步驟

1. 移至「回應 → 歷史調查」。
2. 按一下「OpenIOC 檔案」標籤。

   注意 在歷史調查中使用 OpenIOC 檔案存在下列限制： 一次只能載入一個 OpenIOC 檔案。 OpenIOC 檔案中指定的任何運算子都會變更為 OR。 唯一支援的條件為 IS 。使用其他條件的項目會被忽略並會使用刪除線標示。 僅支援適用於所收集中繼資料的那些指標。使用不受支援之指標的項目會被忽略並使用刪除線標示。 如需詳細資訊，請參閱歷史調查支援的 IOC 指標。

3. 如果要上傳新的 OpenIOC 檔案並使用它來進行調查，請執行下列作業：
   1. 按一下「上傳 OpenIOC 檔案」。
   2. 選取有效的 OpenIOC 檔案。
   3. 按一下「開啟」。
4. 如果要使用現有的 OpenIOC 檔案進行調查，請執行下列作業：
   1. 按一下「使用現有 OpenIOC 檔案」。
   2. 選取檔案。
   3. 按一下「套用」。
5. 按一下「評估」。
6. 在「結果」窗格中檢閱顯示的結果。

   注意 留出一些時間供歷史調查執行。在中繼資料中發現相符物件，調查就會立即在結果表格尾端附加更多列。調查可能需要數分鐘才能完成。 將游標懸停在「端點」標籤上會顯示快顯視窗，其中顯示評估的進度。 在歷史調查期間提供的資料是 Security Agent 資料的子集，並且僅包含有關高風險檔案類型的資訊。如果評估未傳回任何結果，則您可以執行即時調查。

   提供下列詳細資料：

   欄名稱	說明
   端點	包含相符物件的端點名稱 按一下可檢視有關端點的更多詳細資料。
   狀態	端點的目前連線狀態
   IP 位址	包含相符物件的端點 IP 位址 IP 位址是由網路指派
   作業系統	端點所使用的作業系統
   使用者	Security Agent 首次記錄相符物件時已登入的使用者之使用者名稱 按一下使用者名稱可檢視有關使用者的更多詳細資料。
   管理伺服器	管理受影響端點的伺服器
   首次發現	Security Agent 首次記錄相符物件時的日期和時間
   詳細資訊	按一下此圖示可開啟「比對詳細資料」畫面。 「比對詳細資料」畫面會顯示下列詳細資料： 條件：評估中使用的條件 首次發現：Security Agent 首次記錄相符物件時的日期和時間 CLI/登錄出現次數：在命令列或登錄項目中發現的相符項目數目 按一下值可顯示更多詳細資料。 分級：趨勢科技資訊所指派的分級 您可以在 Threat Connect 或 VirusTotal 中進一步檢查分級為「惡意」的物件。 受影響的端點：當分級為「惡意」時，代表在其中發現類似相符項目的端點數目 此計數僅計入過去 90 天內受影響的端點。
   星號 (*)	表示某個端點已標記為「重要」

7. 識別並選取需要進一步處理行動的一或多個端點。

   注意 歷史調查結果可能包含 macOS 端點。由於 macOS 端點沒有可用的處理行動，因此這些端點的核取方塊均處於關閉狀態。

   處理行動	說明
   產生根本原因分析	產生根本原因分析，以檢閱導致相符物件執行的一系列事件。 如需詳細資訊，請參閱從評估啟動根本原因分析。
   啟動即時調查	使用相同條件對目前系統狀態執行新調查。 會出現「即時調查」畫面，並使用現有的條件啟動全新的一次性調查。 如果使用 OpenIOC 檔案進行評估，「即時調查」會同時使用目前的 OpenIOC 檔案及選取的端點做為條件 如需詳細資訊，請參閱啟動一次性調查。
   隔離端點	中斷所選端點與網路的連線。 注意 在解決已隔離端點上的安全威脅後，「目錄 → 使用者/端點」畫面上的下列位置會提供選項，讓您恢復已隔離端點的網路連線： 端點 → 全部：按一下資料表中某個端點的名稱，然後在出現的畫面上按一下「工作 → 恢復」。 端點 → 過濾器 → 網路連線 → 已隔離：在資料表中選取端點列，然後按一下「工作 → 恢復網路連線」。