檢視次數:

收集證據以支援安全威脅調查和事件回應。

此任務由以下服務支援:
  • Trend Vision One
    • Windows 代理程式
Forensics 應用程式中 建立工作區並將端點新增到工作區 後,您可以從可能受損的端點收集詳細證據,以便對發生在您網路上的重大事件進行內部調查,這些事件可能需要進一步關注。
重要
重要
  • 蒐集證據需要您在目標端點上啟用XDR endpoint sensor
  • 證據檔案使用與 SANS Institutes 和 CyLR 工具相同的資料夾結構。
此任務會自動將所有收集的證據添加到工作區。

步驟

  1. Trend Vision One 主控台中,前往 XDR Threat InvestigationForensics
  2. 點選具有您想要分類的端點的工作區名稱。
  3. 從所需的端點收集證據。
    1. 選擇一個或多個端點。
    2. 點選Collect Evidence
    3. 指定您要收集的證據類型
    4. 為回應或事件指定Description
    5. 點選Create
      Trend Vision One 建立任務並在 Response Management 中顯示當前任務狀態。
  4. 監控任務狀態。
    1. 移至「Workflow and Automation」Response Management
    2. 使用Search定位任務或從處理行動中選擇Collect Evidence
    3. 查看任務狀態。
      • 「進行中」 (in_progress=GUID-A55897DB-3DEA-4F5C-B7F9-70B3D7FB9EDE=1=zh-tw=Low.jpg): Trend Vision One 已發送指令並正在等待回應。
      • 「已排在佇列中」 (queued=GUID-65C0DF81-E50D-4D51-9602-2E9B7A0E5F14=1=zh-tw=Low.jpg): 管理伺服器已將指令排入佇列,因為代理程式處於離線狀態。
      • 「成功」 (successful=GUID-1E31AD86-DE2E-48B5-85F7-7C78A3E8BB11=1=zh-tw=Low.jpg): 命令已成功執行。
      • 「未成功」 (error=5cc21722-7ceb-480c-b9c2-a47d420cf1cc.jpg): 嘗試向管理伺服器發送命令時發生錯誤或超時,代理程式已離線超過24小時,或命令執行超時。