檢視次數:

在指定的端點上運行自訂 YARA 規則,以支援安全威脅調查和事件回應。

重要
重要
此任務由以下服務支援:
  • Trend Vision One
    • Windows 代理程式
    • Linux 代理程式
Forensics應用程式中建立工作區並將端點新增到工作區後,您可以從可能受損的端點收集詳細證據,以便對發生在您網路上的重大事件進行內部調查,這些事件可能需要進一步關注。

步驟

  1. Trend Vision One 主控台中,前往 XDR 安全威脅調查Forensics
  2. 點選具有您想要分類的端點的工作區名稱。
    注意
    注意
    此任務會自動將所有收集到的證據添加到工作區。
  3. 從列表中選擇一個或多個端點。所選端點必須全部使用相同的作業系統。
  4. 點選Run YARA Rules
    注意
    注意
    您也可以從上下文選單中的Trend Vision One搜尋應用程式執行此回應任務。
    Run YARA Rules Task 視窗出現。
  5. 配置任務。
    1. 使用單選按鈕來選擇現有的 YARA 規則或上傳新規則。
      • 選擇Select rules:點選Select YARA rules,選擇現有規則,然後點選繼續
        要將新的 YARA 規則新增到選擇清單,請前往 YARA 規則 中的 Response Scripts 標籤。點選 Add YARA rules 以上傳檔案並驗證規則語法。
      • 選擇Upload rules:點選Upload file並選擇一個 YARA 或 TXT 格式且小於 1 MB 的檔案。
        秘訣
        秘訣
        使用 Companion 透過點擊 Generate YARA Rules (companion_icon=ebfb1301-169d-4687-b329-7c6b4e235192.png) 來生成 YARA 規則。
    2. 選擇ProcessFile作為目標類型,並指定相關設定:
      • 對於Process目標,請指定Process name
      • 對於File目標,指定File location,選擇File size,並選擇Scan setting
      重要
      重要
      如果您未指定進程名稱,Forensics 會掃描所有進程。掃描所有進程可能需要幾分鐘才能完成。
      選擇Scan all files and subfolders作為您的Scan setting可能會導致性能問題。
    3. 通過點擊Validate YARA rules來驗證您的 YARA 規則。
    4. 為回應或事件指定Description
    5. 點選Create
    6. Multi-factor authentication (MFA) required視窗中,貼上驗證碼並點選Submit
      如果驗證成功,任務將顯示在Response ManagementTask List
  6. 監控任務狀態。
    1. 在具有您正在檢查的端點的工作區中,點選View Query Results
    2. 選擇YARA
    3. 使用Task name選單找到任務。
    4. 查看任務狀態。
      • In progress (in_progress=GUID-A55897DB-3DEA-4F5C-B7F9-70B3D7FB9EDE=1=zh-tw=Low.jpg): Trend Vision One 已發送命令,正在等待回應。
      • Queued (queued=GUID-65C0DF81-E50D-4D51-9602-2E9B7A0E5F14=1=zh-tw=Low.jpg): 管理伺服器將命令排隊,因為代理程式離線。
      • Successful (successful=GUID-1E31AD86-DE2E-48B5-85F7-7C78A3E8BB11=1=zh-tw=Low.jpg): 命令已成功執行。
      • Unsuccessful (error=5cc21722-7ceb-480c-b9c2-a47d420cf1cc.jpg): 嘗試將命令發送到管理伺服器時發生錯誤或超時,代理程式已離線超過 24 小時,或命令執行超時。
    5. 如果任務成功,點選download_icon=5c7476c2-cf15-4572-b7cd-5fc67a57d22f.png圖示以開啟Download File視窗,複製並保留密碼,然後點選Download以獲取任務存檔文件。