事前診断に基づく調査でOpenIOCファイルを使用する場合は、次の制限があります。
1度にロードできるOpenIOCファイルは1 つだけです。
OpenIOCファイルに指定されている演算子はすべてORに変更されます。
サポートされる条件はISのみです。他の条件を使用したエントリは無視され、取り消し線が付けられます。
サポート対象の痕跡は、収集されたメタデータに適用可能な痕跡のみです。サポート対象外の痕跡を使用したエントリは無視され、取り消し線が付けられます。
詳細については、事前診断に基づく調査でサポートされるIOCの痕跡を参照してください。
過去90日間のデータを診断: 過去90日間に記録されたデータだけを診断します。結果は、通常、数秒後に使用できるようになります。
すべてのデータを診断: 記録されたすべてのデータを診断します。すべてのデータを診断する場合、完了までに少し時間がかかることがあります。
事前診断に基づく調査が実行されるまで、しばらく待ちます。この調査では、メタデータに一致するオブジェクトが見つかるとすぐに結果の表に行が追加されます。調査が完了するまでに数分かかる場合があります。
[エンドポイント] ラベルにポインタを合わせると、診断の進行状況を示すポップアップが表示されます。
事前診断に基づく調査中に利用可能なデータは、セキュリティエージェントデータのサブセットであり、危険度の高いファイルの種類に関する情報のみが含まれています。診断で結果が返されなかった場合、現状調査を実行することをお勧めします。
次の詳細を確認できます。
列名 |
説明 |
---|---|
エンドポイント |
一致するオブジェクトを含むエンドポイントの名前を示します。 クリックすると、エンドポイントの詳細が表示されます。 |
ステータス |
エンドポイントの現在の接続ステータスを示します。 |
IPアドレス |
一致するオブジェクトを含むエンドポイントのIPアドレスを示します。 IPアドレスはネットワークによって割り当てられます。 |
OS |
エンドポイントで使用されているOSを示します。 |
ユーザ |
Endpoint Sensorエージェントが一致したオブジェクトを最初に記録したときにログインしていたユーザのユーザ名を示します。 ユーザ名をクリックすると、ユーザの詳細が表示されます。 |
管理サーバ |
感染エンドポイントを管理するサーバを示します。 |
最初に記録 |
Endpoint Sensorエージェントが一致したオブジェクトを最初に記録した日時を示します。 |
詳細 |
このアイコンをクリックすると、[一致の詳細] 画面が開きます。 [一致の詳細] 画面には、以下の詳細が表示されます。
|
アスタリスク ( ✱ ) |
「重要」としてタグ付けされたエンドポイントを示します。 |
事前診断に基づく調査の結果には、macOSエンドポイントが含まれる場合があります。macOSエンドポイントに利用できる処理がないため、これらのエンドポイントのチェックボックスは無効になっています。
処理 |
説明 |
---|---|
Root Cause Analysisの生成 |
Root Cause Analysisを生成し、一致したオブジェクトの実行につながった一連のイベントを確認します。 詳細については、診断からRoot Cause Analysisを開始するを参照してください。 |
現状調査を開始 |
現在のシステムの状態に対して同じ条件で新しい調査を実行します。 [現状調査] 画面が表示され、既存の条件を使用して1回限りの調査が新しく開始されます。 OpenIOCファイルを使用した診断の場合、[現状調査] では、現在のOpenIOCファイルと選択したエンドポイントの両方が条件として使用されます。 詳細については、1回限りの調査を開始するを参照してください。 |
エンドポイントの隔離 |
選択したエンドポイントがネットワークから切断されます。 注:
隔離したエンドポイントでセキュリティの脅威を解決すると、[ディレクトリ] > [ユーザ/エンドポイント] 画面の次の場所に、隔離したエンドポイントのネットワーク接続を復元するオプションが表示されます。
|