「關聯分析」標籤會顯示根本原因分析,也會醒目提示可能有利於調查的其他資訊。
|
資訊 |
說明 |
|---|---|
|
目標端點 |
顯示根本原因鏈發生所在端點的詳細資料 按一下端點名稱和使用者名稱以檢視詳細資料。 按一下「隔離端點」以中斷端點與網路的連線。隔離期間,用戶端只能與伺服器通訊。 註:
在解決已隔離端點上的安全威脅後,「」畫面上的下列位置會提供選項,讓您恢復已隔離端點的網路連線:
|
|
首次發現的物件 |
最可能建立相符物件的物件 這通常是目標式攻擊的進入點。 將滑鼠游標暫留在物件上,然後按一下 |
|
相符物件 |
顯示物件或與調查條件相符的物件清單 將滑鼠游標暫留在物件上,然後按一下 |
|
值得注意的物件 |
根據現有的趨勢科技資訊,醒目提示鏈中可能有惡意的物件 此值會計數鏈中獨特的值得注意的物件數目。 按一下以檢視值得注意的物件清單。 將滑鼠游標暫留在物件上,然後按一下 |
|
根本原因分析區域 |
顯示根本原因分析映射圖 |
根本原因分析區域會顯示某個事件中涉及物件的視覺分析。
如果根本原因鏈中的節點數目超過簡報限制,則只會顯示主要根本原因鏈。如果要避免此問題發生,請縮小調查條件範圍。
如果要四處移動,請往您偏好的方向拖曳區域。此區域也提供下列瀏覽選項。
|
圖示 |
說明 |
|---|---|
|
|
根本原因分析可包含一或多個相符的根本原因鏈。 按一下下拉式清單可檢視所選取端點的其他根本原因鏈。 |
|
|
按一下可開始使用初步調查清單中的物件進行初步調查 如果初步調查清單中沒有任何物件,則此功能無法使用。 如果要啟動此功能,請在初步調查清單中新增至少一個相符物件或值得注意的物件。 |
|
|
按一下可進入全螢幕模式。 再按一下可結束全螢幕模式。 |
|
|
按一下可放大或縮小。 |
|
|
將滑鼠游標暫留可檢視出現在根本原因鏈中的符號說明 |
將滑鼠游標暫留在根本原因分析區域中的物件上,可檢視其他詳細資料。按一下物件可顯示含有下列標籤的側邊面板:
-
「資料檔」標籤會顯示適用於所選取物件類型的詳細資料。
有些物件可能只會顯示一組有限的詳細資料,或在執行時可能沒有任何詳細資料可用。
分級為「惡意」或「可疑」的物件,會包含連至 Threat Connect 和 VirusTotal 的連結。
此標籤也會顯示「相符物件」和「值得注意的物件」的其他選項:
-
終止物件:只終止目標端點目前狀態下的所有執行中的執行個體。此處理行動僅適用於未分級、惡意和可疑的「程序」類型物件。如果要確認指令是否成功,請移至「」。
-
新增至可疑物件清單:只終止目標端點目前狀態下的所有執行中的執行個體,然後將物件新增至「使用者定義的可疑物件」清單。可新增至清單的物件類型如下:
-
檔案
-
處理程序
-
IP 位址
-
DNS
註:如果已啟動 Application Control,則符合已新增至「使用者定義的可疑物件」清單之物件的雜湊值的程序都不允在所有端點上執行。Endpoint Sensor 也會先終止「程序」類型物件後再將它們新增到清單,且 Application Control 會禁止其再次啟動。
-
-
新增至初步調查清單:新增物件做為新初步調查的條件。如果要開始調查,請按一下
。
-
-
「相關物件」標籤會顯示相符物件的所有相依項目。
這些物件是執行相符物件所需要的。此標籤會顯示下列詳細資料:
|
內容 |
說明 |
|---|---|
|
處理行動 |
此物件完成的處理行動 |
|
已記錄 |
記錄處理行動的日期和時間 |
|
分級 |
根據趨勢科技資訊指派給此物件的分級 |
|
受影響的端點 |
受影響的端點(如果有) |
|
目標路徑 |
物件的目標目的地 |
您可以使用下列選項管理「相關物件」標籤:
-
此標籤提供可根據指定處理行動過濾物件的下拉式清單。按一下下拉式清單可檢視所有可用的處理行動。
-
按一下「顯示詳細資料」可檢視有關物件的更多詳細資料。
如果要匯出資料,請按一下 
並執行下列其中一項:
-
選取「關聯分析」可將所有根本原因鏈匯出為 .png 檔案。
-
選取「物件詳細資料」可將所有資料匯出為 CSV 檔案。