手順
- に移動します。
- [高度な診断] をクリックします。
- [OpenIOCファイル] を選択します。
注意
履歴調査でOpenIOCファイルを使用する場合は、次の制限があります。-
1度にロードできるOpenIOCファイルは1 つだけです。
-
サポートされる条件は
ISのみです。他の条件を使用したエントリは無視され、取り消し線が付けられます。 -
サポート対象の痕跡は、収集されたメタデータに適用可能な痕跡のみです。サポート対象外の痕跡を使用したエントリは無視され、取り消し線が付けられます。詳細については、サポートされているIOCインジケータを参照してください。
-
- 調査するデータの期間を指定します。
- 新しいOpenIOCファイルをアップロードして調査するには、次の手順を実行します。
- [OpenIOCファイルのアップロード] をクリックします。
- 有効なOpenIOCファイルを選択します。
- [開く] をクリックします。
- 既存のOpenIOCファイルを使用して調査するには、次の手順を実行します。
- [既存のOpenIOCファイルを使用] をクリックします。
- ファイルを選択します。
- [適用] をクリックします。
- [影響の診断] をクリックします。[一致したエンドポイント] セクションが表示されます。調査が完了するまでしばらく待ちます。
- [一致したエンドポイント] セクションで結果を確認します。次の詳細を確認できます。列名説明エンドポイント一致するオブジェクトを含むエンドポイントの名前を示します。IPv4アドレス一致するオブジェクトを含むエンドポイントのIPアドレスを示します。IPアドレスはネットワークによって割り当てられます。オペレーティングシステムエンドポイントで使用されているOSを示します。ユーザセキュリティエージェントが一致したオブジェクトを最初に記録したときにログインしていたユーザのユーザ名を示します。ユーザ名をクリックすると、ユーザの詳細が表示されます。最初に記録セキュリティエージェントが一致したオブジェクトを最初に記録した日時を示します。詳細このアイコンをクリックすると、[一致項目の詳細] 画面が開きます。[一致項目の詳細] 画面には、以下の詳細が表示されます。
-
[条件]: 診断で使用される条件
-
最初に記録: セキュリティエージェントが一致したオブジェクトを最初に記録した日時を示します。
-
[CLI/レジストリでの検出数]: コマンドラインまたはレジストリエントリで検出された一致の数値をクリックすると、詳細が表示されます。
-
[影響を受けたエンドポイント]: 不正という評価である場合、同様の一致したオブジェクトが検出されたエンドポイントの数この数には、過去90日間に影響を受けたエンドポイントだけが含まれます。
-
- 一致したオブジェクトの実行に至る一連のイベントを確認するには、さらに分析が必要なエンドポイントを選択して、[Root Cause Analysisの生成] をクリックします。[Root Cause Analysisの生成] 画面が表示されます。
- Root Cause Analysisの名前を指定して、[生成] をクリックします。
- [Root Cause Analysis] タブをクリックして、結果を確認します。タスクが完了するまでしばらく待ちます。