Coletar pacote de investigação de dispositivos

  • 6 minutos

Como parte do processo de investigação ou de resposta, você pode coletar um pacote de investigação de um dispositivo. Ao coletar o pacote de investigação, você pode identificar o estado atual do dispositivo e entender melhor as ferramentas e técnicas usadas pelo invasor.

Para baixar o pacote (arquivo zip) e investigar os eventos que ocorreram em um dispositivo:

  • Selecione Coletar pacote de investigação da linha de ações de resposta na parte superior da página do dispositivo.

  • Especifique na caixa de texto por que você deseja executar esta ação. Selecione Confirmar.

  • O arquivo zip será baixado

Modo alternativo:

  • Selecione Central de ações na seção ações de resposta da página do dispositivo.

  • Na Saída da central de ações, selecione Pacote de coleta disponível para baixar o arquivo zip.

O pacote contém estas pastas:

Autoruns

Contém um conjunto de arquivos e cada um representa o conteúdo do registro de um ASEP (ponto de entrada de início automático) conhecido para ajudar a identificar a persistência do invasor no dispositivo. Se a chave do Registro não for encontrada, o arquivo exibirá a seguinte mensagem: “ERRO: o sistema não pôde localizar a chave do Registro ou o valor especificado.”.

Programas instalados

Este arquivo .CSV contém a lista de programas instalados que podem ajudar a identificar o que atualmente está instalado no dispositivo. Para obter mais informações, consulte Win32_Product class.

Conexões de rede

Essa pasta contém um conjunto de pontos de dados relacionados às informações de conectividade e ele pode ajudar a identificar a conectividade com URLs suspeitas, a infraestrutura de C&C (comando e controle) do invasor e todo movimento lateral ou conexões remotas.

  • O ActiveNetConnections.txt – exibe estatísticas de protocolo e conexões de rede TCP/IP atuais. Ele fornece a capacidade de procurar por conectividade suspeita feita por um processo.

  • O Arp.txt – exibe as tabelas de cache do ARP (protocolo de resolução de endereço) atuais para todas as interfaces.

  • O cache ARP pode revelar outros hosts em uma rede que foram comprometidos ou sistemas suspeitos na rede que podem ter sido usados para executar um ataque interno.

  • O DnsCache.txt - exibe o conteúdo do cache do resolvedor de cliente DNS, que inclui as entradas pré-carregadas do arquivo de hosts local e os registros de recursos obtidos recentemente para consultas de nome resolvidas pelo computador. Isso pode ajudar na identificação de conexões suspeitas.

  • O IpConfig.txt – exibe a configuração de TCP/IP completa para todos os adaptadores. Os adaptadores podem representar interfaces físicas, como adaptadores de rede instalados, ou interfaces lógicas, como conexões dial-up.

  • O FirewallExecutionLog.txt e o pfirewall.log

Arquivos de pré-busca

Arquivos de pré-busca do Windows são projetados para acelerar o processo de inicialização do aplicativo. Ele pode ser usado para controlar todos os arquivos usados recentemente no sistema e localizar vestígios de aplicativos que podem ter sido excluídos, mas ainda podem ser encontrados na lista de arquivos de pré-busca.

  • A pasta de pré-busca – contém uma cópia dos arquivos de pré-busca do%SystemRoot%\Prefetch. É recomendável baixar um visualizador de arquivos de pré-busca para ver os arquivos de pré-busca.

  • O PrefetchFilesList.txt – contém a lista de todos os arquivos copiados que podem ser usados para controlar se houve falhas de cópia na pasta de pré-busca.

Processos

Contém um arquivo .CSV que lista os processos em execução, que fornecem a capacidade de identificar os processos atuais em execução no dispositivo. Isso pode ser útil ao identificar um processo suspeito e seu estado.

Tarefas Agendadas

Contém um arquivo .CSV que lista as tarefas agendadas, que podem ser usadas para identificar as rotinas executadas automaticamente em um dispositivo escolhido para procurar um código suspeito que foi definido para ser executado automaticamente.

Log de eventos de segurança

Contém o log de eventos de segurança que contém os registros de atividade de logon ou logout ou outros eventos relacionados à segurança especificados pela política de auditoria do sistema. Você pode abrir o arquivo de log de eventos usando o Visualizador de eventos.

Serviços

Contém um arquivo .CSV que lista os serviços e seus Estados.

Sessões do Bloco de Mensagens de Servidor Windows (SMB)

Lista o acesso compartilhado a arquivos, impressoras, portas seriais e comunicações diversas entre nós em uma rede. Isso pode ajudar a identificar dados roubados ou movimento lateral. Ele também contém arquivos para SMBInboundSessions e SMBOutboundSession. Se não houver nenhuma sessão (de entrada ou saída), você obterá um arquivo de texto informando que não foi encontrada uma sessão SMB.

Informações do sistema

Contém um arquivo SystemInformation.txt que lista informações do sistema, como versão do SO e placas de rede.

Diretórios temporários

Contém um conjunto de arquivos de texto que lista os arquivos localizados em %Temp% para cada usuário no sistema. Isso pode ajudar a controlar arquivos suspeitos que um invasor pode ter abandonado no sistema. Se o arquivo exibir a seguinte mensagem: “O sistema não pode localizar o caminho especificado”, significará que não há nenhum diretório temporário para esse usuário, talvez porque o usuário não se conectou ao sistema.

Usuários e grupos

Fornece uma lista dos arquivos que representam um grupo e seus membros.

WdSupportLogs

Fornece o MpCmdRunLog.txt e o MPSupportFiles.cab.

CollectionSummaryReport.xls

Esse arquivo é um resumo da coleção de pacotes de investigação e contém a lista de pontos de dados, o comando usado para extrair os dados, o status de execução e o código de erro em caso de falha. Você pode usar esse relatório para acompanhar se o pacote inclui todos os dados esperados e identificar se houve erros.