檢視次數:
即時調查會對目前的系統狀態執行調查。即時調查可設定為在特定期間執行,也支援透過使用 OpenIOC 和 YARA 規則來擴大條件組。
重要
重要
僅適用於安裝在 Windows 平台上的 Security Agent
即時調查支援下列條件:
  • OpenIOC 規則:使用 OpenIOC 規則掃瞄目前在磁碟上的所有檔案。
    注意
    注意
    選取此項目後,Endpoint Sensor 會顯示 OpenIOC 檔案的預覽。檢閱預覽可確認 OpenIOC 檔案是否包含支援的指標與條件。不受支援的組合採用刪除線這種格式,並在調查過程中被忽略。
    如需詳細資訊,請參閱即時調查支援的 IOC 指標
  • YARA 規則:使用 YARA 規則掃瞄目前在記憶體中執行的所有程序。
    注意
    注意
    根本原因分析結果僅適用於 YARA 規則。
    由於即時調查是針對目前的系統狀態執行的,而在此期間有些檔案和登錄項目可能已被鎖定或正在使用中。因此根本原因分析結果不適用於使用 OpenIOC 規則或登錄搜尋的調查。
  • 搜尋登錄:指定要對目標端點進行比對的登錄機碼、名稱和資料。
    注意
    注意
    僅會對下列根機碼下的登錄值執行調查:
    • HKEY_CURRENT_USER
    • HKEY_CLASSES_ROOT
    • HKEY_LOCAL_MACHINE
    • HKEY_USERS
管理員可以指定要執行的即時調查類型:
  • 一次性調查僅會執行一次。調查一經建立就會立即執行。
    如需詳細資訊,請參閱啟動一次性調查
  • 您可以將預約調查設定為按照特定時間間隔自動執行。
    如需詳細資訊,請參閱啟動預約調查
即時調查需要一些時間才能完成。
相關資訊