[レスポンス] > [事前診断に基づく調査] に移動します。

[カスタム条件] タブをクリックします。

次のオプションのいずれかを選択します。

次のすべてに一致: 指定したすべての条件に一致するオブジェクトを検出します。
次のいずれかに一致: 指定したいずれかの条件に一致するオブジェクトを検出します。

[条件の追加] をクリックし、条件の種類を選択して、有効な情報を指定します。

詳細については、カスタム条件でサポートされる形式を参照してください。

条件を管理するには、次の操作を行います。

[リセット] をクリックして、指定した条件をすべて解除します。
今後の調査のために条件を保存するには、をクリックし、条件名を指定します。

注:

事前診断に基づく調査では、最大10件のカスタム条件の保存がサポートされています。

(オプション) 既存のカスタム条件をロードするには、[条件の選択] をクリックします。

[はい] をクリックします。
注:
既存の条件を適用すると、現在指定されている条件がすべて上書きされます。
[保存した条件] タブに移動します。
条件を選択します。
条件を管理するには、次の操作を行います。
- このリストの項目は、[前回の使用日時] 列で並べ替えることができます。
- 保存した条件を削除するには、[削除] アイコンをクリックします。
[保存した条件の追加] をクリックします。

(オプション) C&Cコールバックイベントをロードするには、[条件の選択] をクリックします。

[はい] をクリックします。
注:
既存の条件を適用すると、現在指定されている条件がすべて上書きされます。
[C&Cコールバックイベント] タブに移動します。
条件を選択します。
[期間] をクリックして、指定した時間でC&Cコールバックイベントをフィルタします。
[C&Cコールバックイベントのロード] をクリックします。
注:
[ログクエリ] 画面には、C&Cコールバックイベントに関する追加の詳細が表示されるため、選択する前に確認することができます。[ログクエリ] 画面を開くには、[レポート] > [ログ] > [ログクエリ] に移動した後、[ネットワークイベント] > [C&Cコールバック] でフィルタします。

次のいずれかをクリックします。

過去90日間のデータを診断: 過去90日間に記録されたデータだけを診断します。結果は、通常、数秒後に使用できるようになります。
すべてのデータを診断: 記録されたすべてのデータを診断します。すべてのデータを診断する場合、完了までに少し時間がかかることがあります。

結果ペインで、表示された結果を確認します。

注:

事前診断に基づく調査が実行されるまで、しばらく待ちます。この調査では、メタデータに一致するオブジェクトが見つかるとすぐに結果の表に行が追加されます。調査が完了するまでに数分かかる場合があります。
[エンドポイント] ラベルにポインタを合わせると、診断の進行状況を示すポップアップが表示されます。
事前診断に基づく調査中に利用可能なデータは、セキュリティエージェントデータのサブセットであり、危険度の高いファイルの種類に関する情報のみが含まれています。診断で結果が返されなかった場合、現状調査を実行することをお勧めします。

次の詳細を確認できます。

列名	説明
エンドポイント	一致するオブジェクトを含むエンドポイントの名前を示します。クリックすると、エンドポイントの詳細が表示されます。
ステータス	エンドポイントの現在の接続ステータスを示します。
IPアドレス	一致するオブジェクトを含むエンドポイントのIPアドレスを示します。 IPアドレスはネットワークによって割り当てられます。
OS	エンドポイントで使用されているOSを示します。
ユーザ	Endpoint Sensorエージェントが一致したオブジェクトを最初に記録したときにログインしていたユーザのユーザ名を示します。ユーザ名をクリックすると、ユーザの詳細が表示されます。
管理サーバ	感染エンドポイントを管理するサーバを示します。
最初に記録	Endpoint Sensorエージェントが一致したオブジェクトを最初に記録した日時を示します。
詳細	このアイコンをクリックすると、[一致の詳細] 画面が開きます。 [一致の詳細] 画面には、以下の詳細が表示されます。 [条件]: 診断で使用される条件 [最初に記録]: Endpoint Sensorエージェントが、一致したオブジェクトをログに最初に記録した日時 [CLI/レジストリ数]: コマンドラインまたはレジストリエントリで検出された一致の数値をクリックすると、詳細が表示されます。 [評価]: トレンドマイクロインテリジェンスによって割り当てられた評価評価が"不正"または"不審"のオブジェクトには、Threat Connectへのリンクが含まれています。 [影響を受けたエンドポイント]: 不正という評価である場合、同様の一致したオブジェクトが検出されたエンドポイントの数この数には、過去90日間に影響を受けたエンドポイントだけが含まれます。
アスタリスク ( ✱ )	「重要」としてタグ付けされたエンドポイントを示します。

さらなる処理が必要なエンドポイントを1つ以上選択します。

注:

事前診断に基づく調査の結果には、macOSエンドポイントが含まれる場合があります。macOSエンドポイントに利用できる処理がないため、これらのエンドポイントのチェックボックスは無効になっています。

処理	説明
Root Cause Analysisの生成	Root Cause Analysisを生成し、一致したオブジェクトの実行につながった一連のイベントを確認します。詳細については、診断からRoot Cause Analysisを開始するを参照してください。
現状調査を開始	現在のシステムの状態に対して同じ条件で新しい調査を実行します。 [現状調査] 画面が表示され、既存の条件を使用して1回限りの調査が新しく開始されます。カスタム条件を使用した診断の場合、[現状調査] では、選択したエンドポイントのみが条件として使用されます。詳細については、1回限りの調査を開始するを参照してください。
エンドポイントの隔離	選択したエンドポイントがネットワークから切断されます。注: 隔離したエンドポイントでセキュリティの脅威を解決すると、[ディレクトリ] > [ユーザ/エンドポイント] 画面の次の場所に、隔離したエンドポイントのネットワーク接続を復元するオプションが表示されます。 [エンドポイント] > [すべて]: 表内のエンドポイント名をクリックし、表示された画面で [タスク] > [復元] の順にクリックします。 [エンドポイント] > [フィルタ] > [ネットワーク接続] > [隔離済み]: 表内のエンドポイントの行を選択し、[タスク] > [ネットワーク接続の復元] の順にクリックします。

処理

説明

Root Cause Analysisの生成

Root Cause Analysisを生成し、一致したオブジェクトの実行につながった一連のイベントを確認します。

詳細については、診断からRoot Cause Analysisを開始するを参照してください。

現状調査を開始

現在のシステムの状態に対して同じ条件で新しい調査を実行します。

[現状調査] 画面が表示され、既存の条件を使用して1回限りの調査が新しく開始されます。

カスタム条件を使用した診断の場合、[現状調査] では、選択したエンドポイントのみが条件として使用されます。

詳細については、1回限りの調査を開始するを参照してください。

エンドポイントの隔離

選択したエンドポイントがネットワークから切断されます。

注:

隔離したエンドポイントでセキュリティの脅威を解決すると、[ディレクトリ] > [ユーザ/エンドポイント] 画面の次の場所に、隔離したエンドポイントのネットワーク接続を復元するオプションが表示されます。

[エンドポイント] > [すべて]: 表内のエンドポイント名をクリックし、表示された画面で [タスク] > [復元] の順にクリックします。
[エンドポイント] > [フィルタ] > [ネットワーク接続] > [隔離済み]: 表内のエンドポイントの行を選択し、[タスク] > [ネットワーク接続の復元] の順にクリックします。

事前診断に基づく調査にカスタム条件を使用する