檢視次數:

通過創建證據收集劇本來收集證據,以支援安全威脅調查和事件回應。

從可能受損的端點收集詳細證據,以便對發生在您網路上的重大事件進行內部調查,這些事件可能需要進一步關注。
重要
重要
  • 蒐集證據需要您在目標端點上啟用 XDR 端點感測器。
  • 證據檔案使用與 SANS Institutes 和 CyLR 工具相同的資料夾結構。

步驟

  1. 移至「Workflow and Automation」「Security Playbooks」
  2. Playbooks標籤上,選擇新增Create from template
  3. 選擇Incident Response Evidence Collection並點選Create Playbook from Template
  4. 配置劇本設定並點選Apply
    注意
    注意
    您必須為劇本指定一個唯一的名稱。
  5. 若要自訂觸發節點的名稱,請點選編輯圖示 (edit=6bab3fa2-ec74-4134-97fb-784f64900103.png)。
  6. 透過端點名稱或 IP 位址識別目標端點以進行證據收集。
    • 要通過Endpoint name從端點收集證據,請在Endpoint name文本框中指定端點名稱。
    • 若要透過IP address從端點收集證據,請在IP address文字框中指定 IP 位址或 IP 範圍。
      最多可以使用 10 個 IP 範圍。IP 範圍的範例如下:
      • 10.1.0.*
      • 192.168.1.0/24
      • 192.168.1.10–192.168.1.20
      在 CIDR 表示法中,前綴長度應介於 16 到 32 之間。使用起始 IP–結束 IP 格式時,範圍內所有 IP 位址的前兩個八位元組(代表網路部分)必須相同。
  7. 在第一個動作節點(預設名稱:通知收件人進行手動批准)中配置手動批准設置。
    1. (可選)為節點指定自訂的Name
    2. 選擇是否發送通知以請求手動批准來創建回應操作。
      重要
      重要
      超過24小時暫停中等待手動批准的操作將過期且無法執行。
    3. 如果您需要手動批准,請配置以下設置。
      設定
      說明
      通知方法
      • 電子郵件:向指定的收件人發送電子郵件通知
      • Webhook:向指定的 webhook 頻道發送通知
      主題前綴
      通知主題行開頭出現的前綴
      收件者
      收件人的電子郵件地址
      該欄位僅在您為Notification method選擇電子郵件時顯示。
      Webhook
      接收通知的 webhook 通道
      僅當您為Notification method選擇Webhook時,該欄位才會出現。
      秘訣
      秘訣
      新增 Webhook 連接,請點擊「Create channel」
  8. 在下一個動作節點中配置證據收集(預設名稱:收集證據)。
    設定
    說明
    名稱
    節點名稱
    證據類型
    要收集的證據類型
    注意
    注意
    Basic information 是必需的。
    端點上的存檔位置資訊
    本機端點上的檔案位置資訊
    重要
    重要
    • 本地存檔沒有加密,並且會保留在端點上直到被刪除。這可能允許任何有檔案系統存取權限的人訪問敏感信息,或揭示正在進行的調查的存在。
    • 證據檔案會佔用硬碟空間,並可能影響端點效能。
    上傳證據到TrendAI Vision One™
    將證據上傳到 TrendAI Vision One™ 控制台中的 Forensics 應用程式
    重要
    重要
    劇本需要點數才能將收集到的證據上傳到TrendAI Vision One™控制台中的取證應用程式。在設置劇本上傳證據之前,請先在取證中配置資料防護配額。
    如果未配置資料配額,所有在2023年10月13日之前創建且開啟Upload evidence to Trend Vision One的劇本將無法收集證據、將其本地存儲或上傳到Forensic應用程式。
    秘訣
    秘訣
    在安全劇本應用程式的Execution Results頁面中查找上傳的證據。
  9. 通過配置第二個路徑選擇節點來指定如何通知收件人劇本結果。
    注意
    注意
    您只能選擇一個路徑來接收結果通知。
  10. 對於電子郵件和 webhook 通知,請配置 動作節點(默認名稱:發送結果通知)。
    設定
    說明
    名稱
    節點名稱
    通知方法
    • 電子郵件:向指定的收件人發送電子郵件通知
    • Webhook:向指定的 webhook 頻道發送通知
    主題前綴
    通知主題行開頭出現的前綴
    收件者
    收件人的電子郵件地址
    該欄位僅在您為Notification method選擇電子郵件時顯示。
    Webhook
    接收通知的 webhook 通道
    僅當您為Notification method選擇Webhook時,該欄位才會出現。
    秘訣
    秘訣
    如果您需要新增一個 Webhook 連接,請點擊「Create channel」
  11. 對於 ServiceNow 工單通知,請配置兩個動作節點。
    1. 按照步驟 7 配置第一個 動作節點(預設名稱:通知收件人進行手動批准)。
    2. 配置下一個動作節點(預設名稱:發送結果通知)。
      設定
      說明
      名稱
      節點名稱
      通知方法
      動作節點只能發送 工單 通知
      票證設定檔
      要使用的 ServiceNow 工單配置檔
      秘訣
      秘訣
      如果您需要新增票務檔案,請點擊「Create ticket profile」
      票證設定檔
      劇本的票證設定
      選擇票證配置檔案會自動載入設定。更改設定會覆蓋劇本的票證配置檔案。
      • Assignment group: 您想要指派工單的 ServiceNow 指派群組
      • Assigned to: 您想指派工單的 ServiceNow 使用者
      • Short description: 在 ServiceNow 中顯示的工單簡短描述
  12. 通過切換啟動控制來啟用劇本。
  13. 點選儲存
    劇本顯示在 安全劇本 應用程式的 Playbooks 標籤上。
相關資訊