Ansichten:

Sammeln Sie Beweise zur Unterstützung der Bedrohungsuntersuchung und der Reaktion auf Vorfälle.

Diese Aufgabe wird von den folgenden Diensten unterstützt:
  • Trend Vision One
    • Windows-Agent
Nachdem Sie einen Arbeitsbereich erstellt und Endpunkte zum Arbeitsbereich hinzugefügt haben in der Forensics-App, können Sie detaillierte Beweise von potenziell kompromittierten Endpunkten für interne Untersuchungen zu kritischen Vorfällen sammeln, die in Ihrem Netzwerk aufgetreten sind und möglicherweise weitere Aufmerksamkeit erfordern.
Wichtig
Wichtig
  • Die Beweissammlung erfordert, dass Sie XDR endpoint sensor auf Zielendpunkten aktivieren.
  • Beweisarchive verwenden die gleichen Ordnerstrukturen wie die SANS-Institute und das CyLR-Tool.
Diese Aufgabe fügt automatisch alle gesammelten Beweise zum Arbeitsbereich hinzu.

Prozedur

  1. Navigieren Sie in der Trend Vision One Konsole zu Agentic SIEM & XDRForensics.
  2. Klicken Sie auf den Namen des Arbeitsbereichs, der die Endpunkte enthält, die Sie triagieren möchten.
  3. Sammeln Sie Beweise von den gewünschten Endpunkten.
    1. Wählen Sie einen oder mehrere Endpunkte aus.
    2. Klicken Sie auf Collect Evidence.
    3. Geben Sie die Beweisarten an, die Sie sammeln möchten.
    4. Geben Sie einen Beschreibung für die Antwort oder das Ereignis an.
    5. Klicken Sie auf Erstellen.
      Trend Vision One erstellt die Aufgabe und zeigt den aktuellen Aufgabenstatus in Response Management an.
  4. Überwachen Sie den Aufgabenstatus.
    1. Navigieren Sie zu Workflow and AutomationResponse Management.
    2. Lokalisieren Sie die Aufgabe mit Suche oder indem Sie Collect Evidence aus Aktion auswählen.
    3. Zeigen Sie den Aufgabenstatus an.
      • Wird ausgeführt (in_progress=GUID-A55897DB-3DEA-4F5C-B7F9-70B3D7FB9EDE=1=de-de=Low.jpg): Trend Vision One hat den Befehl gesendet und wartet auf eine Antwort.
      • In Warteschlange (queued=GUID-65C0DF81-E50D-4D51-9602-2E9B7A0E5F14=1=de-de=Low.jpg): Der Verwaltungsserver hat den Befehl in die Warteschlange gestellt, weil der Agent offline war.
      • Erfolgreich (successful=GUID-1E31AD86-DE2E-48B5-85F7-7C78A3E8BB11=1=de-de=Low.jpg): Der Befehl wurde erfolgreich ausgeführt.
      • Nicht erfolgreich (error=5cc21722-7ceb-480c-b9c2-a47d420cf1cc.jpg): Beim Versuch, den Befehl an den Verwaltungsserver zu senden, ist ein Fehler oder ein Zeitüberschreitung aufgetreten, der Agent ist seit mehr als 24 Stunden offline oder die Befehlsausführung hat die Zeit überschritten.