檢視次數:

使用趨勢科技事件回應工具包或執行劇本,手動從 Windows 端點收集證據,以支援安全威脅調查和事件回應。

重要
重要
  • 證據檔案使用與 SANS Institute 和 CyLR 工具相同的資料夾結構。
  • 您可以使用事件響應證據收集劇本自動從 Windows 端點收集證據。此劇本目前僅支持 Windows 端點。

步驟

  1. Trend Vision One 主控台中,前往 XDR 安全威脅調查ForensicsPackages
  2. 點選Collect Evidence
  3. 為手動收集配置以下設定。
    設定
    說明
    證據類型
    收集的證據類型
    注意
    注意
    端點上的存檔位置資訊
    證據包在本地端點上的位置資訊。
    重要
    重要
    • 本地存檔沒有加密,並且會保留在端點上直到被刪除。這可能會允許任何有檔案系統存取權限的人訪問敏感信息,或揭示正在進行的調查。
    • 證據檔案會佔用硬碟空間,並可能影響端點效能。
  4. 點選Download TMIRT (download_icon=5c7476c2-cf15-4572-b7cd-5fc67a57d22f.png) 以下載趨勢科技事件回應工具包。
  5. 將工具包部署到您想要收集證據的端點上。
  6. 執行工具包。
    1. 提取壓縮檔案的內容。
    2. 以管理員身份執行 TMIRT.ps1
      重要
      重要
      如果您無法執行 TMIRT.ps1 命令,以下命令將根據您的作業系統版本和架構直接下載並執行工具包: 
      .\TMIRT.exe evidence --config_file .\config.json
  7. 將工具包生成的證據包上傳到Forensics應用程式。
    秘訣
    秘訣
    您可以一次上傳多個檔案。每個檔案不得超過 4 GB。
Forensics 應用程式開始處理上傳的證據包。
重要
重要
  • 處理一個證據包可能需要幾分鐘。
  • 請勿關閉瀏覽器標籤頁或重新整理螢幕,直到過程完成。