予約調査を開始する

  1. [レスポンス] > [現状調査] に移動します。
  2. [予約調査] タブをクリックします。
  3. [新しい調査] をクリックします。
  4. この調査に [名前] を指定します。
  5. 一致させる必要があるオブジェクトに基づいて [方法] を選択します。

    • OpenIOCを使用してディスクファイルを検索: OpenIOCファイルで指定されたルールに一致する、ディスク上のオブジェクト

      注:

      選択後、Endpoint SensorにOpenIOCファイルのプレビューが表示されます。表示されたプレビューで、OpenIOCファイルにサポートされる痕跡と条件が含まれているかどうか確認します。サポートされていない組み合わせには取り消し線が付けられ、調査では無視されます。

      詳細については、現状調査でサポートされるIOCの痕跡を参照してください。

    • YARAを使用してインメモリプロセスを検索: YARAファイルで指定されたルールに一致する、現在メモリ内に存在するオブジェクト

    • レジストリを検索: ユーザ指定の条件に一致するレジストリのキー、名前、およびデータ

  6. [エンドポイントの選択] をクリックし、調査に含めるエンドポイントを指定します。
    注:

    [対象エンドポイント] 画面には、調査対象として選択されたエンドポイントがすべて表示されるとは限りません。

    • 表示されるのは、そのユーザが十分なアクセス権を付与されているエンドポイントのみです。

    • macOSを実行しているエンドポイントも表示されません。macOSエンドポイントは、有効な調査対象としてサポートされていません。

  7. この調査のスケジュールを指定します。

    • 期間: 調査の開始日と終了日を指定します。調査は、指定した期間内でのみ実行されます。初期設定は1か月です。

    • 実行間隔: スケジュール期間内に調査を繰り返す頻度を指定します。初期設定は、[毎日][08:00] です。

  8. [調査を開始] をクリックします。
  9. 予約調査の結果を確認したり、進行状況を監視したりするには、次の手順を実行します。
    1. [レスポンス] > [現状調査] に移動します。
    2. [予約調査] タブをクリックします。

      詳細については、予約調査を参照してください。

    3. 各予約実行の詳細を表示するには、調査名をクリックして、[予約調査の履歴] 画面を開きます。

      詳細については、予約調査の履歴を確認するを参照してください。

親トピック: 現状調査