根本原因分析是一項調查工具,可顯示導致相符物件執行的一系列事件。
如果評估傳回相符項目,則管理員可產生根本原因分析來執行下列作業:
列出所有與指定條件相關的物件
識別是否有任何相關物件值得注意
檢閱導致相符物件執行的一系列事件。
產生根本原因分析可能需要一些時間才能完成。
-
執行歷史調查。
在「結果」窗格中檢閱顯示的結果。
如需詳細資訊,請參閱使用使用者定義的條件進行歷史調查。
- 識別並選取一或多個端點,然後按一下「產生根本原因分析」。
- 指定新的「根本原因分析」工作的名稱。
-
檢閱顯示的條件。
-
若要使用使用者定義的條件來進行評估,請使用 AND 或 OR 運算子結合多個條件來產生「根本原因分析」。
-
若要使用 OpenIOC 檔案來進行評估,請使用目前的 OpenIOC 檔案中的指標做為條件來產生「根本原因分析」。
-
-
檢閱目標端點。
註:
如果要從清單中移除端點,請按一下刪除圖示。
-
指定期間。
依預設,系統會對所有記錄的日期執行分析。
- 按一下「產生」。
-
移至「根本原因分析結果」標籤,可監控分析的進度。
產生根本原因分析可能需要一些時間才能完成。
如需詳細資訊,請參閱根本原因分析結果。
-
在工作完成後,按一下「工作」名稱。
註:
如果 Endpoint Sensor 因為下列原因而無法產生根本原因分析,則工作名稱不會顯示為連結:
目標端點的資料不足。
請確認資料未被清除。如果用戶端資料庫達到資料庫大小上限,Endpoint Sensor 就會清除最舊的記錄檔,以釋放空間給新的事件項目。如果要避免發生此問題,請指定較大的用戶端資料庫大小。
調查找不到符合 OpenIOC 檔案中指定之所有條件的物件。
評估會忽略 OpenIOC 檔案中的所有條件,以傳回初始結果。不過,「根本原因分析」工作會新增回一些條件做為調查的額外條件。因此,「根本原因分析」工作可能無法產生同時符合 OpenIOC 條件及其條件的結果。
- 檢閱結果。
上層主題: 歷史調查