ビュー:

脅威調査およびインシデント対応をサポートするために、トレンドマイクロ Incident Response Toolkitを使用するか、Playbookを実行してWindowsエンドポイントから手動でエビデンスを収集します。

重要
重要
  • エビデンスアーカイブは、SANS InstituteおよびCyLRツールと同じフォルダ構造を使用します。
  • Windows エンドポイントから Incident Response エビデンス Collection Playbook を使用して自動的にエビデンスを収集できます。このPlaybookは現在、Windowsエンドポイントのみをサポートしています。

手順

  1. XDR Threat InvestigationForensics[Packages]を選択します。
  2. [エビデンスを収集] をクリックします。
  3. 手動収集のために次の設定を構成します。
    設定
    説明
    エビデンスの種類
    収集するエビデンスの種類
    Windowsエンドポイントには、基本情報が必要です。
    エンドポイント上のアーカイブの場所
    ローカルエンドポイント上のエビデンスパッケージの場所。
    重要
    重要
    • ローカルアーカイブには暗号化がなく、削除されるまでエンドポイントに残ります。これにより、ファイルシステムにアクセスできる誰もが機密情報にアクセスしたり、進行中の調査の存在を明らかにしたりする可能性があります。
    • エビデンスアーカイブはハードドライブのスペースを占有し、エンドポイントのパフォーマンスに影響を与える可能性があります。
  4. download_icon=5c7476c2-cf15-4572-b7cd-5fc67a57d22f.pngをクリックしてトレンドマイクロインシデント対応ツールキットをダウンロードしてください。
  5. エビデンスを収集するエンドポイントにツールキットを展開します。
  6. ツールキットを実行します。
    1. .zipアーカイブの内容を抽出します。
    2. 管理者としてTMIRT.ps1を実行します。
      TMIRT.ps1コマンドを実行できない場合、以下のコマンドはOSのバージョンとアーキテクチャに基づいてツールキットを直接ダウンロードして実行します: 
      .\TMIRT.exe evidence --config_file .\config.json
  7. ツールキットが生成するエビデンスパッケージをForensicsにアップロードしてください。複数のファイルを一度にアップロードできます。各ファイルのサイズは4 GBを超えてはいけません。
Forensicsがアップロードされたエビデンスパッケージの処理を開始します。
重要
重要
  • エビデンスパッケージの処理には数分かかる場合があります。
  • ブラウザのタブを閉じたり、プロセスが終了するまで画面を更新したりしないでください。