步驟
- 移至「」。
- 按一下「進階」。
- 選取「OpenIOC 檔案」。
注意
在歷史調查中使用 OpenIOC 檔案存在下列限制:-
一次只能載入一個 OpenIOC 檔案。
-
唯一支援的條件為
IS。使用其他條件的項目會被忽略並會使用刪除線標示。 -
僅支援適用於所收集中繼資料的那些指標。使用不受支援之指標的項目會被忽略並使用刪除線標示。如需詳細資訊,請參閱支援的 IOC 指標。
-
- 指定調查的資料期間。
- 如果要上傳新的 OpenIOC 檔案並使用它來進行調查,請執行下列作業:
- 按一下「上傳 OpenIOC 檔案」。
- 選取有效的 OpenIOC 檔案。
- 按一下「開啟」。
- 如果要使用現有的 OpenIOC 檔案進行調查,請執行下列作業:
- 按一下「使用現有 OpenIOC 檔案」。
- 選取檔案。
- 按一下「套用」。
- 按一下「評估影響」。「相符端點」區段隨即出現。留出一些時間供調查執行。
- 檢查「相符端點」區段中的結果。提供下列詳細資料:欄名稱說明端點包含相符物件的端點名稱IPv4 位址包含相符物件的端點 IP 位址IP 位址是由網路指派作業系統端點所使用的作業系統使用者Security Agent 首次記錄相符物件時已登入的使用者之使用者名稱按一下使用者名稱可檢視有關使用者的更多詳細資料。首次記錄Security Agent 首次記錄相符物件時的日期和時間詳細資訊按一下此圖示可開啟「比對詳細資料」畫面。「比對詳細資料」畫面會顯示下列詳細資料:
-
條件:評估中使用的條件
-
首次記錄:Security Agent 首次記錄相符物件時的日期和時間
-
CLI/登錄出現次數:在命令列或登錄項目中發現的相符項目數目按一下值可顯示更多詳細資料。
-
受影響的端點:當分級為「惡意」時,代表在其中發現類似相符項目的端點數目此計數僅計入過去 90 天內受影響的端點。
-
- 如果要檢閱導致相符物件執行的一系列事件,請選取需要進一步分析的端點,然後按一下「產生根本原因分析」。隨即出現「產生根本原因分析」畫面。
- 指定根本原因分析的名稱,然後按一下「產生」。
- 按一下「根本原因分析」標籤以查看結果。此工作需要一些時間才能完成。