根本原因分析是一項調查工具,可顯示導致相符物件執行的一系列事件。
如果評估傳回相符項目,則管理員可產生根本原因分析來執行下列作業:
-
列出所有與指定條件相關的物件
-
識別是否有任何相關物件值得注意
-
檢閱導致相符物件執行的一系列事件。
產生根本原因分析可能需要一些時間才能完成。
步驟
- 執行歷史調查。在「結果」窗格中檢閱顯示的結果。如需詳細資訊,請參閱使用使用者定義的條件進行歷史調查。
- 識別並選取一或多個端點,然後按一下「產生根本原因分析」。
- 指定新的「根本原因分析」工作的名稱。
- 檢閱顯示的條件。
-
若要使用使用者定義的條件來進行評估,請使用
AND或OR運算子結合多個條件來產生「根本原因分析」。 -
若要使用 OpenIOC 檔案來進行評估,請使用目前的 OpenIOC 檔案中的指標做為條件來產生「根本原因分析」。
-
- 檢閱目標端點。
注意
如果要從清單中移除端點,請按一下刪除圖示。 - 指定期間。依預設,系統會對所有記錄的日期執行分析。
- 按一下「產生」。
- 移至「根本原因分析結果」標籤,可監控分析的進度。產生根本原因分析可能需要一些時間才能完成。如需詳細資訊,請參閱根本原因分析結果。
- 在工作完成後,按一下「工作」名稱。
注意
如果 Endpoint Sensor 因為下列原因而無法產生根本原因分析,則工作名稱不會顯示為連結:-
目標端點的資料不足。請確認資料未被清除。如果用戶端資料庫達到資料庫大小上限,Endpoint Sensor 就會清除最舊的記錄檔,以釋放空間給新的事件項目。如果要避免發生此問題,請指定較大的用戶端資料庫大小。
-
調查找不到符合 OpenIOC 檔案中指定之所有條件的物件。評估會忽略 OpenIOC 檔案中的所有條件,以傳回初始結果。不過,「根本原因分析」工作會新增回一些條件做為調查的額外條件。因此,「根本原因分析」工作可能無法產生同時符合 OpenIOC 條件及其條件的結果。
-
- 檢閱結果。