Manuelle Beweissammlung für Windows-Endpunkte

Prozedur

1. Wählen Sie Agentic SIEM & XDR → Forensics → Packages.
2. Klicken Sie auf Collect Evidence.
3. Konfigurieren Sie die folgenden Einstellungen für die manuelle Erfassung.

   Einstellung	Beschreibung
   Beweisarten	Die Arten von Beweismitteln, die gesammelt werden sollen. Für Windows-Endpunkte benötigen Sie grundlegende Informationen.
   Archivspeicherort auf Endpunkt	Speicherort des Beweispakets auf dem lokalen Endpunkt. Wichtig Das lokale Archiv ist nicht verschlüsselt und bleibt auf dem Endpunkt, bis es gelöscht wird. Dies könnte es jedem mit Zugriff auf das Dateisystem ermöglichen, auf sensible Informationen zuzugreifen oder die Existenz einer laufenden Untersuchung offenzulegen. Beweisarchive beanspruchen Festplattenspeicher, was die Leistung des Endpunkts beeinträchtigen kann.

4. Klicken Sie auf , um das Trend Micro Incident Response Toolkit herunterzuladen.
5. Bereitstellen Sie das Toolkit auf den Endpunkten, auf denen Sie Beweise sammeln möchten.
6. Führen Sie das Toolkit aus.
   1. Extrahieren Sie den Inhalt des .zip-Archivs.
   2. Führen Sie TMIRT.ps1 als Administrator aus.
      Wenn Sie den Befehl TMIRT.ps1 nicht ausführen können, lädt der folgende Befehl das Toolkit direkt herunter und führt es basierend auf Ihrer Betriebssystemversion und Architektur aus:

      .\TMIRT.exe evidence --config_file .\config.json

7. Laden Sie die von dem Toolkit generierten Beweispakete zu Forensics hoch. Sie können mehrere Dateien gleichzeitig hochladen. Jede Datei darf 4 GB nicht überschreiten.