您可以匯入格式正確的 OpenIOC 檔案 (*.ioc),然後將可疑檔案 SHA-1、IP 位址、URL 及網域物件解壓縮到「使用者定義的可疑物件」清單,藉此保護您的網路,防範網路中尚未識別的物件。上傳檔案時,您可以指定受支援趨勢科技產品在偵測到可疑物件後要執行的中毒處理行動。上傳 OpenIOC 檔案後,您也可以選取上傳的檔案做為歷史調查或即時調查的評估條件。
如需有關手動將可疑物件直接新增至「使用者定義的可疑物件」清單的詳細資訊,請參閱將物件新增到使用者定義的可疑物件清單
重要
重要
Apex Central 僅支援 OpenIOC 1.0。
注意
注意
依預設,在完成 OpenIOC 檔案上傳時,Apex Central 會自動將可疑物件解壓縮到「使用者定義的可疑物件」清單。
或者,您可以選擇先上傳 OpenIOC 檔案,然後於檔案上傳完成後再手動解壓縮可疑物件。

步驟

  1. 移至「安全威脅資訊自訂情報」。
    會出現「自訂情報」畫面。
  2. 按一下「OpenIOC」標籤。
    會出現 OpenIOC 檔案清單。
  3. (選用)如果要過濾檔案清單中顯示的檔案,請使用搜尋方塊,以指定「檔案名稱」、「簡短說明」或「來源新增者」欄中所包含的完整或部分字串。
  4. 請點選「新增」。
    會出現「新增 OpenIOC 檔案」畫面。
  5. 選取要上傳的 OpenIOC 檔案 (*.ioc)。
    1. 按一下「選取檔案...」。
    2. 選取一或多個要上傳的檔案。
      注意
      注意
      • 每個檔案的檔案大小上限為 10 MB。
      • 同時上傳的檔案總數不能超過 200 個檔案。
      • 在「使用者定義的可疑物件」清單中,每個可疑物件類型的物件數目上限不能超過針對各類型規定的 10,000 個物件。
        如果達到可疑物件類型的物件數目上限,該可疑物件類型的解壓縮工作將不會成功。
    3. 請點選「開啟」
  6. (選用)按一下「進階設定」來設定下列設定:
    • 如果要上傳檔案而不會自動解壓縮可疑物件,請不勾選「將檔案 SHA-1、IP 位址、URL 和網域物件解壓縮到使用者定義的可疑物件清單」核取方塊。
      注意
      注意
      如果您在上傳檔案時關閉了自動解壓縮功能,則您仍可以在檔案上傳完成後手動解壓縮物件。
    • 指定支援的產品在偵測到物件後要執行的中毒處理行動。
      注意
      注意
      您也可以針對「使用者定義的可疑物件」清單上的可疑物件設定中毒處理行動。
      如需詳細資訊,請參閱可疑物件中毒處理行動
  7. 請點選「新增」。
    秘訣
    秘訣
    • 如果要追蹤檔案上傳狀態,請使用「使用者存取」記錄類型執行記錄查詢。
      如需詳細資訊,請參閱查詢記錄檔
    • 如果要追蹤可疑物件解壓縮狀態,請使用「指令追蹤」畫面。
      如需詳細資訊,請參閱指令追蹤
    Apex Central 會將所選取的 OpenIOC 檔案上傳至 OpenIOC 檔案清單。
    注意
    注意
    • 如果選取了預設設定,則 Apex Central 會自動將可疑物件解壓縮到「使用者定義的可疑物件」清單。
    • OpenIOC 檔案清單中的「已解壓縮物件」欄會針對以下情況顯示「無」:
      • 上傳 OpenIOC 檔案而不自動解壓縮可疑物件。
      • Apex Central 無法從 OpenIOC 檔案中解壓縮可疑物件。
  8. 如果要手動從上傳的 OpenIOC 檔案中解壓縮可疑物件,請執行下列作業:
    1. 選取所上傳檔案的「檔案名稱」旁的核取方塊。
    2. 按一下「解壓縮」。
      已解壓縮物件」欄會顯示從 OpenIOC 檔案解壓縮到「使用者定義的可疑物件」清單的可疑物件數目。
      • 如果要下載特定檔案的複本,請按一下「檔案名稱」欄中的連結。
      • 如果要追蹤檔案解壓縮狀態,請使用「指令追蹤」畫面。
        如需詳細資訊,請參閱指令追蹤
      • 如果要在已過濾的「使用者定義的可疑物件」清單檢視上檢視解壓縮後的可疑物件,請按一下「已解壓縮物件」欄中的計數。
      • 如果要刪除檔案,請選取至少一個檔案的「檔案名稱」旁的核取方塊,然後按一下「刪除」。
        注意
        注意
        • 刪除檔案並不會將解壓縮後的可疑物件從「使用者定義的可疑物件」清單中移除。
        • Apex Central 完成解壓縮檔案中的可疑物件後,您才能刪除檔案。
  9. 如果要使用上傳的 OpenIOC 檔案做為評估條件來啟動安全威脅調查,請執行下列作業:
    重要
    重要
    • 若要執行安全威脅調查,需要有效的 Endpoint Sensor 使用授權。請確保您的 Endpoint Sensor 使用授權有效,或聯絡您的服務供應商來取得啟動碼。
    • 在啟動您的 Endpoint Sensor 使用授權之後,請藉由在「策略管理」畫面上(「策略策略管理」)建立 Apex One 用戶端策略或 Apex One (Mac) 策略,來啟動 Endpoint Sensor 功能。
      如需詳細資訊,請參閱《Apex Central Widget 和策略管理手冊》。
    1. 選取所上傳檔案的「檔案名稱」旁的核取方塊。
    2. 執行下列其中一種類型的安全威脅調查:
      調查
      說明
      歷史調查
      歷史調查會使用伺服器中繼資料,來識別可能需要進一步分析的候選端點。
      將滑鼠游標暫留在「分析影響」按鈕上,然後按一下「歷史調查」。
      注意
      注意
      您也可以從「歷史調查」畫面(回應歷史調查)執行歷史調查。
      如需詳細資訊,請參閱使用使用者定義的條件進行歷史調查
      如需有關用於歷史調查之伺服器中繼資料的特定資訊,請參閱Endpoint Sensor 中繼資料
      一次性調查
      「一次性調查」是指隨需產生的即時調查,它會調查目前位於磁碟上的所有檔案和目前在記憶體中執行的所有程序。
      將滑鼠游標暫留在「分析影響」按鈕上,然後移至「即時調查一次性」。
      注意
      注意
      您也可以從「即時調查」畫面(「回應即時調查)的「一次性調查」標籤執行一次性調查。
      如需詳細資訊,請參閱一次性調查
      預約調查
      「預約調查」是指依指定時間間隔自動執行的即時調查。
      將滑鼠游標暫留在「分析影響」按鈕上,然後移至「即時調查預約」。
      注意
      注意
      您也可以從「即時調查」畫面(「回應即時調查)的「預約調查」標籤執行預約調查。
      如需詳細資訊,請參閱預約調查