檢視次數:

使用趨勢科技事件響應工具包手動從Windows端點收集證據,或通過執行劇本來支持安全威脅調查和事件響應。

重要
重要
  • 證據檔案使用與 SANS Institute 和 CyLR 工具相同的資料夾結構。
  • 您可以使用事件響應證據收集劇本自動從 Windows 端點收集證據。此劇本目前僅支持 Windows 端點。

步驟

  1. 選擇Agentic SIEM & XDRForensics「Evidence Archive」
  2. 點選Collect Evidence
  3. 為手動收集配置以下設定。
    設定
    說明
    證據類型
    要收集的證據類型
    端點上的存檔位置資訊
    證據包在本地端點上的位置資訊。
    重要
    重要
    • 本地檔案不具加密,並在端點上保留,直到被刪除。這可能允許任何有權訪問檔案系統的人訪問敏感資訊或揭露正在進行的調查的存在。
    • 證據檔案會佔用硬碟空間,這可能會影響端點性能。
  4. 點擊 download_icon=5c7476c2-cf15-4572-b7cd-5fc67a57d22f.png 下載 趨勢科技 事件響應工具包。
  5. 在您想要收集證據的端點上部署工具包。
  6. 執行工具包。
    1. 提取 .zip 壓縮檔的內容。
    2. 以管理員身份執行 TMIRT.ps1
      如果您無法執行 TMIRT.ps1 命令,以下命令將根據您的作業系統 (OS) 版本和架構直接下載並執行工具包: 
      .\TMIRT.exe evidence --config_file .\config.json
  7. 將工具包生成的證據包上傳至 Forensics。您可以一次上傳多個文件。每個文件的大小不得超過 4 GB。
Forensics 開始處理上傳的證據包。
重要
重要
  • 處理證據包可能需要幾分鐘的時間。
  • 請勿關閉瀏覽器標籤頁或重新整理螢幕,直到過程完成。