從裝置收集調查套件
作為調查或回應程序的一部分,您可以從裝置收集調查套件。 藉由收集調查套件,您可以識別裝置的目前狀態,並進一步了解攻擊者所使用的工具和技術。
下載套件 (Zip 檔案) 並調查裝置上發生的事件
從 [裝置] 頁面頂端的回應動作列選取 [收集調查套件] 。
在文字方塊中指定您要執行此動作的原因。 選取確認。
Zip 檔案將下載
替代方式:
從 [裝置] 頁面的 [回應動作] 區段中選取 [控制中心] 。
在 [動作中心] 飛出視窗中,選取可用來下載 Zip 檔案的套件集合套件。
此套件包含下列資料夾:
Autoruns
包含一組檔案,每個檔案都代表已知自動開始進入點 (ASEP) 的登錄內容,以協助識別攻擊者在裝置上的持續性。 如果找不到登錄機碼,檔案將包含下列訊息:「錯誤:系統找不到指定的登錄機碼或值」。
安裝的程式
此 .CSV 檔案包含已安裝的程式清單,可協助您識別目前安裝在裝置上的程式。 如需詳細資訊,請參閱 Win32_Product 類別。
網路連線
此資料夾包含與連線資訊相關的一組資料點,可協助您識別可疑 URL 的連線、攻擊者的命令和控制 (C&C) 基礎結構、任何橫向移動或遠端連線。
ActiveNetConnections.txt – 顯示通訊協定統計資料和目前的 TCP/IP 網路連線。 其可讓您找出處理程序所建立的可疑連線。
Arp.txt – 顯示所有介面的目前位址解析通訊協定 (ARP) 快取表格。
ARP 快取可能會顯示網路上已遭入侵的其他主機,或是網路上可能已被用來執行內部攻擊的可疑系統。
DnsCache.txt - 顯示 DNS 用戶端解析程式快取的內容,其中包括從本機主機檔案預先載入的項目,以及任何最近取得的資源記錄,其是電腦所解析名稱查詢的資源記錄。 這有助於識別可疑的連線。
IpConfig.txt – 顯示所有介面卡的完整 TCP/IP 設定。 介面卡可以是實體介面,例如已安裝的網路介面卡,亦可以是邏輯介面,例如撥號連線。
FirewallExecutionLog.txt 和 pfirewall.log
預先擷取檔案
Windows 預先擷取檔案設計用來加速應用程式啟動程序。 它可用來追蹤系統中最近使用過的所有檔案,並尋找可能已刪除但仍可在預先擷取檔案清單中所找到應用程式的追蹤。
預先提取資料夾 – 包含 %SystemRoot%\Prefetch 中的預先提取檔案複本。 建議下載預先擷取檔案檢視器來檢視預先擷取的檔案。
PrefetchFilesList.txt – 包含所有複製的檔案清單,這些檔案可用來追蹤預先提取資料夾是否有任何複製失敗。
程序
包含列出執行中處理序的 .CSV 檔案,其可讓您識別在裝置上執行的目前處理序。 這在識別可疑流程與其狀態時可能很實用。
排定的工作
包含列出排程工作的 .CSV 檔案,可用來識別在所選裝置上自動執行的常式,來尋找已設定為自動執行的可疑程式碼。
安全性事件記錄檔
包含安全性事件記錄檔,其中包含登入或登出活動記錄,或是由系統的稽核原則指定的其他安全性相關事件。 您可以使用事件檢視器來開啟事件記錄檔。
服務
包含列出服務及其狀態的 .CSV 檔案。
Windows 伺服器訊息區 (SMB) 工作階段
列出網路上節點之間的檔案、印表機、序列連接埠和其他通訊的共用存取。 這有助於識別資料外流或橫向移動。 其也包含 SMBInboundSessions 和 SMBOutboundSession 的檔案。 如果沒有工作階段 (輸入或輸出),您會得到一個文字檔,告訴您找不到任何 SMB 工作階段。
系統資訊
包含 SystemInformation.txt 檔案,其中列出系統資訊,例如作業系統版本和網路卡。
暫存目錄
包含一組文字檔,其中列出系統中每位使用者在 % Temp% 中的檔案。 這有助於追蹤攻擊者可能已置放於系統上的可疑檔案。 如果檔案包含下列訊息:「系統找不到指定的路徑」,這表示此使用者沒有暫存目錄,且可能是因為使用者未登入系統。
使用者和群組
提供檔案清單,每個清單都代表一個群組和所屬成員。
WdSupportLogs
提供 MpCmdRunLog.txt 和 MPSupportFiles.cab。
CollectionSummaryReport.xls
此檔案是調查套件集合的摘要,其中包含資料點的清單、用來擷取資料的命令、執行狀態,以及發生失敗時的錯誤碼。 您可以使用此報告來追蹤套件是否包含所有預期的資料,並找出是否有任何錯誤。