1回限りの調査を開始する

  1. [レスポンス] > [現状調査] に移動します。
  2. [1回限りの調査] タブをクリックします。
  3. [新しい調査] をクリックします。
  4. この調査に [名前] を指定します。
  5. 一致させる必要があるオブジェクトに基づいて [方法] を選択します。

    • OpenIOCを使用してディスクファイルを検索: OpenIOCファイルで指定されたルールに一致する、ディスク上のオブジェクト

      注:

      選択後、Endpoint SensorにOpenIOCファイルのプレビューが表示されます。表示されたプレビューで、OpenIOCファイルにサポートされる痕跡と条件が含まれているかどうか確認します。サポートされていない組み合わせには取り消し線が付けられ、調査では無視されます。

      詳細については、現状調査でサポートされるIOCの痕跡を参照してください。

    • YARAを使用してインメモリプロセスを検索: YARAファイルで指定されたルールに一致する、現在メモリ内に存在するオブジェクト

    • レジストリを検索: ユーザ指定の条件に一致するレジストリのキー、名前、およびデータ

  6. [エンドポイントの選択] をクリックし、調査に含めるエンドポイントを指定します。
    注:

    [対象エンドポイント] 画面には、調査対象として選択されたエンドポイントがすべて表示されるとは限りません。

    • 表示されるのは、そのユーザが十分なアクセス権を付与されているエンドポイントのみです。

    • macOSを実行しているエンドポイントも表示されません。macOSエンドポイントは、有効な調査対象としてサポートされていません。

  7. [調査を開始] をクリックします。
  8. 1回限りの調査の結果を確認したり、進行状況を確認したりするには、次の手順を実行します。
    1. [レスポンス] > [現状調査] に移動します。
    2. [1回限りの調査] タブをクリックします。

      詳細については、1回限りの調査を開始するを参照してください。

親トピック: 現状調査