ビュー:
ライブ調査では、現在のシステムの状態を調査します。ライブ調査は指定した期間で実行されるよう設定でき、OpenIOCルールやYARAルールを使用した広範な条件がサポートされます。
重要
重要
WindowsプラットフォームにインストールされたTrend Vision One Endpoint Securityエージェントに対してのみ使用できます。
ライブ調査では次の条件がサポートされています。
  • OpenIOCルール: OpenIOCルールを使用すると、現在ディスク上にあるすべてのファイルが検索されます。
    注意
    注意
    選択後、Endpoint SensorにOpenIOCファイルのプレビューが表示されます。表示されたプレビューで、OpenIOCファイルにサポートされる痕跡と条件が含まれているかどうか確認します。サポートされていない組み合わせには取り消し線が付けられ、調査では無視されます。
    詳細については、ライブ調査でサポートされるIOCのインジケータを参照してください。
  • YARAルール: YARAルールを使用すると、現在メモリ内で実行されているすべてのプロセスが検索されます。
    注意
    注意
    Root Cause Analysisの結果は、YARAルールにのみ使用できます。
    ライブ調査は現在実行中のシステムに対して行われるため、この間、ファイルやレジストリエントリには、ロックされているものもあれば、使用中のものもあります。Root Cause Analysisの結果は、OpenIOCルールまたはレジストリ検索を使用した調査には使用できません。
  • レジストリを検索: 対象エンドポイント上で照合するレジストリのキー、名前、およびデータを指定します。
    注意
    注意
    調査は、次のルートキーの下のレジストリ値に対してのみ実行されます。
    • HKEY_CURRENT_USER
    • HKEY_CLASSES_ROOT
    • HKEY_LOCAL_MACHINE
    • HKEY_USERS
管理者は、実行するライブ調査の種類を指定できます。
  • 1回限りの調査は1回だけ実行されます。この調査は、作成後すぐに実行されます。
    詳細については、1回限りの調査を開始するを参照してください。
  • 予約調査は、指定の間隔で自動的に実行されるように設定できます。
    詳細については、予約調査を開始するを参照してください。
ライブ調査は、完了までにしばらく時間がかかります。