Raccogliere il pacchetto di indagine dai dispositivi

  • 6 minuti

Come parte del processo di indagine o risposta, è possibile raccogliere un pacchetto di indagine da un dispositivo. La raccolta del pacchetto di indagine consente di identificare lo stato corrente del dispositivo e comprendere ulteriormente gli strumenti e le tecniche usati dall'utente malintenzionato.

Per scaricare il pacchetto (file ZIP) ed esaminare gli eventi che si sono verificati in un dispositivo:

  • Selezionare Raccogli il pacchetto di indagine dalla riga delle azioni di risposta nella parte superiore della pagina del dispositivo.

  • Nella casella di testo specificare il motivo per cui si vuole eseguire questa azione. Selezionare Conferma.

  • Il file ZIP verrà scaricato.

Procedura alternativa:

  • Selezionare Centro operativo dalla sezione delle azioni di risposta della pagina del dispositivo.

  • Nel riquadro a comparsa del Centro operativo selezionare il pacchetto della raccolta di pacchetti disponibile per scaricare il file ZIP.

Il pacchetto contiene le cartelle seguenti:

Autoruns

Contiene un set di file ognuno dei quali rappresenta il contenuto del Registro di sistema di un punto di ingresso di avvio automatico noto per facilitare l'identificazione della persistenza dell'utente malintenzionato nel dispositivo. Se la chiave del Registro di sistema non viene trovata, il file conterrà un messaggio di errore che informa che il sistema non ha trovato la chiave o il valore del Registro di sistema specificato.

Programmi installati

Questo file CSV contiene l'elenco dei programmi installati che consentono di identificare cos'è attualmente installato nel dispositivo. Per altre informazioni, vedere la classe Win32_Product.

Connessioni di rete

Questa cartella contiene un set di punti dati correlati alle informazioni di connettività, che possono essere utili per identificare la connettività a URL sospetti, l'infrastruttura di comando e controllo dell'utente malintenzionato, eventuali spostamenti laterali o connessioni remote.

  • ActiveNetConnections.txt: visualizza le statistiche di protocollo e le connessioni di rete TCP/IP correnti. Consente di cercare connessioni sospette effettuate da un processo.

  • Arp.txt: visualizza le tabelle della cache ARP (Address Resolution Protocol) correnti per tutte le interfacce.

  • La cache ARP può individuare altri host in una rete che sono stati compromessi o sistemi sospetti nella rete che potrebbero essere stati usati per eseguire un attacco interno.

  • DnsCache.txt: visualizza il contenuto della cache del resolver client DNS, che include entrambe le voci precaricate dal file Hosts locale ed eventuali record di risorse ottenuti di recente per le query di nome risolte dal computer. Può essere utile per identificare le connessioni sospette.

  • IpConfig.txt: visualizza la configurazione TCP/IP completa per tutti gli adapter. Le schede possono rappresentare interfacce fisiche, ad esempio schede di rete installate, o interfacce logiche, ad esempio connessioni remote.

  • FirewallExecutionLog.txt e pfirewall.log

File di prelettura

I file di prelettura di Windows sono progettati per velocizzare il processo di avvio delle applicazioni. Possono essere usati per tenere traccia di tutti i file usati di recente nel sistema e per individuare tracce di applicazioni che potrebbero essere state eliminate, ma che è ancora possibile trovare nell'elenco dei file di prelettura.

  • Cartella Prefetch: contiene una copia dei file di prelettura da %SystemRoot%\Prefetch. È consigliabile scaricare un visualizzatore di file di prelettura per visualizzare questo tipo di file.

  • PrefetchFilesList.txt: contiene l'elenco di tutti i file copiati che possono essere usati per tenere traccia di eventuali errori di copia nella cartella Prefetch.

Processi

Contiene un file CSV in cui sono elencati i processi in esecuzione, che consentono di identificare i processi correnti in esecuzione nel dispositivo. Può essere utile per identificare un processo sospetto e il relativo stato.

Attività pianificate

Contiene un file CSV che elenca le attività pianificate, che possono essere usate per identificare le routine eseguite automaticamente in un dispositivo scelto per cercare codice sospetto che è stato impostato per l'esecuzione automatica.

Registri eventi sicurezza

Contiene il registro eventi di sicurezza, che contiene a sua volta i record delle attività di accesso o disconnessione o altri eventi correlati alla sicurezza specificati dai criteri di controllo del sistema. È possibile aprire il file di registro eventi con il Visualizzatore eventi.

Servizi

Contiene un file CSV in cui sono elencati i servizi e i relativi stati.

Sessioni SMB (Server Message Block) di Windows

Elenca l'accesso condiviso a file, stampanti, porte seriali e comunicazioni varie tra i nodi di una rete. Può essere utile per identificare esfiltrazioni di dati o spostamenti laterali. Contiene anche file per SMBInboundSessions e SMBOutboundSession. Se non sono presenti sessioni (in ingresso o in uscita), si otterrà un file di testo che informa che non sono state trovate sessioni SMB.

Informazioni di sistema

Contiene un file SystemInformation.txt che elenca le informazioni di sistema, come la versione del sistema operativo e le schede di rete.

Directory temporanee

Contiene un set di file di testo in cui sono elencati i file contenuti nella directory %Temp% per ogni utente nel sistema. Può essere utile per tenere traccia dei file sospetti che un utente malintenzionato potrebbe avere rilasciato nel sistema. Se il file contiene il messaggio "Il sistema non riesce a trovare il percorso specificato", significa che non è presente alcuna directory temporanea per questo utente e il motivo potrebbe essere che l'utente non ha eseguito l'accesso al sistema.

Utenti e gruppi

Fornisce un elenco di file ognuno dei quali rappresenta un gruppo e i relativi membri.

WdSupportLogs

Fornisce i file MpCmdRunLog.txt e MPSupportFiles.cab.

CollectionSummaryReport.xls

Questo file è un riepilogo della raccolta di pacchetti di indagine, contiene l'elenco di punti dati, il comando usato per estrarre i dati, lo stato di esecuzione e il codice di errore in caso di errore. È possibile usare questo report per verificare se il pacchetto include tutti i dati previsti e identificare eventuali errori.