デバイスから調査パッケージを収集する

  • 6 分

調査または応答プロセスの一環として、デバイスから調査パッケージを収集できます。 調査パッケージを収集することで、デバイスの現在の状態を特定し、攻撃者が使用するツールと手法をさらに理解できます。

パッケージ (Zip ファイル) をダウンロードし、デバイスで発生したイベントを調査するには

  • デバイス ページの上部にある応答アクションの行から [ 調査パッケージの収集 ] を選択します。

  • このアクションを実行する理由をテキスト ボックスに指定します。 確認 を選択します。

  • zip ファイルがダウンロードされます

別の方法:

  • デバイス ページの応答アクション セクションから [ アクション センター ] を選択します。

  • アクション センターのポップアップで、[パッケージ コレクション パッケージを使用して zip ファイルをダウンロードできます] を選択します。

パッケージには、次のフォルダーが含まれています。

自動実行

既知の自動開始エントリ ポイント (ASEP) のレジストリの内容を表す一連のファイルが含まれています。これは、デバイス上の攻撃者の永続化を識別するのに役立ちます。 レジストリ キーが見つからない場合、ファイルには次のメッセージが含まれます:"ERROR: The system was unable to find the specified registry key or value." (エラー: システムが指定されたレジストリ キーまたは値を見つけることができませんでした。)

インストールされているプログラム

この .CSV ファイルには、デバイスに現在インストールされている内容を識別するのに役立つインストールされているプログラムの一覧が含まれています。 詳細については、「Win32_Product クラス」を参照してください。

ネットワーク接続

このフォルダーには、接続情報に関連する一連のデータ ポイントが含まれています。これは、疑わしい URL、攻撃者のコマンドアンドコントロール (C&C) インフラストラクチャ、任意の横移動、またはリモート接続への接続を識別するのに役立ちます。

  • ActiveNetConnections.txt – プロトコルの統計情報と現在の TCP/IP ネットワーク接続を表示します。 プロセスによって行われた疑わしい接続を検索する機能を提供します。

  • Arp.txt – すべてのインターフェイスの現在のアドレス解決プロトコル (ARP) キャッシュ テーブルを表示します。

  • ARP キャッシュを使用すると、ネットワーク上の他のホストが侵害されたり、内部攻撃の実行に使用された可能性のあるネットワーク上の疑わしいシステムが表示されたりする可能性があります。

  • DnsCache.txt - DNS クライアント リゾルバー キャッシュの内容を表示します。これには、ローカル Hosts ファイルからプリロードされたエントリと、コンピューターによって解決された名前クエリの最近取得したリソース レコードの両方が含まれます。 これは、疑わしい接続を識別するのに役立ちます。

  • IpConfig.txt – すべてのアダプターの完全な TCP/IP 構成を表示します。 アダプターは、インストールされているネットワーク アダプターなどの物理インターフェイス、またはダイヤルアップ接続などの論理インターフェイスを表すことができます。

  • FirewallExecutionLog.txt とpfirewall.log

プリフェッチ ファイル

Windows プリフェッチ ファイルは、アプリケーションの起動プロセスを高速化するように設計されています。 これを使用すると、システムで最近使用されたすべてのファイルを追跡し、削除された可能性があるがプリフェッチ ファイルの一覧で見つかる可能性があるアプリケーションのトレースを見つけることができます。

  • プリフェッチ フォルダー – \Prefetch からプリフェッチ ファイル %SystemRoot%コピーが含まれています。 プリフェッチ ファイル ビューアーをダウンロードしてプリフェッチ ファイルを表示することをお勧めします。

  • PrefetchFilesList.txt – プリフェッチ フォルダーへのコピーエラーが発生したかどうかを追跡するために使用できる、コピーされたすべてのファイルの一覧が含まれます。

プロセス

を含みます。実行中のプロセスを一覧表示する CSV ファイル。デバイスで実行されている現在のプロセスを識別する機能を提供します。 これは、疑わしいプロセスとその状態を特定するときに役立ちます。

スケジュールされたタスク

スケジュールされたタスクを一覧表示する .CSV ファイルが含まれています。これにより、選択したデバイスで自動的に実行されるルーチンを識別して、自動的に実行するように設定された不審なコードを検索できます。

セキュリティ イベント ログ

セキュリティ イベント ログを格納します。このログには、システムの監査ポリシーで指定されたログインまたはログアウト アクティビティまたはその他のセキュリティ関連のイベントのレコードが含まれます。 イベント ビューアーを使用して、イベント ログ ファイルを開くことができます。

サービス

サービスとその状態を一覧表示する .CSV ファイルが含まれています。

Windows Server メッセージ ブロック (SMB) セッション

ネットワーク上のノード間のファイル、プリンター、シリアル ポート、およびその他の通信への共有アクセスを一覧表示します。 これは、データ流出または横移動を識別するのに役立ちます。 また、SMBInboundSession と SMBOutboundSession のファイルも含まれています。 セッション (受信または送信) がない場合は、SMB セッションが見つからないことを示すテキスト ファイルが表示されます。

システム情報

OS バージョンやネットワーク カードなどのシステム情報を一覧表示する SystemInformation.txt ファイルが含まれています。

一時ディレクトリ

システム内のすべてのユーザーの %Temp% にあるファイルを一覧表示するテキスト ファイルのセットが含まれています。 これにより、攻撃者がシステム上でドロップした疑わしいファイルを追跡するのに役立ちます。 ファイルに "指定されたパスが見つかりません" というメッセージがファイルに含まれている場合は、このユーザーの一時ディレクトリがないことを意味し、ユーザーがシステムにサインインしなかった可能性があります。

ユーザーおよびグループ

グループとそのメンバーを表すファイルの一覧を提供します。

WdSupportLogs

MpCmdRunLog.txt と MPSupportFiles.cabを提供します。

CollectionSummaryReport.xls

このファイルは調査パッケージ コレクションの概要であり、データ ポイントの一覧、データの抽出に使用されるコマンド、実行状態、エラーが発生した場合のエラー コードが含まれます。 このレポートを使用して、パッケージに予想されるすべてのデータが含まれているかどうかを追跡し、エラーがあるかどうかを特定できます。