- 移至「回應 > 初步調查」。
-
按一下「OpenIOC 檔案」標籤。
註:
在初步調查中使用 OpenIOC 檔案存在下列限制:
一次只能載入一個 OpenIOC 檔案。
OpenIOC 檔案中指定的任何運算子都會變更為 OR。
唯一支援的條件為 IS 。使用其他條件的項目會被忽略並會使用刪除線標示。
僅支援適用於所收集中繼資料的那些指標。使用不受支援之指標的項目會被忽略並使用刪除線標示。
如需詳細資訊,請參閱初步調查支援的 IOC 指標。
- 如果要上傳新的 OpenIOC 檔案並使用它來進行調查,請執行下列作業:
- 按一下「上傳 OpenIOC 檔案」。
- 選取有效的 OpenIOC 檔案。
- 按一下「開啟」。
- 如果要使用現有的 OpenIOC 檔案進行調查,請執行下列作業:
- 按一下「使用現有 OpenIOC 檔案」。
- 選取檔案。
- 按一下「套用」。
- 按一下下列其中一個項目:
評估過去 90 天內的資料:只對過去 90 天內記錄的資料執行評估。通常只要幾秒鐘就會產生結果。
評估所有資料:對記錄的所有資料執行評估。評估所有資料可能需要一些時間才能完成。
- 在「結果」窗格中檢閱顯示的結果。
註:
留出一些時間供初步調查執行。在中繼資料中發現相符物件,調查就會立即在結果表格尾端附加更多列。調查可能需要數分鐘才能完成。
將游標懸停在「端點:」標籤上會顯示快顯視窗,其中顯示評估的進度。
在初步調查期間提供的資料是 Security Agent 資料的子集,並且僅包含有關高風險檔案類型的資訊。如果評估未傳回任何結果,則您可以執行詳細調查。
提供下列詳細資料:
欄名稱
說明
端點
包含相符物件的端點名稱
按一下可檢視有關端點的更多詳細資料。
狀態
端點的目前連線狀態
IP 位址
包含相符物件的端點 IP 位址
IP 位址是由網路指派
作業系統
端點所使用的作業系統
使用者
Endpoint Sensor 用戶端首次記錄相符物件時已登入的使用者之使用者名稱
按一下使用者名稱可檢視有關使用者的更多詳細資料。
管理伺服器
管理受影響端點的伺服器
首次記錄
Endpoint Sensor 用戶端首次記錄相符物件時的日期和時間
詳細資訊
按一下此圖示可開啟「比對詳細資料」畫面。
「比對詳細資料」畫面會顯示下列詳細資料:
條件:評估中使用的條件
首次記錄:Endpoint Sensor 用戶端首次記錄相符物件當時的日期和時間
CLI/登錄出現次數:在命令列或登錄項目中發現的相符項目數目
按一下值可顯示更多詳細資料。
分級:趨勢科技資訊所指派的分級
分級為「惡意」或「可疑」的物件,會包含連至 Threat Connect 和 VirusTotal 的連結。
受影響的端點:當分級為「惡意」時,代表在其中發現類似相符項目的端點數目
此計數僅計入過去 90 天內受影響的端點。
星號 (✱)
表示某個端點已標記為「重要」
- 識別並選取需要進一步處理行動的一或多個端點。
註:
初步調查結果可能包含 macOS 端點。由於 macOS 端點沒有可用的處理行動,因此這些端點的核取方塊均處於關閉狀態。
處理行動
說明
產生根本原因分析
產生根本原因分析,以檢閱導致相符物件執行的一系列事件。
如需詳細資訊,請參閱從評估啟動根本原因分析。
啟動詳細調查
使用相同條件對目前系統狀態執行新調查。
會出現「詳細調查」畫面隨即,並使用現有的條件啟動全新的一次性調查。
如果使用 OpenIOC 檔案進行評估,「詳細調查」會同時使用目前的 OpenIOC 檔案及選取的端點做為條件
如需詳細資訊,請參閱啟動一次性調查。
隔離端點
中斷所選端點與網路的連線。
註:在解決已隔離端點上的安全威脅後,「目錄 > 使用者/端點」畫面上的下列位置會提供選項,讓您恢復已隔離端點的網路連線:
端點 > 全部:按一下資料表中某個端點的名稱,然後在出現的畫面上按一下「工作 > 恢復」。
端點 > 過濾器 > 網路連線 > 已隔離:在資料表中選取端點列,然後按一下「工作 > 恢復網路連線」。
檢視次數: