[レスポンス] > [事前診断に基づく調査] に移動します。

[OpenIOCファイル] タブをクリックします。

注:

事前診断に基づく調査でOpenIOCファイルを使用する場合は、次の制限があります。

1度にロードできるOpenIOCファイルは1 つだけです。
OpenIOCファイルに指定されている演算子はすべてORに変更されます。
サポートされる条件はISのみです。他の条件を使用したエントリは無視され、取り消し線が付けられます。
サポート対象の痕跡は、収集されたメタデータに適用可能な痕跡のみです。サポート対象外の痕跡を使用したエントリは無視され、取り消し線が付けられます。

詳細については、事前診断に基づく調査でサポートされるIOCの痕跡を参照してください。

新しいOpenIOCファイルをアップロードして調査するには、次の手順を実行します。

[OpenIOCファイルのアップロード] をクリックします。
有効なOpenIOCファイルを選択します。
[開く] をクリックします。

既存のOpenIOCファイルを使用して調査するには、次の手順を実行します。

[既存のOpenIOCファイルを使用] をクリックします。
ファイルを選択します。
[適用] をクリックします。

次のいずれかをクリックします。

過去90日間のデータを診断: 過去90日間に記録されたデータだけを診断します。結果は、通常、数秒後に使用できるようになります。
すべてのデータを診断: 記録されたすべてのデータを診断します。すべてのデータを診断する場合、完了までに少し時間がかかることがあります。

結果ペインで、表示された結果を確認します。

注:

事前診断に基づく調査が実行されるまで、しばらく待ちます。この調査では、メタデータに一致するオブジェクトが見つかるとすぐに結果の表に行が追加されます。調査が完了するまでに数分かかる場合があります。
[エンドポイント] ラベルにポインタを合わせると、診断の進行状況を示すポップアップが表示されます。
事前診断に基づく調査中に利用可能なデータは、セキュリティエージェントデータのサブセットであり、危険度の高いファイルの種類に関する情報のみが含まれています。診断で結果が返されなかった場合、現状調査を実行することをお勧めします。

次の詳細を確認できます。

列名	説明
エンドポイント	一致するオブジェクトを含むエンドポイントの名前を示します。クリックすると、エンドポイントの詳細が表示されます。
ステータス	エンドポイントの現在の接続ステータスを示します。
IPアドレス	一致するオブジェクトを含むエンドポイントのIPアドレスを示します。 IPアドレスはネットワークによって割り当てられます。
OS	エンドポイントで使用されているOSを示します。
ユーザ	Endpoint Sensorエージェントが一致したオブジェクトを最初に記録したときにログインしていたユーザのユーザ名を示します。ユーザ名をクリックすると、ユーザの詳細が表示されます。
管理サーバ	感染エンドポイントを管理するサーバを示します。
最初に記録	Endpoint Sensorエージェントが一致したオブジェクトを最初に記録した日時を示します。
詳細	このアイコンをクリックすると、[一致の詳細] 画面が開きます。 [一致の詳細] 画面には、以下の詳細が表示されます。 [条件]: 診断で使用される条件 [最初に記録]: Endpoint Sensorエージェントが、一致したオブジェクトをログに最初に記録した日時 [CLI/レジストリ数]: コマンドラインまたはレジストリエントリで検出された一致の数値をクリックすると、詳細が表示されます。 [評価]: トレンドマイクロインテリジェンスによって割り当てられた評価評価が"不正"または"不審"のオブジェクトには、Threat Connectへのリンクが含まれています。 [影響を受けたエンドポイント]: 不正という評価である場合、同様の一致したオブジェクトが検出されたエンドポイントの数この数には、過去90日間に影響を受けたエンドポイントだけが含まれます。
アスタリスク ( ✱ )	「重要」としてタグ付けされたエンドポイントを示します。

さらなる処理が必要なエンドポイントを1つ以上選択します。

注:

事前診断に基づく調査の結果には、macOSエンドポイントが含まれる場合があります。macOSエンドポイントに利用できる処理がないため、これらのエンドポイントのチェックボックスは無効になっています。

処理	説明
Root Cause Analysisの生成	Root Cause Analysisを生成し、一致したオブジェクトの実行につながった一連のイベントを確認します。詳細については、診断からRoot Cause Analysisを開始するを参照してください。
現状調査を開始	現在のシステムの状態に対して同じ条件で新しい調査を実行します。 [現状調査] 画面が表示され、既存の条件を使用して1回限りの調査が新しく開始されます。 OpenIOCファイルを使用した診断の場合、[現状調査] では、現在のOpenIOCファイルと選択したエンドポイントの両方が条件として使用されます。詳細については、1回限りの調査を開始するを参照してください。
エンドポイントの隔離	選択したエンドポイントがネットワークから切断されます。注: 隔離したエンドポイントでセキュリティの脅威を解決すると、[ディレクトリ] > [ユーザ/エンドポイント] 画面の次の場所に、隔離したエンドポイントのネットワーク接続を復元するオプションが表示されます。 [エンドポイント] > [すべて]: 表内のエンドポイント名をクリックし、表示された画面で [タスク] > [復元] の順にクリックします。 [エンドポイント] > [フィルタ] > [ネットワーク接続] > [隔離済み]: 表内のエンドポイントの行を選択し、[タスク] > [ネットワーク接続の復元] の順にクリックします。

処理

説明

Root Cause Analysisの生成

Root Cause Analysisを生成し、一致したオブジェクトの実行につながった一連のイベントを確認します。

詳細については、診断からRoot Cause Analysisを開始するを参照してください。

現状調査を開始

現在のシステムの状態に対して同じ条件で新しい調査を実行します。

[現状調査] 画面が表示され、既存の条件を使用して1回限りの調査が新しく開始されます。

OpenIOCファイルを使用した診断の場合、[現状調査] では、現在のOpenIOCファイルと選択したエンドポイントの両方が条件として使用されます。

詳細については、1回限りの調査を開始するを参照してください。

エンドポイントの隔離

選択したエンドポイントがネットワークから切断されます。

注:

隔離したエンドポイントでセキュリティの脅威を解決すると、[ディレクトリ] > [ユーザ/エンドポイント] 画面の次の場所に、隔離したエンドポイントのネットワーク接続を復元するオプションが表示されます。

[エンドポイント] > [すべて]: 表内のエンドポイント名をクリックし、表示された画面で [タスク] > [復元] の順にクリックします。
[エンドポイント] > [フィルタ] > [ネットワーク接続] > [隔離済み]: 表内のエンドポイントの行を選択し、[タスク] > [ネットワーク接続の復元] の順にクリックします。

事前診断に基づく調査にOpenIOCファイルを使用する