Shromažďování balíčku pro šetření ze zařízení

Dokončeno

V rámci procesu šetření nebo odpovědi můžete shromáždit balíček šetření ze zařízení. Shromažďováním balíčku pro šetření můžete identifikovat aktuální stav zařízení a dále porozumět nástrojům a technikám používaným útočníkem.

Stažení balíčku (soubor ZIP) a prozkoumání událostí, ke kterým došlo na zařízení

  • V horní části stránky zařízení vyberte Shromáždit balíček pro šetření z řádku akcí odpovědí.

  • Zadejte do textového pole, proč chcete tuto akci provést. Vyberte Potvrdit.

  • Soubor ZIP se stáhne.

Alternativní způsob:

  • V části Akce odpovědi na stránce zařízení vyberte Centrum akcí.

  • V informačním rámečku Centra akcí vyberte balíček kolekce balíčků, který je k dispozici ke stažení souboru ZIP.

Balíček obsahuje následující složky:

Autoruns

Obsahuje sadu souborů, které představují obsah registru známého vstupního bodu automatického spuštění (ASEP), který pomáhá identifikovat trvalost útočníka v zařízení. Pokud se klíč registru nenajde, soubor bude obsahovat následující zprávu: CHYBA: Systém nemohl najít zadaný klíč nebo hodnotu registru.

Nainstalované programy

Tento. Soubor CSV obsahuje seznam nainstalovaných programů, které vám můžou pomoct zjistit, co je v zařízení aktuálně nainstalované. Další informace najdete v tématu Win32_Product třída.

Síťová připojení

Tato složka obsahuje sadu datových bodů souvisejících s informacemi o připojení, které můžou pomoct identifikovat připojení k podezřelým adresám URL, infrastruktuře příkazů a řízení útočníka (C&C), jakékoli laterální přesuny nebo vzdálená připojení.

  • ActiveNet Připojení ions.txt – zobrazuje statistiky protokolu a aktuální síťová připojení TCP/IP. Poskytuje možnost hledat podezřelé připojení vytvořené procesem.

  • Arp.txt – zobrazí aktuální tabulky mezipaměti protokolu ARP (Address Resolution Protocol) pro všechna rozhraní.

  • Mezipaměť protokolu ARP může odhalit další hostitele v síti, které byly ohroženy nebo podezřelé systémy v síti, které mohly být použity ke spuštění interního útoku.

  • DnsCache.txt – zobrazí obsah mezipaměti překladače klienta DNS, která obsahuje obě položky předem načtené z místního souboru Hosts a všechny nedávno získané záznamy prostředků pro dotazy na názvy přeložené počítačem. To může pomoct při identifikaci podezřelých připojení.

  • IpConfig.txt – zobrazí úplnou konfiguraci protokolu TCP/IP pro všechny adaptéry. Adaptéry můžou představovat fyzická rozhraní, například nainstalované síťové adaptéry nebo logická rozhraní, jako jsou telefonická připojení.

  • FirewallExecutionLog.txt a pfirewall.log

Předběžné načtení souborů

Předběžné načtení souborů systému Windows jsou navrženy tak, aby urychlily proces spuštění aplikace. Dá se použít ke sledování všech souborů, které byly nedávno použity v systému, a najít trasování pro aplikace, které mohly být odstraněny, ale stále lze najít v seznamu souborů předběžného načtení.

  • Prefetch folder – Obsahuje kopii předčítaných souborů z %SystemRoot%\Prefetch. Doporučuje se stáhnout prohlížeč souborů předběžného načtení, aby se zobrazily předem načtené soubory.

  • PrefetchFilesList.txt – obsahuje seznam všech zkopírovaných souborů, které lze použít ke sledování, zda nedošlo k selhání kopírování do předem načtené složky.

Procesy

Obsahuje . Soubor CSV se seznamem spuštěných procesů, které umožňují identifikovat aktuální procesy spuštěné na zařízení. To může být užitečné při identifikaci podezřelého procesu a jeho stavu.

Naplánované úlohy

Obsahuje . Soubor CSV se seznamem naplánovaných úloh, které se dají použít k identifikaci rutin provedených automaticky na zvoleném zařízení, aby vyhledal podezřelý kód, který byl nastaven tak, aby se spouštěl automaticky.

Protokol událostí zabezpečení

Obsahuje protokol událostí zabezpečení, který obsahuje záznamy aktivit přihlášení nebo odhlášení nebo jiných událostí souvisejících se zabezpečením určených zásadami auditu systému. Soubor protokolu událostí můžete otevřít pomocí prohlížeče událostí.

Služby

Obsahuje . Soubor CSV se seznamem služeb a jejich stavů

Relace protokolu SMB (Windows Server Message Block)

Vypíše sdílený přístup k souborům, tiskárnám, sériovým portům a různým komunikacím mezi uzly v síti. To může pomoct s identifikací exfiltrace dat nebo laterálním pohybem. Obsahuje také soubory pro smbInboundSessions a SMBOutboundSession. Pokud neexistují žádné relace (příchozí nebo odchozí), zobrazí se textový soubor s informacemi, že se nenašly žádné relace SMB.

Systémové informace

Obsahuje soubor SystemInformation.txt, který obsahuje systémové informace, jako je verze operačního systému a síťové karty.

Dočasné adresáře

Obsahuje sadu textových souborů se seznamem souborů umístěných v %Temp% pro každého uživatele v systému. To může pomoct sledovat podezřelé soubory, které útočník mohl v systému vynechat. Pokud soubor obsahuje následující zprávu: "Systém nemůže najít zadanou cestu", znamená to, že pro tohoto uživatele neexistuje žádný dočasný adresář a může to být proto, že se uživatel nepřihlašoval k systému.

Uživatelé a skupiny

Poskytuje seznam souborů, které představují skupinu a její členy.

WdSupportLogs

Poskytuje soubor MpCmdRunLog.txt a MPSupportFiles.cab.

CollectionSummaryReport.xls

Tento soubor je souhrnem kolekce balíčků pro šetření, obsahuje seznam datových bodů, příkaz použitý k extrakci dat, stav spuštění a kód chyby v případě selhání. Pomocí této sestavy můžete sledovat, jestli balíček obsahuje všechna očekávaná data, a zjistit, jestli nedošlo k nějakým chybám.