檢視次數:

收集證據以支援安全威脅調查和事件回應。

此任務由以下服務支援:
  • Trend Vision One
    • Windows 代理程式
Forensics 應用程式中 建立工作區並將端點新增到工作區 後,您可以從可能受損的端點收集詳細證據,以便對發生在您網路上的重大事件進行內部調查,這些事件可能需要進一步關注。
重要
重要
  • 蒐集證據需要您在目標端點上啟用XDR endpoint sensor
  • 證據檔案使用與 SANS Institutes 和 CyLR 工具相同的資料夾結構。

步驟

  1. Trend Vision One 主控台中,前往 XDR 安全威脅調查Forensics
  2. 點選具有您想要分類的端點的工作區名稱。
    注意
    注意
    此任務會自動將所有收集到的證據添加到工作區。
  3. 從所需的端點收集證據。
    1. 選擇一個或多個端點。
    2. 點選Collect Evidence
    3. 指定您要收集的證據類型
    4. 為回應或事件指定Description
    5. 點選Create
      Trend Vision One 建立任務並在 Response Management 中顯示當前任務狀態。
  4. 監控任務狀態。
    1. 開啟Response Management
    2. (可選)使用Search欄位定位任務,或從處理行動下拉清單中選擇Collect Evidence
    3. 查看任務狀態。
      • In progress (in_progress=GUID-A55897DB-3DEA-4F5C-B7F9-70B3D7FB9EDE=1=zh-tw=Low.jpg): Trend Vision One 已發送命令,正在等待回應。
      • Queued (queued=GUID-65C0DF81-E50D-4D51-9602-2E9B7A0E5F14=1=zh-tw=Low.jpg): 管理伺服器將命令排隊,因為代理程式離線。
      • Successful (successful=GUID-1E31AD86-DE2E-48B5-85F7-7C78A3E8BB11=1=zh-tw=Low.jpg): 命令已成功執行。
      • Unsuccessful (error=5cc21722-7ceb-480c-b9c2-a47d420cf1cc.jpg): 嘗試將命令發送到管理伺服器時發生錯誤或超時,代理程式已離線超過 24 小時,或命令執行超時。