デバイスから調査パッケージを収集する

  • 6 分

調査または応答プロセスの一環として、デバイスから調査パッケージを収集できます。 調査パッケージを収集することで、デバイスの現在の状態を特定し、攻撃者が使用しているツールや手法をさらに理解することができます。

パッケージ (Zip ファイル) をダウンロードし、デバイスで発生したイベントを調査するには

  • デバイス ページの上部にある応答アクションの行から、[調査パッケージの収集] を選びます。

  • このアクションを実行する理由をテキスト ボックスで指定します。 [確認] を選択します。

  • zip ファイルがダウンロードされます

別の方法:

  • デバイス ページの応答アクションのセクションで、[アクション センター] を選びます。

  • アクション センターのポップアップで、利用できるパッケージ コレクション パッケージを選択して zip ファイルをダウンロードします。

パッケージには、次のフォルダーが含まれています。

Autoruns

デバイスに永続化している攻撃者を識別するのに役立つ、既知の自動開始エントリ ポイント (ASEP) のレジストリの内容を表す一連のファイルが含まれています。 レジストリ キーが見つからない場合、ファイルには "エラー: 指定されたレジストリ キーまたは値が見つかりませんでした" というメッセージが含まれます。

Installed programs (インストールされたプログラム)

この .CSV ファイルには、デバイスに現在インストールされているものを識別するのに役立つ、インストールされているプログラムの一覧が含まれます。 詳しくは、「Win32_Product クラス」をご覧ください。

ネットワーク接続

このフォルダーには、接続情報に関連するデータ ポイントのセットが含まれています。これは、疑わしい URL への接続、攻撃者のコマンド アンド コントロール (C&C) インフラストラクチャ、侵入拡大、またはリモート接続を識別するのに役立ちます。

  • ActiveNetConnections.txt – プロトコルの統計情報と、現在の TCP/IP ネットワーク接続が表示されます。 これにより、プロセスによって行われた疑わしい接続を探すことができます。

  • Arp.txt – すべてのインターフェイスについて、現在のアドレス解決プロトコル (ARP) キャッシュ テーブルが表示されます。

  • ARP キャッシュを使用すると、ネットワーク上の侵害されている他のホスト、または内部攻撃の実行に使用された可能性があるネットワーク上の疑わしいシステムを、明らかにすることができます。

  • DnsCache.txt - DNS クライアント リゾルバー キャッシュの内容が表示されます。これには、ローカル Hosts ファイルからプリロードされたエントリと、コンピューターによって解決された名前クエリに対して最近取得されたリソース レコードの両方が含まれます。 これにより、疑わしい接続を識別するのに役立ちます。

  • IpConfig.txt – すべてのアダプターの完全な TCP/IP 構成が表示されます。 アダプターは、設置されているネットワーク アダプターなどの物理インターフェイス、またはダイヤルアップ接続などの論理インターフェイスを表すことがあります。

  • FirewallExecutionLog.txt と pfirewall.log

Prefetch files (プリフェッチ ファイル)

Windows のプリフェッチ ファイルは、アプリケーションの起動プロセスを高速化するために使用されます。 これを使用してシステムで最近使用されたすべてのファイルを追跡できます。プリフェッチ ファイルの一覧を使って、既に削除されたアプリケーションの痕跡を見つけるのに役立つ場合があります。

  • Prefetch フォルダー – %SystemRoot%\Prefetch からのプリフェッチ ファイルのコピーが含まれます。 プリフェッチ ファイル ビューアーをダウンロードしてプリフェッチ ファイルを表示することをお勧めします。

  • PrefetchFilesList.txt – プリフェッチ フォルダーへのコピーが失敗したかどうかを追跡するために使用できる、コピーされたすべてのファイルの一覧が含まれます。

処理

実行中のプロセスの一覧を示す .CSV ファイルが含まれます。デバイスで現在実行されているプロセスを識別できます。 これは、疑わしいプロセスとその状態を識別するために役立ちます。

スケジュールされたタスク

スケジュールされたタスクの一覧を示す .CSV ファイルが含まれます。自動的に実行するように設定された疑わしいコードを探すため、選択したデバイスで自動的に実行されるルーチンを識別するために使用できます。

セキュリティ イベント ログ

セキュリティ イベント ログが含まれています。ログインやログアウト アクティビティ、システムの監査ポリシーで指定されたその他のセキュリティ関連のイベントの記録が含まれます。 イベント ビューアーを使用して、イベント ログ ファイルを開くことができます。

サービス

サービスとその状態の一覧を示す .CSV ファイルが含まれています。

Windows Server Message Block (SMB) sessions (Windows サーバー メッセージ ブロック (SMB) セッション)

ファイル、プリンター、シリアル ポートへの共有アクセス、およびネットワーク上のノード間でのその他の通信の一覧が表示されます。 これにより、データの取り出しや横方向の移動の識別に役立ちます。 また、SMBInboundSessions と SMBOutboundSession に関するファイルも含まれています。 セッション (受信または送信) がない場合は、SMB セッションが見つからないことを示すテキスト ファイルを受け取ります。

システム情報

OS のバージョンやネットワーク カードなどのシステム情報の一覧を示す SystemInformation.txt ファイルが含まれています。

Temp directories

システムのすべてのユーザーの %Temp% にあるファイルの一覧を示す、テキスト ファイルのセットが含まれています。 これは、攻撃者がシステムに配置した可能性がある、疑わしいファイル システムの追跡に役立ちます。 ファイルに "指定されたパスを見つけられませんでした" というメッセージが含まれている場合は、このユーザーの一時ディレクトリがないことを意味し、ユーザーがシステムにサインインしなかったことが原因である可能性があります。

ユーザーとグループ

グループとそのメンバーを表す、ファイルの一覧を示します。

WdSupportLogs

MpCmdRunLog.txt と MPSupportFiles.cab が提供されます。

CollectionSummaryReport.xls

このファイルは、調査パッケージ コレクションの要約であり、データ ポイントの一覧、データの抽出に使用されたコマンド、実行状態、障害が発生した場合はエラー コードが含まれています。 このレポートを使用して、パッケージに予期されるすべてのデータが含まれているかを追跡し、エラーがあった場合に特定することができます。