履歴調査に対するユーザ定義の条件の使用

手順

1. [レスポンス] → [履歴調査] に移動します。
2. [ユーザ定義] をクリックします。
3. 次のオプションのいずれかを選択します。
   • [すべての条件に一致]: 指定したすべての条件に一致するオブジェクトを検出します。
   • [いずれかの条件に一致]: 指定したいずれかの条件に一致するオブジェクトを検出します。
4. [新しい条件] をクリックし、条件の種類を選択して、有効な情報を指定します。
   詳細については、ユーザ定義の条件でサポートされる形式を参照してください。

   条件を管理するには、次の操作を行います。

   • [リセット] をクリックして、指定した条件をすべて解除します。
   • 今後の調査のために条件を保存するには、をクリックし、条件名を指定します。

   注意 履歴調査では、最大10件のユーザ定義の条件がサポートされています。

5. (オプション) 既存のユーザ定義の条件をロードするには、[条件の選択] をクリックします。
   1. [はい] をクリックします。

      注意 既存の条件を適用すると、現在指定されている条件がすべて上書きされます。

   2. [保存した条件] タブに移動します。
   3. 条件を選択します。
      条件を管理するには、次の操作を行います。

      • [前回の使用日時] 列を使用して条件を並べ替えます。
      • [削除] アイコンを使用して、保存した条件を削除します。
   4. [保存した条件の追加] をクリックします。
6. (オプション) C&Cコールバックイベントをロードするには、[条件の選択] をクリックします。
   1. [はい] をクリックします。

      注意 既存の条件を適用すると、現在指定されている条件がすべて上書きされます。

   2. [C&Cコールバックイベント] タブに移動します。
   3. 条件を選択します。
      [期間] をクリックして、指定した時間でC&Cコールバックイベントをフィルタします。
   4. [C&Cコールバックイベントのロード] をクリックします。

      注意 [ログクエリ] 画面には、C&Cコールバックイベントに関する追加の詳細が表示されるため、選択する前に確認することができます。[ログクエリ] 画面を開くには、[レポート] → [ログ] → [ログクエリ] に移動した後、[ネットワークイベント] → [C&Cコールバック] でフィルタします。

7. [診断] をクリックします。
8. 結果ペインで、表示された結果を確認します。

   注意 履歴調査が実行されるまでしばらく待ちます。この調査では、メタデータに一致するオブジェクトが見つかるとすぐに結果の表に行が追加されます。調査が完了するまでに数分かかる場合があります。 履歴調査中に利用可能なデータは、セキュリティエージェントデータのサブセットであり、高リスクのファイルタイプに関する情報のみが含まれています。診断で結果が返されなかった場合、ライブ調査を実行することをお勧めします。

   次の詳細を確認できます。

   列名	説明
   エンドポイント	一致するオブジェクトを含むエンドポイントの名前を示します。 クリックすると、エンドポイントの詳細が表示されます。
   ステータス	エンドポイントの現在の接続ステータスを示します。
   IPアドレス	一致するオブジェクトを含むエンドポイントのIPアドレスを示します。 IPアドレスはネットワークによって割り当てられます。
   オペレーティングシステム	エンドポイントで使用されているOSを示します。
   ユーザ	セキュリティエージェントが一致したオブジェクトを最初に記録したときにログインしていたユーザのユーザ名を示します。 ユーザ名をクリックすると、ユーザの詳細が表示されます。
   管理サーバ	感染エンドポイントを管理するサーバを示します。
   最初に記録	セキュリティエージェントが一致したオブジェクトを最初に記録した日時を示します。
   詳細	このアイコンをクリックすると、[一致項目の詳細] 画面が開きます。 [一致項目の詳細] 画面には、以下の詳細が表示されます。 [条件]: 診断で使用される条件 最初に記録: セキュリティエージェントが一致したオブジェクトを最初に記録した日時を示します。 [CLI/レジストリでの検出数]: コマンドラインまたはレジストリエントリで検出された一致の数 値をクリックすると、詳細が表示されます。 [評価]: トレンドマイクロインテリジェンスによって割り当てられた評価 評価が不正のオブジェクトについては、Threat ConnectまたはVirusTotalで詳細を確認できます。 [影響を受けたエンドポイント]: 不正という評価である場合、同様の一致したオブジェクトが検出されたエンドポイントの数 この数には、過去90日間に影響を受けたエンドポイントだけが含まれます。
   アスタリスク (*)	「重要」としてタグ付けされたエンドポイントを示します。

9. さらなる処理が必要なエンドポイントを1つ以上選択します。

   注意 履歴調査の結果には、macOSエンドポイントが含まれる場合があります。macOSエンドポイントに利用できる処理がないため、これらのエンドポイントのチェックボックスは無効になっています。

   処理	説明
   Root Cause Analysisの生成	Root Cause Analysisを生成し、一致したオブジェクトの実行につながった一連のイベントを確認します。 詳細については、診断からRoot Cause Analysisを開始するを参照してください。
   ライブ調査を開始	現在のシステムの状態に対して同じ条件で新しい調査を実行します。 重要 Windowsプラットフォームにインストールされたセキュリティエージェントに対してのみ使用できます。 [ライブ調査] 画面が表示され、既存の条件を使用して1回限りの調査が新しく開始されます。 ユーザ定義の条件を使用した診断の場合、[ライブ調査] では、選択したエンドポイントのみが条件として使用されます。 詳細については、1回限りの調査を開始するを参照してください。
   エンドポイントを隔離	選択したエンドポイントがネットワークから切断されます。 重要 Windowsプラットフォームにインストールされたセキュリティエージェントに対してのみ使用できます。 隔離したエンドポイントでセキュリティの脅威を解決すると、[ディレクトリ] → [ユーザ/エンドポイント] 画面の次の場所に、隔離したエンドポイントのネットワーク接続を復元するオプションが表示されます。 [エンドポイント] → [すべて]: 表内のエンドポイント名をクリックし、表示された画面で [タスク] → [復元] の順にクリックします。 [エンドポイント] → [フィルタ] → [ネットワーク接続] → [隔離済み]: 表内のエンドポイントの行を選択し、[タスク] → [ネットワーク接続の復元] の順にクリックします。