Endpoint Sensorの調査ウィジェットは、リモートのTrend Micro Endpoint Sensorサーバに接続して調査を開始し、Apex Centralダッシュボードからこの調査の結果を直接表示します。
[新しい調査を開始] をクリックして新しい調査を開始し、次に調査方法を選択します。
- 履歴レコード: ユーザ定義の基準に基づいて履歴イベントを調査します。
- システムスナップショット: 選択したエンドポイントの現在の状態を調査します。
[新しい調査] 画面が表示されたら、必要な条件を入力します。次の調査の種類があります。
|
調査の種類 |
説明 |
|---|---|
|
履歴検索 - Retro Scan |
ユーザ定義の基準に基づく履歴イベントの調査 |
|
履歴検索 - IOCルール |
IOCルールを使用した履歴イベントの調査 |
|
システムスナップショット- レジストリ検索 |
Windowsレジストリの調査 |
|
システムスナップショット - YARAルール |
YARAルールを使用した、メモリ常駐型の脅威の調査 |
|
システムスナップショット - IOCルール |
IOCルールを使用したイベントの調査 |
|
システムスナップショット - ディスクIOCルール |
IOCルールを使用したファイルの調査 |
|
システムスナップショット - システム監査 |
現在実行中のすべてのプロセス、サービス、およびモジュールの調査 |
[調査] をクリックして調査を開始します。継続中の調査を停止するには、[キャンセル] をクリックします。
ウィジェットの表示が定期的に更新され、調査の進捗状況が表示されます。このウィジェットには、次のように分類された合計エンドポイント数を視覚的に表す円グラフが表示されます。
- 一致: 一致するオブジェクトが見つかったエンドポイント数を示します。
- 安全: 一致するオブジェクトが見つからなかったエンドポイント数を示します。
- 保留: まだ調査が完了していないエンドポイント数を示します。
- キャンセル: 次のいずれかの基準に合致するエンドポイント数を示します。
- エンドポイントで実行された調査でエラーが発生した
- エンドポイントがオフラインであるか、エンドポイント宛てに送信したすべてのコマンドがタイムアウトになった
- エンドポイントの調査がユーザによって手動で中断された
円グラフの右側に総数の内訳が表示されます。各分類の数をクリックすると、[調査結果] 画面が表示されます。この画面には、Apex Centralから開始された最新の調査結果に関する詳細が表示されます。
-
サーバが追加されたら、ウィジェットを更新し、新しいサーバからのデータ取得を開始します。
-
複数のサーバを追加した場合、すべてのサーバのデータの集計結果が表示されます。