エビデンスの収集タスク

脅威の調査とインシデント対応をサポートするエビデンスを収集します。

Forensics and Analysis アプリのワークスペースにエンドポイントを追加すると、Trend Micro Vision Oneコンソールのコンテキストメニューを使用して、エビデンスを収集できます。

重要:

  • エビデンスを収集するには、対象のエンドポイントでXDR Endpoint Sensorを有効にする必要があります。

  • エビデンスアーカイブは、SANS InstitutesおよびCyLRツールと同じフォルダ構造を使用します。

  1. Forensics and Analysisでワークスペースを作成し、ワークスペースにエンドポイントを追加します
  2. 目的のエンドポイントからエビデンスを収集します。
    1. 目的のエンドポイントを特定したら、行の最後にあるオプションアイコン () をクリックし、エビデンス収集タスクをクリックします。
    2. 収集する エビデンスタイプ を指定します。
    3. (オプション) 対応 またはイベントの 説明 を指定します。
    4. 作成をクリックします。

      Trend Micro Vision One はタスクを作成し、現在のコマンドステータスをResponse Managementアプリに表示します。

  3. タスクのステータスを監視します。
    1. Response Management アプリを開きます。
    2. (オプション)Searchフィールドを使用するか、処理ドロップダウンリストからエビデンスを収集を選択して、タスクを検索します。
    3. タスクのステータスを表示します。

      • 処理中...): Trend Micro Vision One が管理下のサーバにコマンドを送信し、対応を待機しています。

      • 待機中 ():エージェントがオフラインだったため、管理サーバはコマンドをキューに入れました

      • 成功):管理下のサーバがコマンドを正常に受信しました。

      • 失敗 (): 管理サーバへのコマンドの送信中にエラーまたはタイムアウトが発生したか、エージェントが24時間以上オフラインになっているか、またはコマンドの実行がタイムアウトしました

親トピック: 対応処理