檢視次數:

從流程圖中可以看出，法證應用程式讓用戶與 Trend Vision One 代理程式進行事件調查互動。請參考以下步驟：

在事件調查過程中，在法證應用程式中建立一個新的工作區，以對應特定事件。
在工作區中，通過「端點選擇器」定義「影響範圍」。這將列出所有已安裝感應器的 Windows 端點。

一旦您識別出這些端點並導入工作區，請根據 OSQuery 和 Yara 掃描開始對這些端點進行初步分析。初步分析可以幫助您辨識受到感染且符合您的 OSQuery 和 Yara 規則的端點。選擇工作區中的端點，您可以對其進行查詢或掃描。
Forensics App還提供證據收集功能，幫助調查人員捕捉證據，如AmCache、ShimCache、AutoRun、事件日誌和主文件表(MFT)。
您可以進一步分析這些證據，以建立攻擊時間軸，揭示此事件的上下文。
調查人員還可以切換至搜尋應用程式(Search App)和開放式分析工具(OAT)，以挖掘有關這些受影響端點的更多細節。

在實時調查期間，Trend Vision One工作台也將監控端點遙測數據，一旦事件進一步傳播或出現惡意活動，將提供關鍵警報。
您可能會考慮返回到Yara掃描和OSQuery，進行新的調查和分析查詢，這有助於識別Trend Vision One中新發現的指標。

有事件調查經驗的使用者如何進行 Trend Vision One 事件調查

產品/版本:

Trend Vision OneAll

更新於: 2023/07/11

文章ID: KA-0015085

類別: Troubleshoot

概要

Trend Vision One 提供了具有調查功能的法證應用程式。

Trend Vision One 代理程式可以通過代理程式安裝程式部署，並且可以透過端點策略啟用感應器。來自您的防病毒產品偵測或安全供應商建議的事件的活動資訊是可用的。根據您的調查專業知識，安排威脅指標，以進行以下流程：

從流程圖中可以看出，法證應用程式讓用戶與 Trend Vision One 代理程式進行事件調查互動。請參考以下步驟：

在事件調查過程中，在法證應用程式中建立一個新的工作區，以對應特定事件。
在工作區中，通過「端點選擇器」定義「影響範圍」。這將列出所有已安裝感應器的 Windows 端點。

一旦您識別出這些端點並導入工作區，請根據 OSQuery 和 Yara 掃描開始對這些端點進行初步分析。初步分析可以幫助您辨識受到感染且符合您的 OSQuery 和 Yara 規則的端點。選擇工作區中的端點，您可以對其進行查詢或掃描。
Forensics App還提供證據收集功能，幫助調查人員捕捉證據，如AmCache、ShimCache、AutoRun、事件日誌和主文件表(MFT)。
您可以進一步分析這些證據，以建立攻擊時間軸，揭示此事件的上下文。
調查人員還可以切換至搜尋應用程式(Search App)和開放式分析工具(OAT)，以挖掘有關這些受影響端點的更多細節。

在實時調查期間，Trend Vision One工作台也將監控端點遙測數據，一旦事件進一步傳播或出現惡意活動，將提供關鍵警報。
您可能會考慮返回到Yara掃描和OSQuery，進行新的調查和分析查詢，這有助於識別Trend Vision One中新發現的指標。

本文對您是否有幫助?