ビュー:

Trend Micro Incident Response Toolkit を使用して、Linux エンドポイントから手動でエビデンスを収集します。

重要
重要
エビデンスアーカイブは、SANS InstituteおよびCyLRツールと同じフォルダ構造を使用します。

手順

  1. XDR Threat InvestigationForensics[Packages]を選択します。
  2. [エビデンスを収集] をクリックします。
  3. 手動収集のために次の設定を構成します。
    設定
    説明
    エビデンスの種類
    収集するエビデンスの種類
    Linuxエンドポイントには、次の情報が必要です:
    エンドポイント上のアーカイブの場所
    ローカルエンドポイント上のエビデンスパッケージの場所。
    重要
    重要
    • ローカルアーカイブには暗号化がなく、削除されるまでエンドポイントに残ります。これにより、ファイルシステムにアクセスできる誰もが機密情報にアクセスしたり、進行中の調査の存在を明らかにしたりする可能性があります。
    • エビデンスアーカイブはハードドライブのスペースを占有し、エンドポイントのパフォーマンスに影響を与える可能性があります。
  4. download_icon=5c7476c2-cf15-4572-b7cd-5fc67a57d22f.pngをクリックしてトレンドマイクロインシデント対応ツールキットをダウンロードしてください。
  5. エビデンスを収集するエンドポイントにツールキットを展開します。
  6. ツールキットを実行します。
    1. .zipアーカイブの内容を抽出します。
    2. rootユーザーとしてTMIRT.shを実行します。
  7. スクリプトを実行する権限がない場合は、次のコマンドを実行してください。
    1. uname -m コマンドを実行してエンドポイントのOSアーキテクチャを特定します。
      • AArch64またはARM64アーキテクチャの場合、TMIRT-arm64.tgzツールキットを使用してください。
      • i386またはi686アーキテクチャの場合、TMIRT-x86.tgzツールキットを使用してください。
      • AMD64またはx86_64アーキテクチャの場合、TMIRT-x64.tgzツールキットを使用してください。
    2. .tgzファイルからツールキットを抽出するには、OSアーキテクチャに基づいて正しいバージョンのトレンドマイクロインシデント対応ツールキットを使用して./tar -xfコマンドを実行してください。
    3. エビデンスの収集を開始するには、./TMIRT エビデンス --config_file ./config.json を実行してください。
  8. ツールキットが生成するエビデンスパッケージをForensicsにアップロードしてください。複数のファイルを一度にアップロードできます。各ファイルのサイズは4 GBを超えてはいけません。
Forensicsがアップロードされたエビデンスパッケージの処理を開始します。
重要
重要
  • エビデンスパッケージの処理には数分かかる場合があります。
  • ブラウザのタブを閉じたり、プロセスが終了するまで画面を更新したりしないでください。