Linux 端點的手動證據收集

步驟

1. 選擇 XDR 安全威脅調查 → Forensics → Packages。
2. 點選Collect Evidence。
3. 為手動收集配置以下設定。

   設定	說明
   證據類型	收集的證據類型。 對於 Linux 端點，您需要以下資訊： 基本資訊 處理資訊 服務資訊 網路資訊 帳號資訊 使用者活動
   端點上的存檔位置資訊	證據包在本地端點上的位置資訊。 重要 本地檔案不具加密，並在端點上保留，直到被刪除。這可能允許任何有權訪問檔案系統的人訪問敏感資訊或揭露正在進行的調查的存在。 證據檔案會佔用硬碟空間，這可能會影響端點性能。

4. 點擊 下載 趨勢科技 事件響應工具包。
5. 將工具包部署到您想要收集證據的端點上。
6. 執行工具包。
   1. 提取 .zip 壓縮檔的內容。
   2. 以 root 使用者身份執行 TMIRT.sh。
7. 如果您沒有執行腳本的權限，請執行以下命令。
   1. 識別端點作業系統 (OS) 架構，請執行 uname -m 命令。
      • 對於 AArch64 或 ARM64 架構，請使用 TMIRT-arm64.tgz 工具包。
      • 對於 i386 或 i686 架構，請使用 TMIRT-x86.tgz 工具包。
      • 對於 AMD64 或 x86_64 架構，請使用 TMIRT-x64.tgz 工具包。
   2. 要從 .tgz 檔案中提取工具包，請根據您的作業系統架構執行 ./tar -xf 命令，並使用正確版本的趨勢科技事件響應工具包。
   3. 要開始收集證據，請執行 ./TMIRT evidence --config_file ./config.json。
8. 將工具包生成的證據包上傳至 Forensics。您可以一次上傳多個文件。每個文件的大小不得超過 4 GB。