Manuelle Beweissammlung für Linux-Endpunkte

Prozedur

1. Wählen Sie Agentic SIEM & XDR → Forensics → Packages.
2. Klicken Sie auf Collect Evidence.
3. Konfigurieren Sie die folgenden Einstellungen für die manuelle Erfassung.

   Einstellung	Beschreibung
   Beweisarten	Die Arten von Beweismitteln, die gesammelt werden sollen. Für Linux-Endpunkte benötigen Sie die folgenden Informationen: Grundlegende Informationen Prozessinformationen Dienstinformationen Netzwerkinformationen Kontoinformationen Benutzeraktivität
   Archivspeicherort auf Endpunkt	Speicherort des Beweispakets auf dem lokalen Endpunkt. Wichtig Das lokale Archiv ist nicht verschlüsselt und bleibt auf dem Endpunkt, bis es gelöscht wird. Dies könnte es jedem mit Zugriff auf das Dateisystem ermöglichen, auf sensible Informationen zuzugreifen oder die Existenz einer laufenden Untersuchung offenzulegen. Beweisarchive beanspruchen Festplattenspeicher, was die Leistung des Endpunkts beeinträchtigen kann.

4. Klicken Sie auf , um das Trend Micro Incident Response Toolkit herunterzuladen.
5. Bereitstellen Sie das Toolkit auf den Endpunkten, auf denen Sie Beweise sammeln möchten.
6. Führen Sie das Toolkit aus.
   1. Extrahieren Sie den Inhalt des .zip-Archivs.
   2. Führen Sie TMIRT.sh als Root-Benutzer aus.
7. Wenn Sie keine Berechtigungen zum Ausführen von Skripten haben, führen Sie die folgenden Befehle aus.
   1. Identifizieren Sie die Architektur des Betriebssystems (OS) des Endpunkts, indem Sie den Befehl uname -m ausführen.
      • Für die AArch64- oder ARM64-Architektur verwenden Sie das TMIRT-arm64.tgz-Toolkit.
      • Für die i386- oder i686-Architektur verwenden Sie das TMIRT-x86.tgz-Toolkit.
      • Für die AMD64- oder x86_64-Architektur verwenden Sie das TMIRT-x64.tgz-Toolkit.
   2. Um das Toolkit aus der .tgz-Datei zu extrahieren, führen Sie den Befehl ./tar -xf mit der richtigen Version des Trend Micro Incident Response Toolkit basierend auf Ihrer OS-Architektur aus.
   3. Um mit der Beweissammlung zu beginnen, führen Sie ./TMIRT evidence --config_file ./config.json aus.
8. Laden Sie die von dem Toolkit generierten Beweispakete zu Forensics hoch. Sie können mehrere Dateien gleichzeitig hochladen. Jede Datei darf 4 GB nicht überschreiten.