ビュー:

脅威の調査とインシデント対応をサポートするエビデンスを収集します。

このタスクは、次のサービスでサポートされています。
  • Trend Vision One
    • Windowsエージェント
After creating a workspace and adding endpoints to the workspace in Forensics, you can collect detailed evidence from potentially compromised endpoints for internal investigations into critical incidents that occurred on your network and may require further attention.
重要
重要
  • エビデンス収集には、対象エンドポイントでXDR Endpoint Sensorを有効にする必要があります。
  • エビデンスアーカイブは、SANS InstitutesおよびCyLRツールと同じフォルダ構造を使用します。
このタスクは収集されたすべてのエビデンスをワークスペースに自動的に追加します。

手順

  1. Trend Vision One コンソールで、 Agentic SIEM & XDRForensicsに移動します。
  2. トリアージしたいエンドポイントを持つワークスペースの名前をクリックします。
  3. 目的のエンドポイントからエビデンスを収集します。
    1. 1つ以上のエンドポイントを選択します。
    2. [エビデンスを収集]をクリックします。
    3. 収集したいエビデンスの種類を指定してください。
    4. 対応またはイベントのために[説明]を指定してください。
    5. [作成] をクリックします。
      Trend Vision One によってタスクが作成され、現在のタスクステータスが [Response Management]に表示されます。
  4. タスクのステータスを監視します。
    1. [Workflow and Automation]Response Management に移動します。
    2. [検索]を使用するか、[処理]から[エビデンスを収集]を選択してタスクを見つけてください。
    3. タスクのステータスを表示します。
      • [In progress] (in_progress=GUID-A55897DB-3DEA-4F5C-B7F9-70B3D7FB9EDE=1=ja-jp=Low.jpg): Trend Vision Oneがコマンドを送信し、対応を待っています。
      • [処理待ち] (queued=GUID-65C0DF81-E50D-4D51-9602-2E9B7A0E5F14=1=ja-jp=Low.jpg): エージェントがオフラインのため、管理サーバはコマンドをキューに入れました。
      • [成功] (successful=GUID-1E31AD86-DE2E-48B5-85F7-7C78A3E8BB11=1=ja-jp=Low.jpg): コマンドは正常に実行されました。
      • [失敗] (error=5cc21722-7ceb-480c-b9c2-a47d420cf1cc.jpg): 管理サーバへのコマンド送信中にエラーまたはタイムアウトが発生しました。エージェントが24時間以上オフラインであるか、コマンドの実行がタイムアウトしました。