詳細調查會對目前的系統狀態執行調查。詳細調查可設定為定期執行,也支援透過使用 OpenIOC 和 YARA 規則來擴大條件組。
詳細調查支援下列條件:
-
OpenIOC 規則:使用 OpenIOC 規則掃瞄目前在磁碟上的所有檔案。
註:選取此項目後,Endpoint Sensor 會顯示 OpenIOC 檔案的預覽。檢閱預覽可確認 OpenIOC 檔案是否包含支援的指標與條件。不受支援的組合採用刪除線這種格式,並在調查過程中被忽略。
如需詳細資訊,請參閱即時調查支援的 IOC 指標。
-
YARA 規則:使用 YARA 規則掃瞄目前在記憶體中執行的所有程序。
註:根本原因分析結果僅適用於 YARA 規則。
由於詳細調查是針對目前的系統狀態執行的,而在此期間有些檔案和登錄項目可能已被鎖定或正在使用中。因此根本原因分析結果不適用於使用 OpenIOC 規則或登錄搜尋的調查。如果要使用 OpenIOC 規則或登錄資料來產生根本原因分析,請使用初步調查。
如需詳細資訊,請參閱初步調查。
-
搜尋登錄:指定要對目標端點進行比對的登錄機碼、名稱和資料。
註:僅會對下列根機碼下的登錄值執行調查:
-
HKEY_CURRENT_USER
-
HKEY_CLASSES_ROOT
-
HKEY_LOCAL_MACHINE
-
HKEY_USERS
-
管理員可以指定要執行的詳細調查類型:
詳細調查需要一些時間才能完成。