ビュー:

Trend Micro Incident Response Toolkit を使用して、macOS エンドポイントから手動でエビデンスを収集します。

重要
重要
エビデンスアーカイブは、SANS InstituteおよびCyLRツールと同じフォルダ構造を使用します。

手順

  1. Agentic SIEM & XDRForensics[Packages]を選択します。
  2. [エビデンスを収集] をクリックします。
  3. 手動収集のために次の設定を構成します。
    設定
    説明
    エビデンスの種類
    収集するエビデンスの種類
    macOSエンドポイントには、次の情報が必要です。
    エンドポイント上のアーカイブの場所
    ローカルエンドポイント上のエビデンスパッケージの場所。
    重要
    重要
    • ローカルアーカイブには暗号化がなく、削除されるまでエンドポイントに残ります。これにより、ファイルシステムにアクセスできる誰もが機密情報にアクセスしたり、進行中の調査の存在を明らかにしたりする可能性があります。
    • エビデンスアーカイブはハードドライブのスペースを占有し、エンドポイントのパフォーマンスに影響を与える可能性があります。
  4. download_icon=5c7476c2-cf15-4572-b7cd-5fc67a57d22f.pngをクリックしてトレンドマイクロインシデント対応ツールキットをダウンロードしてください。
  5. エビデンスを収集するエンドポイントにツールキットを展開します。
  6. ツールキットを実行してください。
    1. .zipアーカイブの内容を抽出します。
    2. TMIRT.shをrootユーザとして実行します。
  7. スクリプトを実行する権限がない場合は、次のコマンドを実行してください。
    1. ツールキットを.tgzファイルから抽出するには、xattr -c ./TMIRT-macos.tgzを実行し、その後./tar -xfを実行してください。
    2. エビデンスの収集を開始するには、./TMIRT-bin evidence --config_file ./config.jsonを実行してください。
  8. ツールキットが生成するエビデンスパッケージをForensicsにアップロードしてください。複数のファイルを一度にアップロードできます。各ファイルのサイズは4 GBを超えてはいけません。
Forensicsがアップロードされたエビデンスパッケージの処理を開始します。
重要
重要
  • エビデンスパッケージの処理には数分かかる場合があります。
  • ブラウザのタブを閉じたり、プロセスが終了するまで画面を更新したりしないでください。