檢視次數:

收集證據以支援安全威脅調查和事件回應。

此任務由以下服務支援:
  • TrendAI Vision One™
    • Linux 代理程式
    • Windows 代理程式
    • macOS 代理程式
Forensics建立工作區並將端點新增至工作區後,您可以從可能受感染的端點收集詳細證據,以便對網路上發生的重大事件進行內部調查,這些事件可能需要進一步關注。
重要
重要
  • 證據收集需要您在目標端點上啟用 XDR Endpoint Sensor。
  • 證據檔案使用與 SANS Institutes 和 CyLR 工具相同的資料夾結構。
此任務會自動將所有收集的證據添加到工作區。

步驟

  1. TrendAI Vision One™ 主控台中,前往 Agentic SIEM & XDRForensics
  2. 點選具有您想要分類的端點的工作區名稱。
  3. 從所需的端點收集證據。
    1. 選擇一個或多個端點。
    2. 點選Collect Evidence
    3. 指定您要收集的證據類型
    4. 為回應或事件指定Description
    5. 點選Create
      TrendAI Vision One™ 建立任務並在 Response Management 中顯示當前任務狀態。
  4. 監控任務狀態。
    1. 移至「Workflow and Automation」Response Management
    2. 使用Search定位任務或從處理行動中選擇Collect Evidence
    3. 查看任務狀態。
      • 「進行中」 (in_progress=GUID-A55897DB-3DEA-4F5C-B7F9-70B3D7FB9EDE=1=zh-tw=Low.jpg): TrendAI Vision One™ 已發送指令並正在等待回應。
      • 「已排在佇列中」 (queued=GUID-65C0DF81-E50D-4D51-9602-2E9B7A0E5F14=1=zh-tw=Low.jpg): 管理伺服器已將指令排入佇列,因為代理程式處於離線狀態。
      • 「成功」 (successful=GUID-1E31AD86-DE2E-48B5-85F7-7C78A3E8BB11=1=zh-tw=Low.jpg): 命令已成功執行。
      • 「未成功」 (error=5cc21722-7ceb-480c-b9c2-a47d420cf1cc.jpg): 嘗試向管理伺服器發送命令時發生錯誤或超時,代理程式已離線超過24小時,或命令執行超時。