Windows Live Response クイック リファレンス ガイド (QRG)
Windows システムが侵害されている疑いがある場合は、この QRG を参照してライブ データ収集を実装してください。はじめに: システム侵害が疑われる場合は、すぐにこの QRG の手順を実行してください。
Windows システムが侵害されている疑いがある場合は、この QRG を参照してライブ データ収集を実装してください。
はじめに:システム侵害が疑われる場合は、すぐにこの QRG の手順を実行してください。この QRG では、ライブ データ収集の手順を説明します。以下の手順とは別に、データが変更されるため、侵害されたシステムでの使用を制限してください。
前提条件:この QRG は、管理者権限なしで CMD.exe を備えた Windows マシンで実行できるように設計されています。インシデント対応ケースに備えて、少なくとも 64 GB 以上の空の外付けドライブを用意しておく必要があります。
- 侵害されたワークステーションで、ノートブックを使用して、現在の日付と時刻、ワークステーションのユーザー名、およびワークステーション上で確認できるコンピュータ名/番号を記録します。
- すぐに使用できる外部ドライブを侵害されたワークステーションに挿入し、Windows のバージョンに応じて「マイ コンピュータ」または「この PC」に移動して、割り当てられたドライブ文字を確認します。
- [スタート] メニューを開き、コマンド プロンプト (CMD) を検索して起動します。
- CMD で、{System Date}、{Time}、および {Time Zone} を取得し、外部ドライブにエクスポートします (「E」はコード内のドライブ文字に相当します): 次のように入力します。 > echo %date% %
time % > E:\date_time.txt
続いて: > echo & tzutil /g >> E:date_time.txt - {システム情報} を取得します: > systeminfo > E:system_info.txt
- {実行中のプロセス} と {サービス} を取得します:
> tasklist /v > E:running_processes_service.txt - すべての {アクティブな TCP 接続} と {コンピューターがリッスンしている TCP および UDP ポート} を取得します:
> netstat -a > E:tcp_connections_open_ports.txt - {ルーティング テーブル} を取得します: >ルート印刷 | 詳細> E:ルーティングテーブル.txt
- {ARP キャッシュ} を取得します: > arp -a > E:arp_cache.txt
- {Net Bios Over TCP/IP} (キャッシュとローカル名) を取得します: > nbtstat -cn > E:netbios.txt
- {DNS キャッシュ} を取得します: > ipconfig /displaydns > E:dns_cache.txt
- {ログオン セッション} を取得します (システムがオンのとき): > wmic logon > E:logon_sessions.txt
- {IP インターフェイス アドレス} を取得します: > ipconfig /all > E:interface_ip_addresses.txt
- {インストールされているドライバー} を取得します: > driverquery > E:installed_drivers.txt
- {スケジュールされたタスク} を取得します: > schtasks > E:scheduled_tasks.txt
- CMD を閉じて、リムーバブル ドライブを取り出します。