Manuelle Beweissammlung für macOS-Endpunkte

Prozedur

1. Wählen Sie Agentic SIEM & XDR → Forensics → Evidence Archive.
2. Klicken Sie auf Collect Evidence.
3. Konfigurieren Sie die folgenden Einstellungen für die manuelle Erfassung.

   Einstellung	Beschreibung
   Beweisarten	Die Arten von Beweismitteln, die gesammelt werden sollen. Hinweis Für macOS-Endpunkte benötigen Sie die folgenden Informationen: Grundlegende Informationen Prozessinformationen Serviceinformationen Angaben zum Netzwerk Konto-Informationen Benutzeraktivität Datei-Zeitachse Protokoll
   Archivspeicherort auf Endpunkt	Speicherort des Beweispakets auf dem lokalen Endpunkt. Wichtig Das lokale Archiv ist nicht verschlüsselt und bleibt auf dem Endpunkt, bis es gelöscht wird. Dies könnte es jedem mit Zugriff auf das Dateisystem ermöglichen, auf sensible Informationen zuzugreifen oder die Existenz einer laufenden Untersuchung offenzulegen. Beweisarchive beanspruchen Festplattenspeicher, was die Leistung des Endpunkts beeinträchtigen kann.

4. Klicken Sie auf , um das Trend Micro Incident Response Toolkit herunterzuladen.
5. Bereitstellen Sie das Toolkit auf den Endpunkten, von denen Sie Beweise sammeln möchten.
6. Toolkit ausführen.
   1. Extrahieren Sie den Inhalt des .zip-Archivs.
   2. Führen Sie TMIRT.sh als Root-Benutzer aus.
7. Wenn Sie keine Berechtigungen zum Ausführen von Skripten haben, führen Sie die folgenden Befehle aus.
   1. Um das Toolkit aus der .tgz-Datei zu extrahieren, führen Sie xattr -c ./TMIRT-macos.tgz aus und anschließend ./tar -xf.
   2. Um mit der Beweissammlung zu beginnen, führen Sie ./TMIRT-bin evidence --config_file ./config.json aus.
8. Laden Sie die von dem Toolkit generierten Beweispakete zu Forensics hoch. Sie können mehrere Dateien gleichzeitig hochladen. Jede Datei darf 4 GB nicht überschreiten.