啟動一次性調查

步驟

1. 移至「回應 → 即時調查」。
2. 按一下「一次性調查」標籤。
3. 按一下「新調查」。
4. 指定此調查的「名稱」。
5. 根據物件需要符合的規則選取「方法」：
   • 使用 OpenIOC 掃瞄磁碟檔案：磁碟上符合 OpenIOC 檔案所提供規則的物件

     注意 選取此項目後，Endpoint Sensor 會顯示 OpenIOC 檔案的預覽。檢閱預覽可確認 OpenIOC 檔案是否包含支援的指標與條件。不受支援的組合採用刪除線這種格式，並在調查過程中被忽略。 如需詳細資訊，請參閱即時調查支援的 IOC 指標。

   • 使用 YARA 掃瞄記憶體中的程序：記憶體中目前符合 YARA 檔案所提供規則的物件
   • 搜尋登錄：符合使用者定義之條件的登錄機碼、名稱和資料
6. 按一下「選取端點」並指定要納入調查的端點。

   注意 「目標端點」畫面可能不會顯示選取要進行調查的所有端點。 使用者只能檢視已被授與足夠存取權限的端點。 僅適用於安裝在 Windows 平台上的 Security Agent。

7. 按一下「啟動調查」。
8. 若要檢視一次性調查的結果並監控其進度，請執行下列作業：
   1. 移至「回應 → 即時調查」。
   2. 按一下「一次性調查」標籤。
      如需詳細資訊，請參閱一次性調查。