Создание задачи сбора форензики

Вы можете получить списки файлов, процессов и точек автозапуска с выбранных хостов с компонентом Endpoint Agent. Для этого нужно создать задачу сбора форензики.

Чтобы создать задачу сбора форензики:

1. В окне веб-интерфейса приложения выберите раздел Задачи.

   Откроется таблица задач.

2. Нажмите на кнопку Добавить и в раскрывающемся списке Собрать данные выберите Форензика.

   Откроется окно создания задачи.

3. Задайте значения следующих параметров:
   1. Тип информации – тип собираемых данных. Установите флажок напротив одного, нескольких или всех параметров:
      • Список процессов, если хотите получить список процессов, запущенных на хосте в момент выполнения задачи.
      • Список точек автозапуска, если хотите получить список точек автозапуска.

        В список точек автозапуска включаются данные о приложениях, добавленных в папку автозагрузки или зарегистрированных в разделах реестра Run, а также о приложениях, которые запускаются автоматически при загрузке хоста с компонентом Endpoint Agent и при входе пользователя в систему на указанных хостах.

        Список поддерживаемых точек автозапуска

        Kaspersky Endpoint Agent поддерживает сбор следующих точек автозапуска:

        • Logon.
        • Run.
        • Explorer.
        • Shell.
        • Office.
        • Internet Explorer®.
        • Tasks.
        • Services.
        • Drivers.
        • Telephony.
        • Cryptography.
        • Debuggers.
        • COM.
        • Session Manager.
        • Network.
        • LSA.
        • Applications.
        • Codecs.
        • Shellex.
        • WMI.
        • Unspecified.

        Kaspersky Endpoint Security поддерживает сбор перечисленных выше точек автозапуска и указанных далее:

        • BootLog.
        • Browsers.
        • DriverLog.
        • EfiLoader.
        • GroupPolicy.
        • Logon.
        • OsLoader.
        • OsUpdate.
        • Printer.
        • Process.
        • Scheduler.
      • Список файлов, если хотите получить список файлов, хранящихся в выбранной папке или во всех папках хоста в момент выполнения задачи.
   2. Если вы установили флажок Список файлов, в блоке параметров Тип источника выберите один из вариантов:
      • Все локальные диски, если вы хотите, чтобы в список файлов были включены файлы, хранящиеся во всех папках локальных дисков на момент выполнения задачи.
      • Директория, если вы хотите, чтобы в список файлов были включены файлы, хранящиеся в указанной папке и следующих по пути папках диска на момент выполнения задачи.
   3. Если вы выбрали Директория, в поле Начальная директория укажите путь к папке, с которой начнется поиск файлов.

      Вы можете использовать следующие префиксы:

      • Системные переменные окружения.
      • Пользовательские переменные окружения.

        При использовании пользовательских переменных окружения в список файлов будет включена информация о файлах в папках всех пользователей, определивших указанные переменные окружения. Если пользовательские переменные окружения переопределяет системные, в список файлов будет включена информация о файлах в папках по значению системных переменных окружения.

   4. Хосты – IP-адрес или имя хоста, на который хотите назначить задачу.

      Вы можете указать несколько хостов.

      Если в роли компонента Endpoint Agent используется Kaspersky Endpoint Agent, задача получения сбора форензики может быть назначена только на хосты с приложением Kaspersky Endpoint Agent для Windows версии 3.10 и выше. Получение списка точек автозапуска доступно только на хостах с Kaspersky Endpoint Agent для Windows версии 3.12 и выше.

      При необходимости вы можете указать следующие параметры поиска файлов в папках:

      • Маска – маска файлов, которые должны быть включены в список файлов.
      • Альтернативные потоки данных – флажок, включающий запись информации об альтернативных потоках данных в список файлов.

        Если запрашиваемый файл связан с дополнительными потоками данных NTFS, в результате выполнения задачи вы получите все файлы потоков данных NTFS, с которыми связан запрашиваемый файл.

        По умолчанию флажок установлен.

      • Максимальный уровень вложенности – максимальный уровень вложенности папок, в которых приложение будет искать файлы.
      • Исключения – путь к папкам, в которых вы хотите запретить поиск информации о файлах.
      • Описание – описание задачи.
4. Нажмите на кнопку Добавить.

Задача сбора форензики будет создана. Задача запускается автоматически после создания.

В результате выполнения задачи приложение помещает в Хранилище ZIP-архив, который содержит файл с выбранными данными. Если задача завершилась успешно, вы можете скачать архив на ваш локальный компьютер.

Для пользователей с ролью Аудитор функция создания задачи сбора форензики недоступна.

У пользователей с ролью Сотрудник службы безопасности нет доступа к задачам.

См. также Работа с задачами Просмотр таблицы задач Просмотр информации о задаче Создание задачи получения файла Создание задачи получения ключа реестра Создание задачи получения метафайлов NTFS Создание задачи получения дампа памяти процесса Создание задачи получения образа диска Создание задачи получения дампа оперативной памяти Создание задачи завершения процесса Создание задачи проверки хостов с помощью правил YARA Создание задачи управления службами Создание задачи выполнения приложения Создание задачи удаления файла Создание задачи помещения файла на карантин Создание задачи восстановления файла из карантина Создание копии задачи Удаление задач Фильтрация задач по времени создания Фильтрация задач по типу Фильтрация задач по имени Фильтрация задач по имени и пути к файлу Фильтрация задач по описанию Фильтрация задач по имени сервера Фильтрация задач по имени пользователя, создавшего задачу Фильтрация задач по состоянию обработки Сброс фильтра задач

В начало