ビュー:

Windows エンドポイントからエビデンスを手動で収集するには、トレンドマイクロ Incident Response Toolkit を使用するか、Playbook を実行して脅威調査およびインシデント対応をサポートします。

重要
重要
  • エビデンスアーカイブは、SANS InstituteおよびCyLRツールと同じフォルダ構造を使用します。
  • Windows エンドポイントから Incident Response エビデンス Collection Playbook を使用して自動的にエビデンスを収集できます。このPlaybookは現在、Windowsエンドポイントのみをサポートしています。

手順

  1. Trend Vision One コンソールで、XDR Threat InvestigationForensics[パッケージ] に移動します。
  2. [エビデンスを収集] をクリックします。
  3. 手動収集のために次の設定を構成します。
    設定
    説明
    エビデンスの種類
    収集するエビデンスの種類
    注意
    注意
    • Windows エンドポイントには、基本情報が必要です。
    エンドポイント上のアーカイブの場所
    ローカルエンドポイント上のエビデンスパッケージの場所。
    重要
    重要
    • ローカルアーカイブには暗号化がなく、削除されるまでエンドポイントに残ります。これにより、ファイルシステムにアクセスできる人が機密情報にアクセスしたり、進行中の調査の存在を明らかにしたりする可能性があります。
    • エビデンスアーカイブはハードドライブのスペースを占有し、エンドポイントのパフォーマンスに影響を与える可能性があります。
  4. [Download TMIRT] (download-icon.png) をクリックして、トレンドマイクロ Incident Response Toolkit をダウンロードします。
  5. エビデンスを収集するエンドポイントにツールキットを展開します。
  6. ツールキットを実行します。
    1. zipアーカイブの内容を解凍します。
    2. 管理者としてTMIRT.ps1を実行します。
      重要
      重要
      TMIRT.ps1 コマンドを実行できない場合、次のコマンドはお使いのOSバージョンとアーキテクチャに基づいてツールキットを直接ダウンロードして実行します: 
      .\TMIRT.exe エビデンス --config_file .\config.json
  7. ツールキットが生成するエビデンスパッケージをForensicsアプリにアップロードしてください。
    ヒント
    ヒント
    各ファイルのサイズは4GB以下である必要があります。
Forensics アプリはアップロードされたエビデンスパッケージの処理を開始します。
重要
重要
  • 1つのエビデンスパッケージの処理には数分かかることがあります。
  • ブラウザのタブを閉じたり、プロセスが終了するまで画面を更新したりしないでください。