Ejecutar una copia de seguridad forense bajo demanda en una carga de trabajo

Como parte de la investigación de un ataque, EDR permite ejecutar una copia de seguridad forense bajo demanda para auditorías u otros fines de investigación.

Para ejecutar una copia de seguridad forense

  1. En la cyber kill chain, haga clic en el nodo de la carga de trabajo en la que desee ejecutar una copia de seguridad forense.
  2. En la barra lateral que se muestra, haga clic en la pestaña Medidas de respuesta.
  3. En la sección Investigar, haga clic en Copia de seguridad forense.

  4. [Opcional] En el campo Nombre de la copia de seguridad, haga clic en el icono de edición para editar el nombre de la copia de seguridad.
  5. En el campo Opciones forenses, haga clic en el enlace que se muestra. En el diálogo Opciones forenses, seleccione una de las siguientes opciones:
    • Recopilar un volcado de memoria sin procesar
    • Recopilar un volcado de memoria del kernel

    También puede seleccionar la casilla de verificación Instantánea de procesos en ejecución para añadir información sobre los procesos que están en ejecución cuando se inicia la copia de seguridad. Esta información se almacena en una imagen de copia de seguridad.

    Haga clic en Guardar para cerrar el diálogo Opciones forenses.

  6. En el campo Dónde guardar las copias de seguridad, haga clic en el enlace que se muestra para definir una ubicación para la copia de seguridad.
  7. [Opcional] Haga clic en la opción Cifrado para habilitar el cifrado. En el cuadro que se muestra, introduzca la contraseña para la copia de seguridad cifrada y seleccione el algoritmo de cifrado correspondiente.
  8. [Opcional] En el campo Comentario, añada un comentario. Este comentario puede verse en la pestaña Actividades (para un único nodo o todo el incidente) y puede ayudarle (o a sus colegas) a recordar por qué se llevó a cabo esa acción cuando vuelva a analizar el incidente.
  9. Haga clic en Ejecutar.

    Se iniciará la copia de seguridad forense. También puede ver esta acción en las pestañas Actividades del nodo individual y de todo el incidente. Para obtener más información, consulte Entienda las acciones emprendidas para mitigar un incidente.