 |
注意如果要對目前的系統狀態執行調查,請使用「即時調查」。
如需詳細資訊,請參閱啟動一次性調查。
|
步驟
- 移至「」。
- 按一下「使用者定義」。
- 選取下列其中一個選項:
-
符合所有條件:尋找符合所有指定條件的物件
-
符合任何條件:尋找符合任一指定條件的物件
-
- 按一下「新條件」,然後選取條件類型並指定有效的資訊。如需詳細資訊,請參閱使用者定義的條件支援的格式。如果要管理條件,請執行下列作業:
-
按一下「重設」以清除所有指定的條件。
-
若要儲存條件供未來調查使用,請按一下
並指定條件名稱。
注意
歷史調查支援最多 10 個儲存的使用者定義的條件。 -
- (選用)若要載入現有的使用者定義的條件,請按一下「選取條件」。
- 按一下「是」。
注意
套用現有條件會覆寫目前指定的任何條件。 - 移至「已儲存的條件」標籤。
- 選取條件。如果要管理條件,請執行下列作業:
-
使用「上次使用」欄排序條件。
-
使用「刪除」圖示刪除已儲存的條件。
-
- 按一下「新增已儲存的條件」。
- 按一下「是」。
- (選用)若要載入 C&C 回呼事件,請按一下「選取條件」。
- 按一下「是」。
注意
套用現有條件會覆寫目前指定的任何條件。 - 移至「C&C 回呼事件」標籤。
- 選取條件。按一下「期間」以按指定的時間過濾 C&C 回呼事件。
- 按一下「載入 C&C 回呼事件」。
注意
「記錄查詢」畫面提供有關 C&C 回呼事件的其他詳細資料,以供您在選取前需要檢閱時使用。若要移至「記錄查詢」畫面,請瀏覽至「」,然後依「」進行過濾。
- 按一下「是」。
- 按一下「評估」。
- 在「結果」窗格中檢閱顯示的結果。
注意
-
留出一些時間供歷史調查執行。在中繼資料中發現相符物件,調查就會立即在結果表格尾端附加更多列。調查可能需要數分鐘才能完成。
-
在歷史調查期間提供的資料是 Security Agent 資料的子集,並且僅包含有關高風險檔案類型的資訊。如果評估未傳回任何結果,則您可以執行即時調查。
提供下列詳細資料:欄名稱說明端點包含相符物件的端點名稱按一下可檢視有關端點的更多詳細資料。狀態端點的目前連線狀態IP 位址包含相符物件的端點 IP 位址IP 位址是由網路指派作業系統端點所使用的作業系統使用者Security Agent 首次記錄相符物件時已登入的使用者之使用者名稱按一下使用者名稱可檢視有關使用者的更多詳細資料。管理伺服器管理受影響端點的伺服器注意
若要在調查完成後查看管理伺服器的評估結果,請按一下查看伺服器詳細資訊。首次記錄Security Agent 首次記錄相符物件時的日期和時間詳細資訊按一下此圖示可開啟「比對詳細資料」畫面。「比對詳細資料」畫面會顯示下列詳細資料:-
條件:評估中使用的條件
-
首次記錄:Security Agent 首次記錄相符物件時的日期和時間
-
CLI/登錄出現次數:在命令列或登錄項目中發現的相符項目數目按一下值可顯示更多詳細資料。
-
分級:趨勢科技資訊所指派的分級您可以在 Threat Connect 或 VirusTotal 中進一步檢查分級為「惡意」的物件。
-
受影響的端點:當分級為「惡意」時,代表在其中發現類似相符項目的端點數目此計數僅計入過去 90 天內受影響的端點。
星號 (*)表示某個端點已標記為「重要」 -
- 識別並選取需要進一步處理行動的一或多個端點。
注意
歷史調查結果可能包含 macOS 端點。由於 macOS 端點沒有可用的處理行動,因此這些端點的核取方塊均處於關閉狀態。處理行動說明產生根本原因分析產生根本原因分析,以檢閱導致相符物件執行的一系列事件。如需詳細資訊,請參閱從評估啟動根本原因分析。啟動即時調查使用相同條件對目前系統狀態執行新調查。
重要
僅適用於安裝在 Windows 平台上的 Security Agent。會出現「即時調查」畫面,並使用現有的條件啟動全新的一次性調查。如果使用使用者定義的條件進行評估,「即時調查」僅會使用選取的端點做為條件如需詳細資訊,請參閱啟動一次性調查。隔離端點中斷所選端點與網路的連線。重要
僅適用於安裝在 Windows 平台上的 Security Agent。在解決已隔離端點上的安全威脅後,「」畫面上的下列位置會提供選項,讓您恢復已隔離端點的網路連線:-
:按一下資料表中某個端點的名稱,然後在出現的畫面上按一下「」。
-
:在資料表中選取端點列,然後按一下「」。
-