Eseguire un backup forense su richiesta su un workload

Come parte delle indagini relative a un attacco, EDR consente di eseguire un backup forense su richiesta per finalità di audit o per indagini approfondite. Questa funzionalità è disponibile solo se al workload del Partner è associato un abbonamento Advanced Backup.

Per eseguire un backup forense

  1. Nella sequenza dell'attacco informatico, fare clic sul nodo del workload per il quale eseguire un backup forense.
  2. Nella barra laterale visualizzata, fare clic sulla scheda Azioni di risposta.
  3. Nella sezione Indaga, fare clic su Backup con dati forensi.

  4. [Facoltativo] Nel campo Nome backup, fare clic sull'icona di modifica per modificare il nome del backup.
  5. Nel campo Opzioni forensi, fare clic sul link visualizzato. Nella finestra di dialogo Opzioni forensi, selezionare una delle seguenti opzioni:
    • Raccogli dump della memoria raw
    • Raccogli dump della memoria kernel

    È anche possibile selezionare la casella di controllo Snapshot dei processi in esecuzione per aggiungere informazioni sui processi in esecuzione al momento dell'avvio del backup. Queste informazioni sono archiviate in un'immagine di backup.

    Fare clic su Salva per chiudere la finestra di dialogo Opzioni forensi.

  6. Nel campo Dove eseguire il backup, fare clic sul link visualizzato per definire una posizione per il backup.
  7. [Facoltativo] Fare clic sull'opzione Crittografia per abilitare la crittografia. Nella finestra di dialogo visualizzata, modificare la password per il backup crittografato e selezionare l'algoritmo di crittografia pertinente.
  8. [Facoltativo] Nel campo Commento, aggiungere un commento. Questo commento è visibile nella scheda Attività (per un singolo nodo o per l'intero problema) e può essere di aiuto per ricordare perché una determinata azione è stata intrapresa se, in un secondo momento, è necessario rivedere il problema.
  9. Fare clic su Esegui.

    Il backup forense viene avviato. Questa azione può essere visualizzata nelle schede Attività sia del singolo nodo che dell'intero problema. Per ulteriori informazioni, consultare Comprendere le azioni intraprese per mitigare un problema.