Erfassen von Untersuchungspaketen von Geräten

  • 6 Minuten

Im Rahmen des Untersuchungs- oder Antwortvorgangs können Sie ein Untersuchungspaket von einem Gerät erfassen. Durch Erfassen des Untersuchungspakets können Sie den aktuellen Status des Geräts ermitteln und die vom Angreifer verwendeten Tools und Techniken besser verstehen.

Zum Herunterladen des Pakets (ZIP-Datei) und Untersuchen der Ereignisse, die auf einem Gerät aufgetreten sind, gehen Sie folgendermaßen vor:

  • Klicken Sie oben auf der Geräteseite in der Zeile der Antwortaktionen auf Untersuchungspaket erfassen.

  • Geben Sie im Textfeld an, warum Sie diese Aktion ausführen möchten. Klicken Sie auf Bestätigen.

  • Die ZIP-Datei wird heruntergeladen.

Alternative Methode:

  • Klicken Sie auf der Geräteseite im Abschnitt der Antwortaktionen auf Action center (Info-Center).

  • Wählen Sie im Info-Center die Option „Paketsammlung: Paket verfügbar“ aus, um die ZIP-Datei herunterzuladen.

Das Paket enthält die folgenden Ordner:

Autoruns

Enthält einen Satz von Dateien, die jeweils den Inhalt der Registrierung eines bekannten ASEP (Auto Start Entry Point, Einstiegspunkt für automatisches Starten) darstellen, um die Persistenz des Angreifers auf dem Gerät zu ermitteln. Wenn der Registrierungsschlüssel nicht gefunden wird, enthält die Datei die folgende Meldung: „ERROR: The system was unable to find the specified registry key or value.“ (FEHLER: Der angegebene Registrierungsschlüssel bzw. Wert wurde nicht gefunden.)

Installierte Programme

Diese CSV-Datei enthält die Liste der installierten Programme, mit deren Hilfe die derzeit auf dem Gerät installierten Komponenten ermittelt werden können. Weitere Informationen finden Sie unter der Klasse „Win32_Product“.

Netzwerkverbindungen

Dieser Ordner enthält eine Reihe von Datenpunkten im Zusammenhang mit den Konnektivitätsinformationen, die Ihnen helfen können, die Konnektivität mit verdächtigen URLs, die Befehls- und Steuerungsinfrastruktur (C&C) des Angreifers, jegliche Lateral Movement-Vorgänge oder Remoteverbindungen zu erkennen.

  • ActiveNetConnections.txt: Zeigt Protokollstatistiken und aktuelle TCP/IP-Netzwerkverbindungen an. Diese Datei bietet die Möglichkeit, nach verdächtigen Verbindungen zu suchen, die von einem Prozess hergestellt wurden.

  • Arp.txt: Zeigt die aktuellen ARP-Cachetabellen (Address Resolution Protocol) für alle Schnittstellen an.

  • Der ARP-Cache kann andere Hosts in einem Netzwerk offenlegen, die möglicherweise gefährdet sind, oder verdächtige Systeme im Netzwerk, die möglicherweise zum Ausführen eines internen Angriffs verwendet wurden.

  • DnsCache.txt: Zeigt den Inhalt des DNS-Clientauflösungscache an. Dieser enthält sowohl Einträge, die vorab aus der lokalen Hostdatei geladen wurden, als auch alle zuletzt erhaltenen Ressourceneinträge für Namensabfragen, die vom Computer aufgelöst wurden. Dies kann bei der Identifizierung verdächtiger Verbindungen helfen.

  • IpConfig.txt: Zeigt die vollständige TCP/IP-Konfiguration für alle Adapter an. Adapter können für physikalische Schnittstellen, z. B. installierte Netzwerkadapter, oder logische Schnittstellen stehen, z. B. DFÜ-Verbindungen.

  • FirewallExecutionLog.txt und pfirewall.log

Vorabrufdateien

Windows-Vorabrufdateien sind dazu gedacht, den Startvorgang von Anwendungen zu beschleunigen. Hiermit können alle zuletzt im System verwendeten Dateien verfolgt und Ablaufverfolgungen für Anwendungen gefunden werden, die möglicherweise gelöscht wurden, aber noch in der Liste der Vorabdateien zu finden sind.

  • Vorabrufordner: Enthält eine Kopie der Vorabrufdateien aus „%Systemroot%\Prefetch“. Es wird empfohlen, einen Vorabrufdatei-Viewer herunterzuladen, um die Vorabrufdateien anzuzeigen.

  • PrefetchFilesList.txt: Enthält die Liste aller kopierten Dateien, mit der nachverfolgt werden kann, ob Fehler beim Kopieren in den Vorabrufordner aufgetreten sind.

Prozesse

Enthält eine CSV-Datei mit den laufenden Prozessen, die die Möglichkeit bietet, aktuell auf dem Gerät ausgeführte Prozesse zu identifizieren. Dies kann beim Identifizieren eines verdächtigen Prozesses und seines Status hilfreich sein.

Geplante Aufgaben

Enthält eine CSV-Datei mit den geplanten Aufgaben. Diese kann zum Identifizieren von Routinen verwendet werden, die auf einem ausgewählten Gerät automatisch ausgeführt werden, um nach verdächtigem Code zu suchen, der für die automatische Ausführung festgelegt wurde.

Sicherheitsereignisprotokoll

Enthält das Sicherheitsereignisprotokoll, in dem Datensätze für Anmelde- oder Abmeldeaktivitäten oder andere sicherheitsrelevante Ereignisse enthalten sind, die in der Überwachungsrichtlinie des Systems angegeben sind. Sie können die Ereignisprotokolldatei in der Ereignisanzeige öffnen.

Dienste

Enthält eine CSV-Datei, in der Dienste und deren Status aufgelistet sind.

Windows SMB-Sitzungen (Server Message Block)

Listet den gemeinsamen Zugriff auf Dateien, Drucker, serielle Ports und verschiedene Kommunikationen zwischen Knoten in einem Netzwerk auf. Hiermit können Datenexfiltration oder Lateral Movement-Vorgänge identifiziert werden. Enthalten sind auch Dateien für „SMBInboundSessions“ and „SMBOutboundSession“. Wenn keine Sitzungen (eingehend oder ausgehend) vorhanden sind, erhalten Sie eine Textdatei, in der Sie darüber informiert werden, dass keine SMB-Sitzungen gefunden wurden.

Systeminformationen

Enthält eine Datei vom Typ „SystemInformation.txt“, in der Systeminformationen wie die Betriebssystemversion und Netzwerkkarten aufgelistet sind.

Temporäre Verzeichnisse

Enthalten eine Reihe von Textdateien, in denen die in „%Temp%“ vorhanden Dateien für jeden Benutzer im System aufgelistet sind. Hiermit können verdächtige Dateien verfolgt werden, die ein Angreifer möglicherweise im System abgelegt hat. Wenn die Datei die Meldung „ERROR: The system was unable to find the specified registry key or value“ (Das System konnte den angegebenen Pfad nicht finden) enthält, ist für diesen Benutzer kein temporäres Verzeichnis vorhanden. Der Grund dafür kann sein, dass sich der Benutzer nicht beim System angemeldet hat.

Benutzer und Gruppen

Stellt eine Liste von Dateien bereit, die jeweils eine Gruppe und ihre Mitglieder darstellen.

WdSupportLogs

Stellt „MpCmdRunLog.txt“ und „MPSupportFiles.cab“ bereit.

CollectionSummaryReport.xls

Bei dieser Datei handelt es sich um eine Zusammenfassung der Untersuchungspaketsammlung, die die Liste der Datenpunkte, den zum Extrahieren der Daten verwendeten Befehl, den Ausführungsstatus und im Falle eines Fehlers den Fehlercode enthält. Mit diesem Bericht können Sie nachverfolgen, ob das Paket alle erwarteten Daten enthält, und feststellen, ob Fehler aufgetreten sind.