- 移至「回應 > 歷史調查」。
-
按一下「OpenIOC 檔案」標籤。
註:
在歷史調查中使用 OpenIOC 檔案存在下列限制:
一次只能載入一個 OpenIOC 檔案。
OpenIOC 檔案中指定的任何運算子都會變更為 OR。
唯一支援的條件為 IS 。使用其他條件的項目會被忽略並會使用刪除線標示。
僅支援適用於所收集中繼資料的那些指標。使用不受支援之指標的項目會被忽略並使用刪除線標示。
如需詳細資訊,請參閱歷史調查支援的 IOC 指標。
- 如果要上傳新的 OpenIOC 檔案並使用它來進行調查,請執行下列作業:
- 按一下「上傳 OpenIOC 檔案」。
- 選取有效的 OpenIOC 檔案。
- 按一下「開啟」。
- 如果要使用現有的 OpenIOC 檔案進行調查,請執行下列作業:
- 按一下「使用現有 OpenIOC 檔案」。
- 選取檔案。
- 按一下「套用」。
- 按一下「評估」。
- 在「結果」窗格中檢閱顯示的結果。
註:
留出一些時間供歷史調查執行。在中繼資料中發現相符物件,調查就會立即在結果表格尾端附加更多列。調查可能需要數分鐘才能完成。
將游標懸停在「端點」標籤上會顯示快顯視窗,其中顯示評估的進度。
在歷史調查期間提供的資料是 Security Agent 資料的子集,並且僅包含有關高風險檔案類型的資訊。如果評估未傳回任何結果,則您可以執行即時調查。
提供下列詳細資料:
欄名稱
說明
端點
包含相符物件的端點名稱
按一下可檢視有關端點的更多詳細資料。
狀態
端點的目前連線狀態
IP 位址
包含相符物件的端點 IP 位址
IP 位址是由網路指派
作業系統
端點所使用的作業系統
使用者
Security Agent 首次記錄相符物件時已登入的使用者之使用者名稱
按一下使用者名稱可檢視有關使用者的更多詳細資料。
管理伺服器
管理受影響端點的伺服器
首次發現
Security Agent 首次記錄相符物件時的日期和時間
詳細資訊
按一下此圖示可開啟「比對詳細資料」畫面。
「比對詳細資料」畫面會顯示下列詳細資料:
條件:評估中使用的條件
首次發現:Security Agent 首次記錄相符物件時的日期和時間
CLI/登錄出現次數:在命令列或登錄項目中發現的相符項目數目
按一下值可顯示更多詳細資料。
分級:趨勢科技資訊所指派的分級
您可以在 Threat Connect 或 VirusTotal 中進一步檢查分級為「惡意」的物件。
受影響的端點:當分級為「惡意」時,代表在其中發現類似相符項目的端點數目
此計數僅計入過去 90 天內受影響的端點。
星號 (*)
表示某個端點已標記為「重要」
- 識別並選取需要進一步處理行動的一或多個端點。
註:
歷史調查結果可能包含 macOS 端點。由於 macOS 端點沒有可用的處理行動,因此這些端點的核取方塊均處於關閉狀態。
處理行動
說明
產生根本原因分析
產生根本原因分析,以檢閱導致相符物件執行的一系列事件。
如需詳細資訊,請參閱從評估啟動根本原因分析。
啟動即時調查
使用相同條件對目前系統狀態執行新調查。
會出現「即時調查」畫面,並使用現有的條件啟動全新的一次性調查。
如果使用 OpenIOC 檔案進行評估,「即時調查」會同時使用目前的 OpenIOC 檔案及選取的端點做為條件
如需詳細資訊,請參閱啟動一次性調查。
隔離端點
中斷所選端點與網路的連線。
註:在解決已隔離端點上的安全威脅後,「目錄 > 使用者/端點」畫面上的下列位置會提供選項,讓您恢復已隔離端點的網路連線:
端點 > 全部:按一下資料表中某個端點的名稱,然後在出現的畫面上按一下「工作 > 恢復」。
端點 > 過濾器 > 網路連線 > 已隔離:在資料表中選取端點列,然後按一下「工作 > 恢復網路連線」。
檢視次數: