建立取證收集工作

您可以從選定的 Endpoint Agent 主機取得檔案、處理程序和自動執行點的清單。為此，您必須建立取證收集工作。

若要建立取證收集工作：

在應用程式網頁介面視窗中，選擇“工作”區域。
這將開啟工作表。
點擊新增按鈕並在獲取資料下拉清單中選擇取證。
這將開啟工作建立視窗。
配置以下設定：
1. 資訊類型是所收集資料的類型。選擇一項、多項或所有設定旁的核取方塊：
  - 處理程序清單，如果您想要取得工作執行時主機上執行的處理程序清單。
  - 自動執行點清單，如果您想取得自動執行點的清單。
    自動執行點清單包括有關新增到啟動資料夾或在登錄檔的 Run 鍵中註冊的應用程式的資訊，以及在帶有 Endpoint Agent 元件的主機啟動時以及使用者登錄指定主機上的作業系統時自動執行的應用程式的資訊。
    支援的自動執行點清單
    Kaspersky Endpoint Agent 支援收集以下自動執行點的資料：
    - Logon。
    - Run。
    - Explorer。
    - Shell。
    - Office。
    - Internet Explorer®。
    - Tasks。
    - Services。
    - Drivers。
    - Telephony。
    - Cryptography。
    - Debuggers。
    - COM。
    - Session Manager。
    - Network。
    - LSA。
    - Applications。
    - Codecs。
    - Shellex。
    - WMI。
    - Unspecified。
    Kaspersky Endpoint Security 支援收集上述自動執行點以及以下內容：
    - BootLog
    - Browsers
    - DriverLog
    - EfiLoader
    - GroupPolicy
    - 登入
    - OsLoader
    - OsUpdate
    - Printer
    - Process
    - Scheduler
  - 檔案清單，如果您想要取得工作執行時儲存在所選資料夾或所有主機資料夾中的檔案清單。
2. 如果您選擇了檔案清單核取方塊，在來源類型在設定群組中選擇以下選項之一：
  - 所有本機磁碟，如果您希望檔案清單包含工作執行時儲存在本機磁碟上所有資料夾中的檔案。
  - 目錄如果，您希望檔案清單包含工作執行時間儲存在指定資料夾及其子資料夾中的檔案。
3. 如果您選擇了目錄，請在啟動目錄欄位中指定檔案搜尋應從其開始的資料夾路徑。
  您可以使用以下前綴：
  - 系統環境變數。
  - 使用者定義的環境變數。
    使用使用者定義的環境變數時，檔案清單包含有關設定了指定環境變數的所有使用者的資料夾中的檔案的資訊。如果使用者定義的環境變數覆蓋系統環境變量，則檔案清單將根據系統環境變數的值包含資料夾中檔案的資訊。
4. 在主機欄位中，輸入要指派工作的主機的 IP 位址或名稱。
  您可以指定多個主機。
5. 如有必要，您可以為資料夾中的檔案指定以下搜尋條件：
  - 遮罩是要包含在檔案清單中的檔案的遮罩。
  - 備用資料流是啟用在檔案清單中記錄備用資料流的資訊的核取方塊。
    如果要求的檔案已連結到其他 NTFS 資料流，則執行該工作將產生請求的檔案連結到的 NTFS 資料流的所有檔案。
    預設已選擇該核取方塊。
  - 最大嵌套級別是應用程式在其中搜尋檔案的資料夾的最大嵌套層級。
  - 排除項目是要禁止在其中搜尋檔案資訊的資料夾的路徑。
  - 敘述是工作描述。
點擊新增。