Exibições:

Procedure

  1. Acesse DETECÇÃO E RESPOSTAInvestigação de Ameaça.
  2. Clique em Avançado.
  3. Selecione Arquivo OpenIOC.
    Note
    Note
    Usar arquivos OpenIOC nas Investigações Históricas tem as limitações a seguir:
    • Apenas um arquivo OpenIOC pode ser carregado por vez.
    • A única condição com suporte é IS. As entradas que usam outras condições são ignoradas e marcadas com tachado.
    • Os únicos indicadores com suporte são os indicadores aplicáveis aos metadados coletados. As entradas que usam indicadores sem suporte são ignoradas e marcadas com tachado.
      Para obter detalhes, consulte Indicadores IOC com suporte.
  4. Especifique o período de dados da investigação.
  5. Para carregar e investigar usando um novo arquivo OpenIOC:
    1. Clique em Carregar Arquivo OpenIOC.
    2. Selecione um arquivo OpenIOC válido.
    3. Clique em Abrir.
  6. Para investigar usando um arquivo OpenIOC existente:
    1. Clique em Usar o Arquivo OpenIOC Existente.
    2. Selecione um arquivo.
    3. Clique em Aplicar.
  7. Clique em Avaliar impacto.
    A seção Endpoints Correspondentes é mostrada. Reserve algum tempo para a investigação ser executada.
  8. Verifique os resultados na seção Endpoints Correspondentes.
    Os seguintes detalhes estão disponíveis:
    Nome da Coluna
    Descrição
    Endpoint
    Nome do endpoint que contém o objeto correspondente
    Endereço IPv4
    Endereço IP do endpoint que contém o objeto correspondente
    O endereço IP é atribuído pela rede
    Sistema operacional
    Sistema operacional usado pelo endpoint
    Usuário
    Nome do usuário ativo quando o Security Agent registrou pela primeira vez o objeto correspondente
    Clique no nome do usuário para exibir mais detalhes sobre o usuário.
    Visto pela Primeira Vez
    Data e hora em que o Security Agent registrou pela primeira vez o objeto correspondente
    Detalhes
    Clique no ícone para abrir a tela Detalhes da Correspondência.
    A tela Detalhes da Correspondência exibe os seguintes detalhes:
    • Critérios: critérios usados na avaliação
    • Registrado pela Primeira Vez: data e hora em que o Security Agent registrou pela primeira vez o objeto correspondente
    • Ocorrências na CLI/Registro: número de correspondências encontradas na linha de comando ou nas entradas do registro
      Clique no valor para mostrar mais detalhes.
    • Endpoints Afetados: se a classificação for mal-intencionada, o número de endpoints em que uma correspondência semelhante foi encontrada
      A contagem inclui apenas endpoints afetados nos últimos 90 dias.
  9. Para revisar a sequência de eventos que levam à execução do objeto correspondente, selecione os endpoints que requerem análise adicional e clique em Gerar Análise de Causa Raiz.
    A tela Gerar Análise de Causa Raiz é exibida.
  10. Especifique um nome para a análise de causa raiz e clique em Gerar.
  11. Clique na guia Análise de Causa Raiz para verificar os resultados. Reserve algum tempo para a tarefa ser concluída.
Related information