

    詳細

    このアイコンをクリックすると、[一致項目の詳細] 画面が開きます。

    [一致項目の詳細] 画面には、以下の詳細が表示されます。

    • [条件]: 診断で使用される条件

    • [最初に確認された日時]: セキュリティエージェントが一致したオブジェクトを最初に記録した日時

    • [CLI/レジストリでの検出数]: コマンドラインまたはレジストリエントリで検出された一致の数

      値をクリックすると、詳細が表示されます。

    • [評価]: トレンドマイクロインテリジェンスによって割り当てられた評価

      評価が"不正"のオブジェクトについては、Threat ConnectまたはVirusTotalで詳細を確認できます。

    • [影響を受けたエンドポイント]: 不正という評価である場合、同様の一致したオブジェクトが検出されたエンドポイントの数

      この数には、過去90日間に影響を受けたエンドポイントだけが含まれます。

    アスタリスク (*)

    「重要」としてタグ付けされたエンドポイントを示します。
  7. さらなる処理が必要なエンドポイントを1つ以上選択します。
    注:

    履歴調査の結果には、macOSエンドポイントが含まれる場合があります。macOSエンドポイントに利用できる処理がないため、これらのエンドポイントのチェックボックスは無効になっています。

    処理

    説明

    Root Cause Analysisの生成

    Root Cause Analysisを生成し、一致したオブジェクトの実行につながった一連のイベントを確認します。

    詳細については、診断からRoot Cause Analysisを開始するを参照してください。

    ライブ調査を開始

    現在のシステムの状態に対して同じ条件で新しい調査を実行します。

    [ライブ調査] 画面が表示され、既存の条件を使用して1回限りの調査が新しく開始されます。

    OpenIOCファイルを使用した診断の場合、[ライブ調査] では、現在のOpenIOCファイルと選択したエンドポイントの両方が条件として使用されます。

    詳細については、1回限りの調査を開始するを参照してください。

    エンドポイントを隔離

    選択したエンドポイントがネットワークから切断されます。

    注:

    隔離したエンドポイントでセキュリティの脅威を解決すると、[ディレクトリ] > [ユーザ/エンドポイント] 画面の次の場所に、隔離したエンドポイントのネットワーク接続を復元するオプションが表示されます。

    • [エンドポイント] > [すべて]: 表内のエンドポイント名をクリックし、表示された画面で [タスク] > [復元] の順にクリックします。

    • [エンドポイント] > [フィルタ] > [ネットワーク接続] > [隔離済み]: 表内のエンドポイントの行を選択し、[タスク] > [ネットワーク接続の復元] の順にクリックします。
親トピック: 履歴調査