Trend Micro Incident Response Toolkit を使用して、Linux エンドポイントから手動でエビデンスを収集します。
 |
重要エビデンスアーカイブは、SANS InstituteおよびCyLRツールと同じフォルダ構造を使用します。
|
手順
- Trend Vision One コンソールで、 に移動します。
- [エビデンスを収集] をクリックします。
- 手動収集のために次の設定を構成します。設定説明エビデンスの種類収集するエビデンスの種類。エンドポイント上のアーカイブの場所ローカルエンドポイント上のエビデンスパッケージの場所。
重要
-
ローカルアーカイブには暗号化がなく、削除されるまでエンドポイントに残ります。これにより、ファイルシステムにアクセスできる人が機密情報にアクセスしたり、進行中の調査の存在を明らかにしたりする可能性があります。
-
エビデンスアーカイブはハードドライブのスペースを占有し、エンドポイントのパフォーマンスに影響を与える可能性があります。
-
- [Download TMIRT] (
) をクリックして、トレンドマイクロ Incident Response Toolkit をダウンロードします。 - エビデンスを収集するエンドポイントにツールキットを展開します。
- ツールキットを実行します。
- zipアーカイブの内容を抽出します。
- rootユーザーとして
TMIRT.shを実行します。
- (オプション)スクリプトを実行する権限が不足している場合は、次のコマンドを実行してください。
- エンドポイントOSアーキテクチャを発見するには、
uname -mコマンドを実行します。重要
-
AArch64またはARM64アーキテクチャの場合、TMIRT-arm64.tgzツールキットを使用してください。
-
i386またはi686アーキテクチャの場合、TMIRT-x86.tgzツールキットを使用してください。
-
AMD64またはx86_64アーキテクチャの場合、TMIRT-x64.tgzツールキットを使用してください。
-
- TGZファイルからツールキットを抽出するには、OSアーキテクチャに基づいて正しいTMIRTバージョンを使用して
./tar -xfコマンドを実行します。 - エビデンスの収集を開始するには、
./TMIRT エビデンス --config_file ./config.jsonを実行してください。
- エンドポイントOSアーキテクチャを発見するには、
- ツールキットが生成するエビデンスパッケージをForensicsアプリにアップロードしてください。
ヒント
各ファイルのサイズは4GB以下である必要があります。
Forensics アプリはアップロードされたエビデンスパッケージの処理を開始します。
|
重要
|