1回限りの調査を開始する

  1. レスポンス > ライブ調査 に移動します。
  2. [1回限りの調査] タブをクリックします。
  3. [新しい調査] をクリックします。
  4. この調査に [名前] を指定します。
  5. 一致させる必要があるオブジェクトに基づいて [方法] を選択します。
    • OpenIOCを使用してディスクファイルを検索: OpenIOCファイルで指定されたルールに一致する、ディスク上のオブジェクト

      注:

      選択後、Endpoint SensorにOpenIOCファイルのプレビューが表示されます。表示されたプレビューで、OpenIOCファイルにサポートされる痕跡と条件が含まれているかどうか確認します。サポートされていない組み合わせには取り消し線が付けられ、調査では無視されます。

      詳細については、ライブ調査でサポートされるIOCのインジケータを参照してください。

    • YARAを使用してインメモリプロセスを検索: YARAファイルで指定されたルールに一致する、現在メモリ内に存在するオブジェクト

    • レジストリを検索: ユーザ指定の条件に一致するレジストリのキー、名前、およびデータ

  6. [エンドポイントの選択] をクリックし、調査に含めるエンドポイントを指定します。
    注:

    [対象エンドポイント] 画面には、調査対象として選択されたエンドポイントがすべて表示されるとは限りません。

    • 表示されるのは、そのユーザが十分なアクセス権を付与されているエンドポイントのみです。

    • Windowsプラットフォームにインストールされたセキュリティエージェントに対してのみ使用できます。

  7. [調査を開始] をクリックします。
  8. 1回限りの調査の結果を確認したり、進行状況を確認したりするには、次の手順を実行します。
    1. レスポンス > ライブ調査 に移動します。
    2. [1回限りの調査] タブをクリックします。

      詳細については、1回限りの調査を開始するを参照してください。