檢視次數:

使用 Trend Micro 事件回應工具包手動從 macOS 端點收集證據。

重要
重要
證據檔案使用與 SANS Institute 和 CyLR 工具相同的資料夾結構。

步驟

  1. 選擇 Agentic SIEM & XDRForensicsPackages
  2. 點選Collect Evidence
  3. 為手動收集配置以下設定。
    設定
    說明
    證據類型
    收集的證據類型
    對於 macOS 端點,您需要以下資訊:
    端點上的存檔位置資訊
    證據包在本地端點上的位置資訊。
    重要
    重要
    • 本地檔案不具加密,並在端點上保留,直到被刪除。這可能允許任何有權訪問檔案系統的人訪問敏感資訊或揭露正在進行的調查的存在。
    • 證據檔案會佔用硬碟空間,這可能會影響端點性能。
  4. 點擊 download_icon=5c7476c2-cf15-4572-b7cd-5fc67a57d22f.png 下載 趨勢科技 事件響應工具包。
  5. 在您想要收集證據的端點上部署工具包。
  6. 執行工具包。
    1. 提取 .zip 壓縮檔案的內容。
    2. 以 root 使用者身份執行 TMIRT.sh
  7. 如果您沒有執行腳本的權限,請執行以下命令。
    1. 要從 .tgz 檔案中提取工具包,請執行 xattr -c ./TMIRT-macos.tgz,然後執行 ./tar -xf
    2. 要開始收集證據,請執行./TMIRT-bin evidence --config_file ./config.json
  8. 將工具包生成的證據包上傳至 Forensics。您可以一次上傳多個文件。每個文件的大小不得超過 4 GB。
Forensics 開始處理上傳的證據包。
重要
重要
  • 處理證據包可能需要幾分鐘的時間。
  • 請勿關閉瀏覽器標籤頁或重新整理螢幕,直到過程完成。