ビュー:

[Retro Scan] では、指定した検索条件に基づいて履歴イベントとその一連のアクティビティを検索できます。

この条件には、オブジェクトの種類と項目が必要です。次の表は、各オブジェクトの種類に必要な形式を示しています。

表 1. Retro Scanの項目の有効な形式

種類

項目

DNS record

エンドポイントによりアクセスされるドメイン名を入力します。

例:

  • cncserver.com

  • malicioussite.com

IP address

エンドポイントによりアクセスされるIPアドレスを入力します。

例:

  • 192.168.0.1

File name

完全なファイル名またはファイル拡張子を入力します。

例:

  • wmiprvse

  • suhost

File path

フォルダ名または完全なパスを入力します。フォルダ名や完全なパスを特定できない場合は、キーワードのサフィックスにアスタリスク (*) を使用して部分一致を実行します。サフィックスは、表現の最後のセグメントを参照します。

たとえば、c:\windows\system32\wbem\wmiprvse.exeを検索するには、次のキーワードのいずれかを使用します。

  • windows

  • win*

  • system32

  • system*

  • wbem

  • wmiprvse

  • wmi*

SHA-1 hash values

ファイルのSHA-1ハッシュ値を入力します。

例:

a2da9cda33ce378a21f54e9f03f6c0c9efba61fa

MD5 hash values

ファイルのMD5ハッシュ値を入力します。

例:

395dc2c9ff1dce7d150ad047e78c93e1

User account

Active Directoryアカウントまたはローカルユーザの名前を入力します。

例:

  • Active Directoryユーザ (<ドメイン名>\<ユーザ名>): jp\jane_doe

  • ローカルユーザ (<ユーザ名>): jane_doe
注:

  • [Retro Scan] の調査には最大128の検索条件を指定できます。

  • 自由形式の検索では、用語にスペースが含まれていなければ、用語の部分一致がサポートされます。

  • 検索条件では大文字と小文字は区別されません。