ライブ調査

ライブ調査では、現在のシステムの状態を調査します。ライブ調査は指定した期間で実行されるよう設定でき、OpenIOCルールやYARAルールを使用した広範な条件がサポートされます。

重要:

Windowsプラットフォームにインストールされたセキュリティエージェントに対してのみ使用できます。

ライブ調査では次の条件がサポートされています。

  • OpenIOCルール: OpenIOCルールを使用すると、現在ディスク上にあるすべてのファイルが検索されます。

    注:

    選択後、Endpoint SensorにOpenIOCファイルのプレビューが表示されます。表示されたプレビューで、OpenIOCファイルにサポートされる痕跡と条件が含まれているかどうか確認します。サポートされていない組み合わせには取り消し線が付けられ、調査では無視されます。

    詳細については、ライブ調査でサポートされるIOCのインジケータを参照してください。

  • YARAルール: YARAルールを使用すると、現在メモリ内で実行されているすべてのプロセスが検索されます。

    注:

    Root Cause Analysisの結果は、YARAルールにのみ使用できます。

    ライブ調査は現在実行中のシステムに対して行われるため、この間、ファイルやレジストリエントリには、ロックされているものもあれば、使用中のものもあります。Root Cause Analysisの結果は、OpenIOCルールまたはレジストリ検索を使用した調査には使用できません。

  • レジストリを検索: 対象エンドポイント上で照合するレジストリのキー、名前、およびデータを指定します。

    注:

    調査は、次のルートキーの下のレジストリ値に対してのみ実行されます。

    • HKEY_CURRENT_USER

    • HKEY_CLASSES_ROOT

    • HKEY_LOCAL_MACHINE

    • HKEY_USERS

管理者は、実行するライブ調査の種類を指定できます。

  • 1回限りの調査は1回だけ実行されます。この調査は、作成後すぐに実行されます。

    詳細については、1回限りの調査を開始するを参照してください。

  • 予約調査は、指定の間隔で自動的に実行されるように設定できます。

    詳細については、予約調査を開始するを参照してください。

ライブ調査は、完了までにしばらく時間がかかります。