- 移至「回應 > 歷史調查」。
- 按一下「使用者定義」。
- 選取下列其中一個選項:
符合所有條件:尋找符合所有指定條件的物件
符合任何條件:尋找符合任一指定條件的物件
- 按一下「新條件」,然後選取條件類型並指定有效的資訊。
如需詳細資訊,請參閱使用者定義的條件支援的格式。
如果要管理條件,請執行下列作業:
-
按一下「重設」以清除所有指定的條件。
-
若要儲存條件供未來調查使用,請按一下
並指定條件名稱。
註:歷史調查支援最多 10 個儲存的使用者定義的條件。
-
-
(選用)若要載入現有的使用者定義的條件,請按一下「選取條件」。
-
按一下「是」。
註:
套用現有條件會覆寫目前指定的任何條件。
- 移至「已儲存的條件」標籤。
-
選取條件。
如果要管理條件,請執行下列作業:
-
使用「上次使用」欄排序條件。
-
使用「刪除」圖示刪除已儲存的條件。
-
- 按一下「新增已儲存的條件」。
-
按一下「是」。
-
(選用)若要載入 C&C 回呼事件,請按一下「選取條件」。
-
按一下「是」。
註:
套用現有條件會覆寫目前指定的任何條件。
- 移至「C&C 回呼事件」標籤。
-
選取條件。
按一下「期間」以按指定的時間過濾 C&C 回呼事件。
-
按一下「載入 C&C 回呼事件」。
註:
「記錄查詢」畫面提供有關 C&C 回呼事件的其他詳細資料,以供您在選取前需要檢閱時使用。若要移至「記錄查詢」畫面,請瀏覽至「偵測 > 記錄檔 > 記錄查詢」,然後依「網路事件 > C&C 回呼」進行過濾。
-
按一下「是」。
- 按一下「評估」。
- 在「結果」窗格中檢閱顯示的結果。
註:
留出一些時間供歷史調查執行。在中繼資料中發現相符物件,調查就會立即在結果表格尾端附加更多列。調查可能需要數分鐘才能完成。
在歷史調查期間提供的資料是 Security Agent 資料的子集,並且僅包含有關高風險檔案類型的資訊。如果評估未傳回任何結果,則您可以執行即時調查。
提供下列詳細資料:
欄名稱
說明
端點
包含相符物件的端點名稱
按一下可檢視有關端點的更多詳細資料。
狀態
端點的目前連線狀態
IP 位址
包含相符物件的端點 IP 位址
IP 位址是由網路指派
作業系統
端點所使用的作業系統
使用者
Security Agent 首次記錄相符物件時已登入的使用者之使用者名稱
按一下使用者名稱可檢視有關使用者的更多詳細資料。
管理伺服器
管理受影響端點的伺服器
首次發現
Security Agent 首次記錄相符物件時的日期和時間
詳細資訊
按一下此圖示可開啟「比對詳細資料」畫面。
「比對詳細資料」畫面會顯示下列詳細資料:
條件:評估中使用的條件
首次發現:Security Agent 首次記錄相符物件時的日期和時間
CLI/登錄出現次數:在命令列或登錄項目中發現的相符項目數目
按一下值可顯示更多詳細資料。
分級:趨勢科技資訊所指派的分級
您可以在 Threat Connect 或 VirusTotal 中進一步檢查分級為「惡意」的物件。
受影響的端點:當分級為「惡意」時,代表在其中發現類似相符項目的端點數目
此計數僅計入過去 90 天內受影響的端點。
星號 (*)
表示某個端點已標記為「重要」
- 識別並選取需要進一步處理行動的一或多個端點。
註:
歷史調查結果可能包含 macOS 端點。由於 macOS 端點沒有可用的處理行動,因此這些端點的核取方塊均處於關閉狀態。
處理行動
說明
產生根本原因分析
產生根本原因分析,以檢閱導致相符物件執行的一系列事件。
如需詳細資訊,請參閱從評估啟動根本原因分析。
啟動即時調查
使用相同條件對目前系統狀態執行新調查。
重要:僅適用於安裝在 Windows 平台上的 Security Agent。
會出現「即時調查」畫面,並使用現有的條件啟動全新的一次性調查。
如果使用使用者定義的條件進行評估,「即時調查」僅會使用選取的端點做為條件
如需詳細資訊,請參閱啟動一次性調查。
隔離端點
中斷所選端點與網路的連線。
重要:僅適用於安裝在 Windows 平台上的 Security Agent。
在解決已隔離端點上的安全威脅後,「目錄 > 使用者/端點」畫面上的下列位置會提供選項,讓您恢復已隔離端點的網路連線:
端點 > 全部:按一下資料表中某個端點的名稱,然後在出現的畫面上按一下「工作 > 恢復」。
端點 > 過濾器 > 網路連線 > 已隔離:在資料表中選取端點列,然後按一下「工作 > 恢復網路連線」。
檢視次數:
- 按一下「新條件」,然後選取條件類型並指定有效的資訊。
如需詳細資訊,請參閱使用者定義的條件支援的格式。
如果要管理條件,請執行下列作業:
-
按一下「重設」以清除所有指定的條件。
-
若要儲存條件供未來調查使用,請按一下
並指定條件名稱。
註:歷史調查支援最多 10 個儲存的使用者定義的條件。
-