Endpoint Sensorでの事前診断に基づく調査

事前診断に基づく調査では、指定した条件に基づいて、履歴イベントとRoot Cause Analysisレポートが診断されます。調査結果は、不審アクティビティの実行フローを示すRoot Cause Analysisマップの形式で表示されます。これにより、組織全体を巻き込んだ、標的型攻撃のイベントチェーンを分析できます。

事前診断に基づく調査では、次の種類のオブジェクトが使用されます。

  • DNSレコード

  • IPアドレス

  • ファイル名

  • ファイルパス

  • SHA-1ハッシュ値

  • MD5ハッシュ値

  • ユーザアカウント

事前診断に基づく調査は、エンドポイントのイベント履歴が格納された、標準化されたデータベースに対してクエリを実行します。この方法は、従来のログファイルに比べて使用するディスク容量が少なく、リソースの消費量も少なくなります。

親トピック: 仮想アナライザで検出された不審オブジェクトによる影響を分析する