檢視次數:

通過創建證據收集劇本來收集證據,以支援安全威脅調查和事件回應。

從可能受損的端點收集詳細證據,以便對發生在您網路上的重大事件進行內部調查,這些事件可能需要進一步關注。
重要
重要
  • 蒐集證據需要您在目標端點上啟用 XDR 端點感測器。
  • 證據檔案使用與 SANS Institutes 和 CyLR 工具相同的資料夾結構。

步驟

  1. 前往工作流程和自動化安全劇本
  2. Playbooks標籤上,選擇新增Create from template
  3. 選擇Incident Response Evidence Collection並點選Create Playbook from Template
  4. 配置劇本設定並點選Apply
    注意
    注意
    您必須為劇本指定一個唯一的名稱。
  5. 若要自訂觸發節點的名稱,請點選編輯圖示 (edit=6bab3fa2-ec74-4134-97fb-784f64900103.png)。
  6. 透過端點名稱或 IP 位址識別目標端點以進行證據收集。
    • 要通過Endpoint name從端點收集證據,請在Endpoint name文本框中指定端點名稱。
    • 若要透過IP address從端點收集證據,請在IP address文字框中指定 IP 位址或 IP 範圍。
      最多可以使用 10 個 IP 範圍。IP 範圍的範例如下:
      • 10.1.0.*
      • 192.168.1.0/24
      • 192.168.1.10–192.168.1.20
      在 CIDR 表示法中,前綴長度應介於 16 到 32 之間。使用起始 IP–結束 IP 格式時,範圍內所有 IP 位址的前兩個八位元組(代表網路部分)必須相同。
  7. 在第一個動作節點(預設名稱:通知收件人進行手動批准)中配置手動批准設置。
    1. (可選)為節點指定自訂的Name
    2. 選擇是否發送通知以請求手動批准來創建回應操作。
      重要
      重要
      超過24小時暫停中等待手動批准的操作將過期且無法執行。
    3. 如果您需要手動批准,請配置以下設置。
      設定
      說明
      通知方法
      • 電子郵件:向指定的收件人發送電子郵件通知
      • Webhook:向指定的 webhook 頻道發送通知
      主題前綴
      通知主題行開頭出現的前綴
      收件者
      收件人的電子郵件地址
      該欄位僅在您為Notification method選擇電子郵件時顯示。
      Webhook
      接收通知的 webhook 通道
      僅當您為Notification method選擇Webhook時,該欄位才會出現。
      秘訣
      秘訣
      新增 Webhook 連接,請在下拉清單中點選Create channel
  8. 在下一個動作節點中配置證據收集(預設名稱:收集證據)。
    設定
    說明
    名稱
    節點名稱
    證據類型
    要收集的證據類型
    注意
    注意
    Basic information 是必需的。
    端點上的存檔位置資訊
    本機端點上的檔案位置資訊
    重要
    重要
    • 本地存檔沒有加密,並且會保留在端點上直到被刪除。這可能允許任何有檔案系統存取權限的人訪問敏感信息,或揭示正在進行的調查的存在。
    • 證據檔案會佔用硬碟空間,並可能影響端點效能。
    上傳證據到Trend Vision One
    將證據上傳到 Trend Vision One 控制台中的 Forensics 應用程式
    重要
    重要
    劇本需要點數才能將收集到的證據上傳到Trend Vision One控制台中的取證應用程式。在設置劇本上傳證據之前,請先在取證中配置資料防護配額。
    如果未配置資料配額,所有在2023年十月13日之前創建且開啟Upload evidence to Trend Vision One的劇本將無法收集證據、將其本地存儲或上傳到Forensic應用程式。
    秘訣
    秘訣
    在安全劇本應用程式的Execution Results頁面中查找上傳的證據。
  9. 通過配置第二個路徑選擇節點來指定如何通知收件人劇本結果。
    注意
    注意
    您只能選擇一個路徑來接收結果通知。
  10. 對於電子郵件和 webhook 通知,請配置 動作節點(默認名稱:發送結果通知)。
    設定
    說明
    名稱
    節點名稱
    通知方法
    • 電子郵件:向指定的收件人發送電子郵件通知
    • Webhook:向指定的 webhook 頻道發送通知
    主題前綴
    通知主題行開頭出現的前綴
    收件者
    收件人的電子郵件地址
    該欄位僅在您為Notification method選擇電子郵件時顯示。
    Webhook
    接收通知的 webhook 通道
    僅當您為Notification method選擇Webhook時,該欄位才會出現。
    秘訣
    秘訣
    如果您需要新增 Webhook 連接,請在下拉列表中點選Create channel
  11. 對於 ServiceNow 工單通知,請配置兩個動作節點。
    1. 按照步驟 7 配置第一個 動作節點(預設名稱:通知收件人進行手動批准)。
    2. 配置下一個動作節點(預設名稱:發送結果通知)。
      設定
      說明
      名稱
      節點名稱
      通知方法
      動作節點只能發送 工單 通知
      票證設定檔
      要使用的 ServiceNow 工單配置檔
      秘訣
      秘訣
      如果您需要新增票證設定檔,請在下拉清單中點選Create ticket profile
      票證設定檔
      劇本的票證設定
      選擇票證配置檔案會自動載入設定。更改設定會覆蓋劇本的票證配置檔案。
      • Assignment group: 您想要指派工單的 ServiceNow 指派群組
      • Assigned to: 您想指派工單的 ServiceNow 使用者
      • Short description: 在 ServiceNow 中顯示的工單簡短描述
  12. 通過切換啟動控制來啟用劇本。
  13. 點選儲存
    劇本顯示在 安全劇本 應用程式的 Playbooks 標籤上。
相關資訊