初步調查會根據指定的條件評估歷史事件和根本原因鏈。結果可以根本原因分析映射圖(顯示任何可疑活動的執行流程)的形式來檢視。這有助於分析涉及目標式攻擊的企業範圍事件鏈。
初步調查使用下列物件類型來進行其調查:
-
DNS 記錄
-
IP 位址
-
檔案名稱
-
檔案路徑
-
SHA-1 雜湊值
-
MD5 雜湊值
-
使用者帳號
初步調查會查詢包含端點歷史事件的標準化資料庫。相較於傳統記錄檔,這種方法使用的磁碟空間較少,耗用的資源也不多。
檢視次數: