Exibições:

Procedure

  1. Acesse DETECÇÃO E RESPOSTAInvestigação de Ameaça.
  2. Clique em Avançado.
  3. Selecione Definido pelo usuário.
  4. Especifique o período de dados da investigação.
  5. Selecione uma das seguintes opções:
    • Correspondência com QUALQUER critério: localiza objetos correspondentes a qualquer um dos critérios especificados
    • Correspondência com TODOS os critérios: localiza objetos correspondentes a todos os critérios especificados
  6. Clique em Novo critério, selecione um tipo de critério e especifique informações válidas.
    Para obter detalhes, consulte Formatos com suporte para critérios personalizados.
    Para salvar seus critérios para investigações futuras, clique em save.jpg.
  7. (Opcional) Para carregar critérios personalizados, clique em Critérios salvos.
    1. Selecione os critérios a serem carregados.
    2. Clique em Aplicar critérios.
  8. Clique em Avaliar impacto.
    A seção Endpoints Correspondentes é mostrada. Reserve algum tempo para a investigação ser executada.
  9. Verifique os resultados na seção Endpoints Correspondentes.
    Os seguintes detalhes estão disponíveis:
    Nome da Coluna
    Descrição
    Endpoint
    Nome do endpoint que contém o objeto correspondente
    Endereço IPv4
    Endereço IP do endpoint que contém o objeto correspondente
    O endereço IP é atribuído pela rede
    Sistema operacional
    Sistema operacional usado pelo endpoint
    Usuário
    Nome do usuário ativo quando o Security Agent registrou pela primeira vez o objeto correspondente
    Clique no nome do usuário para exibir mais detalhes sobre o usuário.
    Visto pela Primeira Vez
    Data e hora em que o Security Agent registrou pela primeira vez o objeto correspondente
    Detalhes
    Clique no ícone para abrir a tela Detalhes da Correspondência.
    A tela Detalhes da Correspondência exibe os seguintes detalhes:
    • Critérios: critérios usados na avaliação
    • Registrado pela Primeira Vez: data e hora em que o Security Agent registrou pela primeira vez o objeto correspondente
    • Ocorrências na CLI/Registro: número de correspondências encontradas na linha de comando ou nas entradas do registro
      Clique no valor para mostrar mais detalhes.
    • Endpoints Afetados: se a classificação for mal-intencionada, o número de endpoints em que uma correspondência semelhante foi encontrada
      A contagem inclui apenas endpoints afetados nos últimos 90 dias.
  10. Para revisar a sequência de eventos que levam à execução do objeto correspondente, selecione os endpoints que requerem análise adicional e clique em Gerar Análise de Causa Raiz.
    A tela Gerar Análise de Causa Raiz é exibida.
  11. Especifique um nome para a análise de causa raiz e clique em Gerar.
  12. Clique na guia Análise de Causa Raiz para verificar os resultados. Reserve algum tempo para a tarefa ser concluída.
Related information