檢視次數:
類型
項目
FQDN/IP 位址/主機名稱
指定遠端端點 FQDN、IP 位址或主機名稱,以識別受調查端點所建立的網路連線
注意
注意
不支援 IPv6 格式。
範例:
  • cncserver.com
  • malicioussite.com
  • 192.168.0.1
使用者名稱
指定 Active Directory 帳號或本機使用者的名稱
範例:
  • jane_smith
注意
注意
僅使用本機使用者帳號名稱(<使用者名稱>)。不包含網域名稱。
檔案名稱
指定完整檔案名稱 (包含副檔名)
範例:
  • filename.exe
檔案雜湊值
指定檔案的雜湊值。
範例:
  • SHA-1: a2da9cda33ce378a21f54e9f03f6c0c9efba61fa
  • SHA-256: D9FCB47915363186AEC3EF3EDAE0D92AC452BFA5A41C81D5E714E45583600561
檔案目錄
指定不含檔案名稱的完整路徑
範例:
  • c:\windows\system32\wbem\
注意
注意
不包含檔案名稱。
登錄機碼
指定完整或部分登錄機碼、值名稱或值資料
注意
注意
  • 趨勢科技只會記錄重要登錄位置的活動,以降低對端點資源的影響。
  • 請勿指定 SID 值做為登錄條件。調查不支援使用 SID 值做為自訂登錄條件。
  • 使用登錄資料做為調查條件的限制如下:
    • 每個項目必須至少有 2 個字元。
    • 項目不能包含空格。
範例:
  • 登錄機碼
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
  • 登錄值名稱
    RunTestExe
  • 登錄值資料
    "c:\test\run_test.exe" –abc
登錄值名稱
登錄值資料
CLI 命令
指定命令列參數。
注意
注意
使用命令列做為調查條件的限制如下:
  • 每個項目必須至少有 2 個字元。
  • 項目不能包含空格。
範例:
  • "C:\7z.exe" a "c:\log\test.7z" "c:\log\test.log"
  • taskhostw.exe -RegisterDevice -ProtectionStateChanged -FreeNetworkOnly