Ein On-Demand-Forensik-Backup auf einem Workload ausführen

Um einen Angriff genauer untersuchen zu können, ermöglicht Ihnen die EDR Funktionalität, bei Bedarf („On-Demand“) ein Forensik-Backup für Audit- oder weitere Untersuchungszwecke durchzuführen.

So können Sie ein Forensik-Backup ausführen

  1. Klicken Sie in der Cyber Kill Chain auf den Workload-Knoten, auf dem Sie ein Forensik-Backup erstellen wollen.
  2. Klicken Sie in der angezeigten Seitenleiste auf die Registerkarte Antwortaktionen.
  3. Klicken Sie im Bereich Untersuchen auf Forensik-Backup.

  4. [Optional] Klicken Sie im Feld Backup-Name auf das Bearbeiten-Symbol, wenn Sie den Backup-Namen ändern wollen.
  5. Klicken Sie im Feld Forensische Optionen auf den angezeigten Link. Wählen Sie im angezeigten Dialog für die forensischen Optionen eine der folgenden Möglichkeiten aus:
    • Rohdaten-Speicherabbild sammeln
    • Kernel-Speicherabbild sammeln

    Sie können auch das Kontrollkästchen Snapshot der laufenden Prozesse aktivieren, wenn Sie zusätzlich Informationen in das Backup aufnehmen wollen, die die Prozesse betreffen, die beim Start des Backups ausgeführt werden. Diese Informationen werden in einem Backup-Image gespeichert.

    Klicken Sie auf Speichern, um das Dialogfenster „Forensik-Backup“ zu schließen.

  6. Klicken Sie im Feld Backup-Ziel auf den angezeigten Link, um festzulegen, wo das Backup gespeichert werden soll.
  7. [Optional] Klicken Sie auf die Option Verschlüsselung, um zu aktivieren, dass das Backup chiffriert werden soll. Geben Sie im angezeigten Dialogfenster das Kennwort für das zu verschlüsselnde Backup ein und bestimmen Sie den entsprechenden Verschlüsselungsalgorithmus.
  8. [Optional] Geben Sie im Feld Kommentar eine Anmerkung ein. Dieser Kommentar wird auf der Registerkarte Aktivitäten angezeigt (für einen einzelnen Knoten oder den gesamten Vorfall) und soll Ihnen (oder Ihren Kollegen) helfen, sich daran zu erinnern, warum Sie die Aktion durchgeführt haben, wenn Sie den Vorfall noch einmal betrachten.
  9. Klicken Sie auf Ausführen.

    Das Forensik-Backup wird gestartet. Diese Aktion kann zudem auf den Registerkarten Aktivitäten des einzelnen Knotens und des gesamten Vorfalls eingesehen werden. Weitere Informationen finden Sie im Abschnitt „Die Aktionen verstehen, die zur Abschwächung eines Vorfalls ergriffen wurden“.