Получение данных для расследования

Чтобы получить данные для расследования:

Выберите действие по реагированию Данные для расследования.
Откроется панель Получить данные для расследования.
В разделе Тип информации установите флажки рядом с типом данных, которые требуется получить:
- Список процессов. Для списка процессов, запущенных на устройстве.
- Список точек автозапуска. Для списка точек автозапуска.
  Список включает информацию о приложениях, добавленных в папку автозагрузки или зарегистрированных в ключах реестра Run, а также о приложениях, которые автоматически запускаются при запуске указанного устройства и входе пользователя в операционную систему на устройстве.
  
  Список поддерживаемых точек автозапуска
  Поддерживаются следующие типы точек автозапуска:
  - Logon
  - Shell
  - Office
  - Browsers
  - Scheduler
  - Services
  - Drivers
  - Cryptography
  - Debuggers
  - COM
  - SessionManager
  - Network
  - LSA
  - Applications
  - WMI
  - GroupPolicy
  - DriverLog
  - BootLog
  - Процесс
  - OsUpdate
  - Printer
  - Не указана
  - OsLoader
  - EfiLoader
- Список файлов. Для списка файлов и папок, хранящихся на диске.
Максимальное число файлов, отображаемых в списке, составляет 20 000.
Если вы установили флажок Список файлов, выполните следующие действия:
1. Укажите область поиска файлов, выбрав одну из следующих групп параметров:
  - Все локальные диски. В список будут включены файлы, хранящиеся во всех папках на локальных дисках.
  - Папка, а затем в поле Начальная папка укажите путь к папке, с которой должен начинаться поиск файлов.
    В список будут включены файлы, хранящиеся в указанной папке и ее подпапках.
2. При необходимости укажите следующие критерии поиска файлов в папках:
  - Маску файлов, которые будут включены в список файлов.
  - Параметр Дополнительные потоки данных для записи информации о дополнительных потоках данных в списке файлов.
    По умолчанию переключатель включен.
  - Максимальный уровень вложенности папок, в которых приложение ищет файлы.
  - В поле Исключения укажите путь к папке, в которой требуется запретить поиск информации о файлах.
При необходимости настройте следующие параметры:
- В раскрывающемся списке Активы выберите устройства, с которых требуется получить данные для расследования.
  По умолчанию поле содержит имена устройств, для которых вы ранее установили флажки. Можно выбрать устройства, которые не связаны с алертом или инцидентом, но принадлежат тенанту алерта или инцидента либо его дочерним тенантам.
  
  Выбрать можно только те активы, с которыми можно выполнить действие по реагированию.
  Устройства отображаются следующим образом: устройства, связанные с алертом или инцидентом, помещаются в начало раскрывающегося списка Активы, а затем в алфавитном порядке отображаются устройства, принадлежащие тенанту алерта или инцидента (и его дочерним тенантам).
- В поле Описание напишите описание или комментарий к действию по реагированию.
Нажмите на кнопку Получить.

Панель закроется. Если действие по реагированию завершено успешно, на экране отображается соответствующее сообщение. Иначе отображается сообщение об ошибке.

В результате действия по реагированию выбранные данные сохраняются в защищенном паролем ZIP-архиве. Пароль для файла архива – infected.

Просмотр результата действия по реагированию

Вы можете просмотреть и скачать архив одним из следующих способов:

В главном меню в разделе Файлы или на вкладке Файлы в сведениях алерта или инцидента.
В главном меню в разделе История реагирований или на вкладке История в сведениях алерта или инцидента.
После того как вы перейдете по ссылке в столбце Статус действия, откроется окно с выбранной вкладкой Результат. Если действие по реагированию выполнено успешно, отобразится сообщение Успешно и полученный файл. Иначе отобразится сообщение об ошибке с информацией о причине.

Если вы хотите просмотреть Идентификатор запуска и JSON с результатом действия реагирования, перейдите на вкладку Отладка данных.

В начало