Collecter le package d'examen d’une machine
Dans le cadre du processus d’investigation ou de réponse, vous pouvez collecter un package d’investigation à partir d’un appareil. En recueillant le package d’investigation, vous pouvez identifier l’état actuel de l’appareil et mieux comprendre les outils et les techniques utilisés par l’attaquant.
Pour télécharger le package (fichier zip) et examiner les événements qui se sont produits sur un appareil
Sélectionnez Collecter le package d’investigation dans la ligne d’actions de réponse en haut de la page de l’appareil.
Spécifiez dans la zone de texte la raison pour laquelle vous souhaitez effectuer cette action. Sélectionnez Confirmer.
Le fichier zip sera téléchargé
Autre méthode :
Sélectionnez Centre de maintenance dans la section actions de réponse de la page de l’appareil.
Dans le centre de maintenance, sélectionnez package de collection de packages disponible pour télécharger le fichier zip.
Le package contient les dossiers suivants :
Autoruns
Contient un ensemble de fichiers qui représentent chacun le contenu du registre d’un point d’entrée de démarrage automatique (ASEP) connu pour aider à identifier la persistance de l’attaquant sur l’appareil. Si la clé de Registre est introuvable, le fichier contient le message suivant : « ERREUR : le système n’a pas pu trouver la clé ou la valeur de registre spécifiée ».
Programmes installés
Ce fichier .CSV contient la liste des programmes installés qui peuvent vous aider à identifier ce qui est actuellement installé sur l’appareil. Pour plus d'informations, consultez le cours TWin32_Product.
Connexions réseau
Ce dossier contient un ensemble de points de données liés aux informations de connectivité, qui peuvent aider à identifier la connectivité aux URL suspectes, à l’infrastructure de contrôle et de contrôle (C&C) de l’attaquant, à tout mouvement latéral ou à des connexions à distance.
ActiveNetConnections.txt : affiche les statistiques de protocole et les connexions réseau TCP/IP actuelles. Il offre la possibilité de rechercher une connectivité suspecte effectuée par un processus.
Arp.txt : affiche les tables de cache ARP (Address Resolution Protocol) actuelles pour toutes les interfaces.
Le cache ARP peut révéler d’autres ordinateurs hôtes sur un réseau qui ont été compromis ou des systèmes suspects sur le réseau qui ont pu être utilisés pour exécuter une attaque interne.
DnsCache.txt : affiche le contenu du cache de résolution client DNS, qui comprend les entrées préchargées à partir du fichier hosts local et les enregistrements de ressource récemment obtenus pour les requêtes de nom résolues par l’ordinateur. Cela peut aider à identifier les connexions suspectes.
IpConfig.txt : affiche la configuration TCP/IP complète pour toutes les cartes. Les cartes peuvent représenter des interfaces physiques, telles que des cartes réseau installées, ou des interfaces logiques, telles que des connexions d'accès à distance.
FirewallExecutionLog.txt et pfirewall. log
Fichiers de prérécupération
Les fichiers de prérécupération Windows sont conçus pour accélérer le processus de démarrage de l’application. Il peut être utilisé pour suivre tous les fichiers récemment utilisés dans le système et rechercher les traces des applications qui ont pu être supprimées, mais qui se trouvent toujours dans la liste des fichiers de prérécupération.
Dossier de prérécupération : contient une copie des fichiers de prérécupération à partir de%SystemRoot%\Prefetch. Il est recommandé de télécharger une visionneuse de fichiers de prérécupération pour voir ces fichiers.
PrefetchFilesList.txt : contient la liste de tous les fichiers copiés qui peuvent être utilisés pour effectuer le suivi des échecs de copie dans le dossier de prérécupération.
Processus
Contient un fichier .CSV répertoriant les processus en cours d’exécution, qui permettent d’identifier les processus en cours d’exécution sur l’appareil. Cela peut être utile lors de l’identification d’un processus suspect et de son état.
Tâches planifiées
Contient un fichier .CSV répertoriant les tâches planifiées, qui peuvent être utilisées pour identifier les routines exécutées automatiquement sur un appareil choisi pour rechercher le code suspect qui a été configuré pour s’exécuter automatiquement.
Journaux des événements de sécurité
Contient le journal des événements de sécurité, qui contient les enregistrements de l’activité de connexion ou de déconnexion ou d’autres événements liés à la sécurité spécifiés par la stratégie d’audit du système. Vous pouvez ouvrir le fichier journal des événements à l’aide de l’observateur d’événements.
Services
Contient un fichier .CSV qui répertorie les services et leurs états.
Sessions Windows Server Message Block (SMB)
Répertorie les accès partagés aux fichiers, aux imprimantes, aux ports série et aux communications diverses entre les nœuds d’un réseau. Cela peut aider à identifier l’exfiltration des données ou le mouvement latéral. Il contient également des fichiers pour SMBInboundSessions et SMBOutboundSession. S’il n’y a aucune session (entrante ou sortante), vous obtenez un fichier texte qui vous indique qu’aucune session SMB n’a été trouvée.
Informations système
Contient un fichier SystemInformation.txt qui répertorie des informations système telles que la version du système d’exploitation et les cartes réseau.
Répertoires temporaires
Contient un ensemble de fichiers texte qui répertorie les fichiers situés dans% Temp% pour chaque utilisateur du système. Cela peut aider à suivre les fichiers suspects qu’un attaquant peut avoir déposé sur le système. Si le fichier contient le message « Le système ne trouve pas le chemin spécifié », cela signifie qu’il n’existe pas de répertoire temporaire pour cet utilisateur (ce qui peut se produire si l’utilisateur ne s’est pas connecté au système).
Utilisateurs et groupes
Fournit la liste des fichiers qui représentent chacun un groupe et ses membres.
WdSupportLogs
Fournit les MpCmdRunLog.txt et MPSupportFiles.cab.
CollectionSummaryReport.xls
Ce fichier est un résumé de la collection de packages d’investigation. Il contient la liste des points de données, la commande utilisée pour extraire les données, l’état d’exécution et le code d’erreur en cas d’échec. Vous pouvez utiliser ce rapport pour savoir si le package inclut toutes les données attendues et pour déterminer s’il y a eu des erreurs.