事前診断に基づく調査では、指定した条件に基づいて、履歴イベントとRoot Cause Analysisレポートが診断されます。調査結果は、不審アクティビティの実行フローを示すRoot Cause Analysisマップの形式で表示されます。これにより、組織全体を巻き込んだ、標的型攻撃のイベントチェーンを分析できます。
事前診断に基づく調査では、次の種類のオブジェクトが使用されます。
DNSレコード
IPアドレス
ファイル名
ファイルパス
SHA-1ハッシュ値
MD5ハッシュ値
ユーザアカウント
事前診断に基づく調査は、エンドポイントのイベント履歴が格納された、標準化されたデータベースに対してクエリを実行します。この方法は、従来のログファイルに比べて使用するディスク容量が少なく、リソースの消費量も少なくなります。