サポートされるエビデンスタイプ

次の表は、インシデントレスポンスエビデンス収集ハンドブック、エビデンスの収集タスク、およびTrend Micro Incident Response Toolkitでサポートされるさまざまな種類のエビデンスを示しています。

エビデンスタイプ

説明

基本情報

  • ハードウェア:システム情報(エンドポイント名、CPU、メモリ)、ネットワークインタフェース、ボリューム情報

  • ソフトウェア:OSバージョン、ユーザ情報、グループ情報

アカウント情報

このエンドポイントのアカウント(含む)

  • 管理者アカウント

  • ユーザアカウント

ネットワーク情報

ネットワーク関連のテーブルと設定

  • netstat コマンドからのアクティブな接続

  • ARP、TCP、UDP、およびルーティングテーブル

  • DNSキャッシュ

  • ファイアウォールルール

  • ネットワーク共有

システム実行情報

次を含む実行済みプロセスのレコード

  • AmCache

  • ファイルのプリフェッチ

  • 最近のファイルキャッシュ

  • ShimCache

  • システムリソース使用率モニタ

イベントログ

Windowsイベントログ(以下を含む)

  • PowerShell

  • RDP

  • セキュリティ

  • SMB

  • システム

レジストリ

エンドポイントレジストリハイブ

ユーザアクティビティ

エンドポイントユーザの動作ログ(以下を含む)

  • ブラウザの履歴

  • シェルバッグ

  • UserAssistレジストリキー

ファイルのタイムライン

マスターファイルテーブル(MFT)を含むエンドポイントファイルシステム情報

プロセス情報

エンドポイントで現在実行中のライブプロセス

サービス情報

フォアグラウンドバックグラウンドで実行されるアプリケーション。

  • 自動起動エントリ

  • 予約タスク

  • サービス
親トピック: エビデンス収集