手動エビデンスコレクション

Trend Micro Incident Response Toolkitを使用して、インターネットに接続していないエンドポイントからエビデンスを収集し、脅威の調査とインシデント対応をサポートします。

Important:

  • エビデンスアーカイブは、SANS InstitutesおよびCyLRツールと同じフォルダ構造を使用します。

  • この機能はすべての地域で使用できるわけではありません。

  1. Trend Micro Incident Responseツールキットのダウンロード
    1. Trend Micro Vision Oneコンソールで、XDR Threat Investigation > Forensics and Analysis > パッケージに選択します。
    2. パッケージの収集をクリックします。
    3. TMIRTのダウンロード()をクリックします。
  2. エビデンスを収集するエンドポイントにツールキットを配信します。
  3. ツールキットを実行します。
    1. コマンドラインを開きます。
    2. Trend Micro Incident Response Toolkitがあるフォルダに移動します。
    3. 次のコマンドを実行します。 
      ./TMIRT-0.5.0.1007.exe evidence --task_id <file prefix> <evidence type> --data_output_folder <location>

      次の表は、ツールキットの実行に使用できる引数の概要を示しています。

      引数

      説明

      <file prefix>

      ツールキットが生成するパッケージの名前のプレフィックス。

      <evidence type>

      ツールキットが収集できるエビデンスの種類。少なくとも1つはスペースで区切って入力してください。使用可能なエビデンスタイプ:

      • --basicinfo

      • --accountinfo

      • --networkinfo

      • --sysexecutioninfo

      • --eventlog

      • --registry

      • --useractivity

      • --filetimeline

      • --processinfo

      • --serviceinfo

      <location>

      ツールキットが、収集されたエビデンスを含むzipファイルを保存するディレクトリ。
  4. ツールキットで生成されたzipアーカイブを Forensics and Analysis アプリにアップロードします。

Forensics and Analysis アプリは、アップロードされたパッケージの処理を開始します。

Important:

  • エビデンスパッケージの処理には、最大30分かかることがあります。

  • プロセスが完了するまで、ブラウザタブを閉じたり画面を更新したりしないでください。

Parent topic: エビデンス収集