Recopilación del paquete de investigación desde los dispositivos
Como parte del proceso de investigación o respuesta, puede recopilar un paquete de investigación desde un dispositivo. Al recopilar el paquete de investigación, puede identificar el estado actual del dispositivo y comprender mejor las herramientas y técnicas utilizadas por el atacante.
Para descargar el paquete (archivo ZIP) e investigar los eventos que se produjeron en un dispositivo:
Seleccione Recopilar paquete de investigación en la fila de acciones de respuesta en la parte superior de la página del dispositivo.
En el cuadro de texto, especifique el motivo por el que quiere realizar esta acción. Seleccione Confirmar.
Se descargará el archivo ZIP.
Manera alternativa:
Seleccione Centro de actividades en la sección de acciones de respuesta de la página del dispositivo.
En el control flotante del centro de actividades, seleccione Paquete de recopilación de paquetes disponible para descargar el archivo ZIP.
El paquete contiene las carpetas siguientes:
Autoruns
Contiene un conjunto de archivos que representan el contenido del registro de un punto de entrada de inicio automático (ASEP) conocido para ayudar a identificar el persistencia del atacante en el dispositivo. Si no se encuentra la clave del registro, el archivo contendrá el siguiente mensaje: "ERROR: el sistema no encontró el valor o la clave del Registro especificados".
Programas instalados
El archivo .csv contiene la lista de programas instalados que pueden ayudar a identificar lo que está instalado actualmente en el dispositivo. Para obtener más información, vea Clase Win32_Product.
Conexiones de red
Esta carpeta contiene un conjunto de puntos de datos relacionados con la información de conectividad, que puede ayudar a identificar la conectividad con direcciones URL sospechosas, la infraestructura de control y comando del atacante (C&C), cualquier movimiento lateral o conexiones remotas.
ActiveNetConnections.txt: muestra las estadísticas de protocolo y las conexiones de red TCP/IP actuales. Proporciona la capacidad de buscar conectividad sospechosa realizada por un proceso.
Arp.txt: muestra las tablas de caché del protocolo de resolución de direcciones (ARP) actual para todas las interfaces.
La caché ARP puede revelar otros hosts de una red que se han puesto en peligro o sistemas sospechosos de la red que podrían haberse usado para ejecutar un ataque interno.
DnsCache.txt: muestra el contenido de la memoria caché de la resolución del cliente DNS, que incluye las dos entradas cargadas previamente desde el archivo de hosts local y los registros de recursos que se han obtenido recientemente para las consultas de nombre resueltas por el equipo. Esto puede ayudar a identificar conexiones sospechosas.
IpConfig.txt: muestra la configuración de TCP/IP completa de todos los adaptadores. Los adaptadores pueden representar interfaces físicas, como adaptadores de red instalados o interfaces lógicas como conexiones de acceso telefónico.
FirewallExecutionLog.txt y pfirewall.log
Archivos de captura previa
Los archivos de captura previa de Windows están diseñados para acelerar el proceso de inicio de la aplicación. Se pueden usar para realizar el seguimiento de todos los archivos usados recientemente en el sistema y buscar los seguimientos de las aplicaciones que podrían haberse eliminado, pero que todavía se pueden encontrar en la lista de archivos de captura previa.
Carpeta de captura previa: contiene una copia de los archivos de captura previa de %SystemRoot%\Prefetch. Se recomienda descargar un visor de archivos de captura previa para ver dichos archivos.
PrefetchFilesList.txt: contiene la lista de todos los archivos copiados que se pueden utilizar para realizar el seguimiento si se produjeron errores de copia en la carpeta de captura previa.
Procesos
Contiene un archivo .csv en el que se enumeran los procesos en ejecución, que proporcionan la capacidad de identificar los procesos actuales que se ejecutan en el dispositivo. Esto puede ser útil cuando se identifica un proceso sospechoso y su estado.
Tareas programadas
Contiene un archivo .csv en el que se enumeran las tareas programadas, que se pueden usar para identificar las rutinas que se realizan automáticamente en un dispositivo seleccionado para buscar código sospechoso que se configuró para ejecutarse automáticamente.
Registro de eventos de seguridad
Contiene el registro de eventos de seguridad, que incluye registros de la actividad de inicio de sesión o cierre de sesión u otros eventos relacionados con la seguridad especificados por la directiva de auditoría del sistema. Puede abrir el archivo de registro de eventos mediante el Visor de eventos.
Servicios
Contiene un archivo .csv que muestra los servicios y sus estados.
Sesiones de Bloque de mensajes del servidor (SMB) de Windows
Muestra el acceso compartido a archivos, impresoras, puertos serie y comunicaciones varias entre los nodos de una red. Esto puede ayudar a identificar la filtración de datos o el movimiento lateral. También contiene archivos para SMBInboundSessions y SMBOutboundSession. Si no hay ninguna sesión (entrante o saliente), obtendrá un archivo de texto que indica que no se ha encontrado ninguna sesión de SMB.
Información del sistema
Contiene un archivo SystemInformation.txt que muestra información del sistema, como la versión del sistema operativo y las tarjetas de red.
Directorios temporales
Contiene un conjunto de archivos de texto que enumera los archivos que se encuentran en %Temp% para todos los usuarios del sistema. Esto puede ayudar a realizar un seguimiento de los archivos sospechosos que un atacante puede haber colocado en el sistema. Si el archivo contiene el siguiente mensaje "El sistema no puede encontrar la ruta de acceso especificada", significa que no hay ningún directorio temporal para este usuario y podría deberse a que el usuario no inició sesión en el sistema.
Usuarios y grupos
Proporciona una lista de archivos que representan un grupo y sus miembros.
WdSupportLogs
Proporciona los archivos MpCmdRunLog.txt e MPSupportFiles.cab.
CollectionSummaryReport.xls
Este archivo es un resumen de la colección de paquetes de investigación, contiene la lista de puntos de datos, el comando que se usa para extraer los datos, el estado de ejecución y el código de error si se produce un error. Puede usar este informe para hacer un seguimiento para ver si el paquete incluye todos los datos esperados e identificar si se han producido errores.