在指定的端點上運行自訂 YARA 規則,以支援安全威脅調查和事件回應。
 |
重要以下服務支援此任務:
|
在Forensics應用程式中建立工作區並將端點新增到工作區後,您可以從可能受損的端點收集詳細證據,以便對發生在您網路上的重大事件進行內部調查,這些事件可能需要進一步關注。
步驟
- 在 Trend Vision One 主控台中,前往 。
- 點選具有您想要分類的端點的工作區名稱。
- 從列表中選擇一個或多個端點。所選端點必須全部使用相同的作業系統。
- 點選Run YARA Rules。
注意
您也可以在 Trend Vision One 搜尋應用程式、工作台和觀察到的攻擊技術中的 上下文選單 執行此回應。 - 配置任務。
- 使用單選按鈕來選擇現有的 YARA 規則或上傳新規則。
-
選擇Select rules:
-
點擊Select YARA rules。
-
暫停檔案以查看其詳細資訊。
重要
-
選擇規則。
-
按一下「繼續」。
若要將新的 YARA 規則新增至清單:- 前往回應管理的Response Scripts標籤中的YARA 規則。
- 點擊Add YARA rules以上傳檔案並驗證規則語法。
-
-
選擇Upload rules:
- 點擊Upload file。
- 選擇一個 YARA 或 TXT 格式且小於 1 MB 的檔案。
秘訣
使用 Companion 透過點擊 Generate YARA Rules (
) 來生成 YARA 規則。
-
- 選擇目標類型並指定相關設定:
-
對於Process目標,請指定Process name。如果您未指定進程名稱,Forensics將掃描所有進程。掃描所有進程可能需要幾分鐘才能完成。
-
針對File目標:
-
指定File location。
-
選擇File size。
-
選擇Scan setting。
重要
選擇Scan all files and subfolders可能會導致效能問題。
-
-
- 通過點擊Validate YARA rules來驗證您的 YARA 規則。
- 為回應或事件指定Description。
- 點選Create。
- 將驗證碼貼入Multi-factor authentication (MFA) required並點擊Submit。如果驗證成功,任務將顯示在Response ManagementTask List。
秘訣
對於在搜尋應用程式的 上下文選單 中創建的回應任務,請點擊 View details in Forensics 圖示 (
) 在 Response ManagementTask List 中直接前往 。
- 使用單選按鈕來選擇現有的 YARA 規則或上傳新規則。
- 監控任務狀態。
- 在具有您正在檢查的端點的工作區中,點選
- 選擇YARA。
- 使用Task name選單找到任務。
- 查看任務狀態。
-
In progress (
): Trend Vision One 已發送命令,正在等待回應。 -
Queued (
): 管理伺服器將命令排隊,因為代理程式離線。 -
Successful (
): 命令已成功執行。 -
Unsuccessful (
): 嘗試將命令發送到管理伺服器時發生錯誤或超時,代理程式已離線超過 24 小時,或命令執行超時。
-
- 如果任務成功:
-
點擊
圖示以開啟Download File視窗。 -
複製並保留密碼。
-
點擊Download以獲取任務存檔文件。
-
和 
可見。詳情請參閱