Linux 端點的手動證據收集

步驟

1. 在 Trend Vision One 主控台中，前往 XDR 安全威脅調查 → Forensics → Packages。
2. 點選Collect Evidence。
3. 為手動收集配置以下設定。

   設定	說明
   證據類型	收集的證據類型。 注意 對於 Linux 端點，需要以下資訊： 基本資訊 處理資訊 服務資訊 網路資訊 帳號資訊 使用者活動
   端點上的存檔位置資訊	證據包在本地端點上的位置資訊。 重要 本地存檔沒有加密，並且會保留在端點上直到被刪除。這可能會允許任何有檔案系統存取權限的人訪問敏感信息，或揭示正在進行的調查。 證據檔案會佔用硬碟空間，並可能影響端點效能。

4. 點選Download TMIRT () 以下載趨勢科技事件回應工具包。
5. 將工具包部署到您想要收集證據的端點上。
6. 執行工具包。
   1. 提取壓縮檔案的內容。
   2. 以 root 使用者身份執行 TMIRT.sh。
7. （可選）如果您沒有足夠的權限執行腳本，請執行以下命令。
   1. 透過執行 uname -m 命令來發現端點作業系統架構。

      重要 對於 AArch64 或 ARM64 架構，請使用 TMIRT-arm64.tgz 工具包。 對於 i386 或 i686 架構，請使用 TMIRT-x86.tgz 工具包。 對於 AMD64 或 x86_64 架構，請使用 TMIRT-x64.tgz 工具包。

   2. 要從 TGZ 檔案中提取工具包，請根據您作業系統的架構，執行 ./tar -xf 命令並使用正確的 TMIRT 版本。
   3. 要開始收集證據，請執行 ./TMIRT evidence --config_file ./config.json。
8. 將工具包生成的證據包上傳到Forensics應用程式。

   秘訣 您可以一次上傳多個檔案。每個檔案不得超過 4 GB。