ビュー:

脅威の調査とインシデント対応をサポートするエビデンスを収集します。

このタスクは、次のサービスでサポートされています。
  • Trend Vision One
    • Windowsエージェント
変更後ワークスペースの作成とワークスペースへのエンドポイントの追加 Forensics アプリでは、感染した可能性のあるエンドポイントから詳細なエビデンスを収集して、ネットワークで発生し、さらに注意が必要な重大なインシデントを内部調査することができます。
重要
重要
  • エビデンスを収集するには、対象のエンドポイントで [XDRエンドポイントセンサー] を有効にする必要があります。
  • エビデンスアーカイブは、SANS InstitutesおよびCyLRツールと同じフォルダ構造を使用します。

手順

  1. Trend Vision One コンソールで、 XDR Threat InvestigationForensicsに移動します。
  2. トリアージしたいエンドポイントを持つワークスペースの名前をクリックします。
    注意
    注意
    このタスクにより、収集されたすべてのエビデンスがワークスペースに自動的に追加されます。
  3. 目的のエンドポイントからエビデンスを収集します。
    1. 1つ以上のエンドポイントを選択します。
    2. [エビデンスを収集]をクリックします。
    3. を指定します。エビデンスの種類収集します。
    4. 対応またはイベントのために[説明]を指定してください。
    5. [作成] をクリックします。
      Trend Vision One によってタスクが作成され、現在のタスクステータスが [Response Management]に表示されます。
  4. タスクのステータスを監視します。
    1. Response Managementを開きます。
    2. (オプション) [検索] フィールドを使用するか、 [処理] ドロップダウンリストから [エビデンスを収集] を選択して、タスクを検索します。
    3. タスクのステータスを表示します。
      • [進行中] (in_progress=GUID-A55897DB-3DEA-4F5C-B7F9-70B3D7FB9EDE=1=ja-jp=Low.jpg ): Trend Vision One がコマンドを送信し、対応を待機しています。
      • [待機中] (queued=GUID-65C0DF81-E50D-4D51-9602-2E9B7A0E5F14=1=ja-jp=Low.jpg ):エージェントがオフラインであるため、配布管理システムはコマンドをキューに入れました。
      • [成功] (successful=GUID-1E31AD86-DE2E-48B5-85F7-7C78A3E8BB11=1=ja-jp=Low.jpg ): コマンドは正常に実行されました。
      • [失敗](error=5cc21722-7ceb-480c-b9c2-a47d420cf1cc.jpg ): 配布管理システムへのコマンドの送信中にエラーまたはタイムアウトが発生したか、エージェントが24時間以上オフラインになっているか、コマンドの実行がタイムアウトしました。