从设备收集调查包
作为调查或响应过程的一部分,可以从设备收集调查包。 通过收集调查包,可以识别设备的当前状态,并进一步了解攻击者使用的工具和技术。
下载包(Zip 文件)并调查设备上发生的事件
从设备页面顶部的响应作行中选择“ 收集调查包 ”。
在文本框中指定为何要执行此作。 选择 确认。
zip 文件将下载
替代方式:
从设备页的响应作部分选择“ 作中心 ”。
在作中心浮出控件中,选择可用于下载 zip 文件的包集合包。
包包含以下文件夹:
自动运行
包含一组文件,每个文件都表示已知自动启动入口点(ASEP)注册表的内容,以帮助识别攻击者在设备上的持久性。 如果未找到注册表项,该文件将包含以下消息:“ERROR:系统找不到指定的注册表项或值。
已安装的程序
此 .CSV 文件包含可帮助确定设备上当前安装的程序列表。 有关详细信息,请参阅Win32_Product类。
网络连接
此文件夹包含一组与连接信息相关的数据点,可帮助识别与可疑 URL 的连接、攻击者的命令和控制(C&C)基础结构、任何横向移动或远程连接。
ActiveNetConnections.txt – 显示协议统计信息和当前的 TCP/IP 网络连接。 它提供查找进程建立的可疑连接的功能。
Arp.txt – 显示所有接口的当前地址解析协议(ARP)缓存表。
ARP 缓存可以揭示网络上可能用于运行内部攻击的网络上已遭到入侵或可疑系统的其他主机。
DnsCache.txt - 显示 DNS 客户端解析程序缓存的内容,其中包括从本地主机文件预加载的条目以及计算机解析的名称查询的任何最近获取的资源记录。 这有助于识别可疑连接。
IpConfig.txt – 显示所有适配器的完整 TCP/IP 配置。 适配器可表示物理接口(例如已安装的网络适配器)或逻辑接口(如拨号连接)。
FirewallExecutionLog.txt 和pfirewall.log
预提取文件
Windows 预提取文件旨在加快应用程序启动过程。 它可用于跟踪系统最近使用的所有文件,并查找可能已删除但仍然可以在预提取文件列表中找到的应用程序的跟踪。
预提取文件夹 – 包含来自 %SystemRoot%\Prefetch 的预提取文件的副本。 建议下载预提取文件查看器以查看预提取文件。
PrefetchFilesList.txt – 包含可用于跟踪预提取文件夹是否存在任何复制失败的所有已复制文件的列表。
进程
包含一个 .列出正在运行的进程的 CSV 文件,它提供识别设备上运行的当前进程的功能。 这在识别可疑进程及其状态时很有用。
计划任务
包含列出计划任务的 .CSV 文件,该文件可用于标识在所选设备上自动执行的例程,以查找设置为自动运行的可疑代码。
安全事件日志
包含安全事件日志,其中包含登录或注销活动或其他系统审核策略指定的安全相关事件的记录。 可以使用事件查看器打开事件日志文件。
服务业
包含列出服务及其状态的 .CSV 文件。
Windows Server消息块 (SMB) 会话
列出对网络上节点之间的文件、打印机、串行端口和杂项通信的共享访问。 这有助于识别数据外泄或横向移动。 它还包含 SMBInboundSession 和 SMBOutboundSession 的文件。 如果没有会话(入站或出站),你将获得一个文本文件,告知你找不到 SMB 会话。
系统信息
包含列出系统信息(如 OS 版本和网卡)的 SystemInformation.txt 文件。
临时目录
包含一组文本文件,其中列出了系统中每个用户 %Temp% 中的文件。 这有助于跟踪攻击者可能在系统上删除的可疑文件。 如果文件包含以下消息:“系统找不到指定的路径”,则表示此用户没有临时目录,可能是因为用户未登录到系统。
用户和组
提供一个文件列表,每个文件都表示一个组及其成员。
WdSupportLogs
提供 MpCmdRunLog.txt 和 MPSupportFiles.cab。
CollectionSummaryReport.xls
此文件是调查包集合的摘要,它包含数据点列表、用于提取数据的命令、执行状态以及失败时的错误代码。 可以使用此报告跟踪包是否包含所有预期数据,并确定是否存在任何错误。