Erstellen einer InstaQuery

  1. Klicken Sie in der Menüleiste der Verwaltungskonsole auf Focus > InstaQuery.
  2. Führen Sie einen der folgenden Schritte aus:

    Aufgabe

    Schritte

    Erstellen einer neuen InstaQuery
    Wenn Sie eine vorherige Abfrage klonen möchten, erweitern Sie den Abschnitt Vorherige Abfragen, suchen Sie die Abfrage und klicken Sie auf Abfrage klonen.
    1. Geben Sie in das Feld Suchbegriff einen Wert ein, nach dem Sie suchen möchten (z. B. Dateiname, Hash, Prozess, Registrierungswert usw.). Wenn Sie nach einer genauen Übereinstimmung suchen möchten, aktivieren Sie das Kontrollkästchen Genaue Übereinstimmung.
    2. Klicken Sie in der Dropdown-Liste Artefakt auf einen Artefakttyp.
    3. Klicken Sie in der Dropdown-Liste Facette auf die entsprechende Facette.
    4. Wählen Sie in der Dropdown-Liste Zone mindestens eine Zone aus.
    5. Geben Sie einen Namen und eine Beschreibung für die Abfrage ein.
    6. Klicken Sie auf Abfrage senden.
    7. Der aktuelle Status der Abfrage wird im Abschnitt Vorherige Abfragen angezeigt. Wenn die Abfrage abgeschlossen ist, klicken Sie auf Ergebnisse anzeigen.

    Anzeigen einer vorherigen InstaQuery
    1. Erweitern Sie den Abschnitt Vorherige Abfragen.
    2. Klicken Sie auf Ergebnisse anzeigen, um die gewünschte Abfrage anzuzeigen.
  3. Im Abschnitt InstaQuery-Ergebnisse können Sie das Menü Aktionen erweitern, um auf die verfügbaren Aktionen für jedes Ergebnis zuzugreifen. Je nach Ergebnistyp kann dies Folgendes umfassen:
    • Anfordern und Anzeigen von Fokusdaten.
    • Globale Quarantäne einer Datei. Die Datei wird unter Einstellungen > Globale Liste > Globale Quarantäne unter Schutz > Bedrohungen und im Abschnitt Bedrohungen der Gerätedetails angezeigt.
    • Eine Datei anfordern und herunterladen. Wenn Pfadinformationen für Dateien verfügbar sind, die mit anderen Artefakttypen verknüpft sind, können Sie diese Dateien auch herunterladen. Die Datei ist komprimiert und kennwortgeschützt, um sicherzustellen, dass sie nicht versehentlich ausgeführt wird. Das Kennwort lautet „infected“.

      Die maximale Größe für das Abrufen von Dateien beträgt 50 MB. Artefakte und Dateien werden von Aurora Focus 30 Tage lang aufbewahrt (dieser Zeitraum kann je nach Lizenzierung Ihres Unternehmens verlängert werden).

  4. Um die InstaQuery-Facettenaufschlüsselung im Abschnitt InstaQuery-Ergebnisse anzuzeigen, klicken Sie auf das Symbol für die Facettenaufschlüsselung.