Zbieranie pakietu badania z urządzeń

  • 6 min

W ramach procesu badania lub odpowiedzi możesz zebrać pakiet badania z urządzenia. Zbierając pakiet badania, można zidentyfikować bieżący stan urządzenia i lepiej zrozumieć narzędzia i techniki używane przez osobę atakującą.

Aby pobrać pakiet (plik zip) i zbadać zdarzenia, które wystąpiły na urządzeniu

  • Wybierz pozycję Zbierz pakiet badania z wiersza akcji odpowiedzi w górnej części strony urządzenia.

  • Określ w polu tekstowym, dlaczego chcesz wykonać tę akcję. Wybierz pozycję Potwierdź.

  • Plik zip zostanie pobrany

Alternatywny sposób:

  • Wybierz pozycję Centrum akcji w sekcji akcji odpowiedzi na stronie urządzenia.

  • W oknie wysuwanym Centrum akcji wybierz pozycję Pakiet kolekcji pakietów dostępny do pobrania pliku zip.

Pakiet zawiera następujące foldery:

Autoruns

Zawiera zestaw plików reprezentujących zawartość rejestru znanego punktu wejścia automatycznego uruchamiania (ASEP), co pomaga zidentyfikować trwałość osoby atakującej na urządzeniu. Jeśli klucz rejestru nie zostanie znaleziony, plik będzie zawierać następujący komunikat: "BŁĄD: System nie mógł odnaleźć określonego klucza rejestru lub wartości".

Zainstalowane programy

Tę. Plik CSV zawiera listę zainstalowanych programów, które mogą pomóc zidentyfikować, co jest obecnie zainstalowane na urządzeniu. Aby uzyskać więcej informacji, zobacz Win32_Product class (Klasa Win32_Product).

Połączenia sieciowe

Ten folder zawiera zestaw punktów danych związanych z informacjami o łączności, które mogą pomóc zidentyfikować łączność z podejrzanymi adresami URL, infrastrukturą poleceń i kontroli osoby atakującej (C&C), dowolnego ruchu bocznego lub połączeń zdalnych.

  • ActiveNet Połączenie ions.txt — wyświetla statystyki protokołu i bieżące połączenia sieciowe TCP/IP. Zapewnia możliwość wyszukiwania podejrzanej łączności wykonanej przez proces.

  • Arp.txt — wyświetla bieżące tabele pamięci podręcznej protokołu rozpoznawania adresów (ARP) dla wszystkich interfejsów.

  • Pamięć podręczna ARP może ujawnić inne hosty w sieci, które zostały naruszone lub podejrzane systemy w sieci, które mogły zostać użyte do uruchomienia ataku wewnętrznego.

  • DnsCache.txt — wyświetla zawartość pamięci podręcznej rozpoznawania klienta DNS, która zawiera zarówno wpisy wstępnie załadowane z pliku hostów lokalnych, jak i wszystkie ostatnio uzyskane rekordy zasobów dla zapytań nazw rozpoznawanych przez komputer. Może to pomóc w identyfikowaniu podejrzanych połączeń.

  • IpConfig.txt — wyświetla pełną konfigurację protokołu TCP/IP dla wszystkich kart. Karty mogą reprezentować interfejsy fizyczne, takie jak karty sieciowe lub interfejsy logiczne, na przykład połączenia telefoniczne.

  • FirewallExecutionLog.txt i pfirewall.log

Pliki pobierania z wyprzedzeniem

Pliki pobierania wstępnego systemu Windows zostały zaprojektowane w celu przyspieszenia procesu uruchamiania aplikacji. Może służyć do śledzenia wszystkich plików ostatnio używanych w systemie i znajdowania śladów dla aplikacji, które mogły zostać usunięte, ale nadal można je znaleźć na liście plików pobierania wstępnego.

  • Folder pobierania wstępnego — zawiera kopię plików pobierania wstępnego z folderu %SystemRoot%\Prefetch. Zaleca się pobranie przeglądarki plików pobierania wstępnego w celu wyświetlenia plików pobierania wstępnego.

  • PrefetchFilesList.txt — zawiera listę wszystkich skopiowanych plików, których można użyć do śledzenia, jeśli wystąpiły błędy kopiowania do folderu pobierania wstępnego.

Procesy

Zawiera element . Plik CSV zawierający listę uruchomionych procesów, które umożliwiają identyfikowanie bieżących procesów uruchomionych na urządzeniu. Może to być przydatne podczas identyfikowania podejrzanego procesu i jego stanu.

Zaplanowane zadania

Zawiera element . Plik CSV zawierający listę zaplanowanych zadań, które mogą służyć do identyfikowania procedur wykonywanych automatycznie na wybranym urządzeniu w celu wyszukania podejrzanego kodu, który został ustawiony do automatycznego uruchamiania.

Dziennik zdarzeń zabezpieczeń

Zawiera dziennik zdarzeń zabezpieczeń, który zawiera rekordy aktywności logowania lub wylogowania lub innych zdarzeń związanych z zabezpieczeniami określonych przez zasady inspekcji systemu. Plik dziennika zdarzeń można otworzyć za pomocą podglądu zdarzeń.

Usługi

Zawiera element . Plik CSV, który zawiera listę usług i ich stanów.

Sesje bloku komunikatów systemu Windows Server (SMB)

Wyświetla listę współużytkowanego dostępu do plików, drukarek, portów szeregowych i różnej komunikacji między węzłami w sieci. Może to pomóc w identyfikacji eksfiltracji danych lub przenoszenia bocznego. Zawiera również pliki dla protokołu SMBInboundSessions i SMBOutboundSession. Jeśli nie ma żadnych sesji (ruchu przychodzącego lub wychodzącego), otrzymasz plik tekstowy z komunikatem o braku znalezionych sesji protokołu SMB.

Informacje o systemie

Zawiera plik SystemInformation.txt, który zawiera informacje o systemie, takie jak wersja systemu operacyjnego i karty sieciowe.

Katalogi tymczasowe

Zawiera zestaw plików tekstowych, który zawiera listę plików znajdujących się w %Temp% dla każdego użytkownika w systemie. Może to pomóc w śledzeniu podejrzanych plików, które osoba atakująca mogła porzucić w systemie. Jeśli plik zawiera następujący komunikat: "System nie może odnaleźć określonej ścieżki", oznacza to, że nie ma katalogu tymczasowego dla tego użytkownika i może być spowodowane tym, że użytkownik nie zalogował się do systemu.

Użytkownicy i grupy

Zawiera listę plików reprezentujących grupę i jej członków.

WdSupportLogs

Udostępnia pliki MpCmdRunLog.txt i MPSupportFiles.cab.

CollectionSummaryReport.xls

Ten plik jest podsumowaniem kolekcji pakietów badania, zawiera listę punktów danych, polecenie używane do wyodrębniania danych, stanu wykonywania i kodu błędu, jeśli wystąpi awaria. Tego raportu można użyć do śledzenia, czy pakiet zawiera wszystkie oczekiwane dane i określić, czy wystąpiły jakieś błędy.