创建取证收集任务

技术支持

企业产品

Kaspersky Anti Targeted Attack (KATA) Platform

对于安全人员：应用程序 Web 界面使用入门

管理任务

创建取证收集任务

2024年6月26日

ID 247370

另存为 PDF

您可以从选定的 Endpoint Agent 主机获取文件、进程和自动运行点的列表。为此，您必须创建取证收集任务。

要创建取证收集任务：

在应用程序 Web 界面窗口中选择任务部分。
这将打开任务表。
单击添加按钮并在获取数据下拉列表中选择取证。
这将打开任务创建窗口。
配置以下设置：
1. 信息类型是所收集数据的类型。选择一项、多项或所有设置旁边的复选框：
  - 进程列表，如果您想获取任务执行时主机上运行的进程列表。
  - 自动运行点列表，如果您想获取自动运行点的列表。
    自动运行点列表包括有关添加到启动文件夹或在注册表的 Run 键中注册的应用程序的信息，以及在带有 Endpoint Agent 组件的主机启动时以及用户登录指定主机上的操作系统时自动运行的应用程序的信息。
    支持的自动运行点列表
    Kaspersky Endpoint Agent 支持收集以下自动运行点的数据：
    - Logon。
    - Run。
    - Explorer。
    - Shell。
    - Office。
    - Internet Explorer。
    - Tasks。
    - Services。
    - Drivers。
    - Telephony。
    - Cryptography。
    - Debuggers。
    - COM。
    - Session Manager。
    - Network。
    - LSA。
    - Applications。
    - Codecs。
    - Shellex。
    - WMI。
    - Unspecified。
    Kaspersky Endpoint Security 支持收集上述自动运行点以及以下内容：
    - BootLog
    - Browsers
    - DriverLog
    - EfiLoader
    - GroupPolicy
    - Logon。
    - OsLoader
    - OsUpdate
    - Printer
    - Process
    - Scheduler
  - 文件列表，如果您想获取任务执行时存储在所选文件夹或所有主机文件夹中的文件列表。
2. 如果您选择了文件列表复选框，在源类型设置组中选择以下选项之一：
  - 所有本地磁盘，如果您希望文件列表包含任务执行时存储在本地磁盘上所有文件夹中的文件。
  - 目录如果，您希望文件列表包含任务运行时存储在指定文件夹及其子文件夹中的文件。
3. 如果您选择了目录，请在启动目录字段中指定文件搜索应从其开始的文件夹路径。
  您可以使用以下前缀：
  - 系统环境变量。
  - 用户定义的环境变量。
    使用用户定义的环境变量时，文件列表包含有关设置了指定环境变量的所有用户的文件夹中的文件的信息。如果用户定义的环境变量覆盖系统环境变量，则文件列表将根据系统环境变量的值包含有关文件夹中文件的信息。
4. 在主机字段中，输入要向其分配任务的主机的 IP 地址或名称。
  您可以指定多个主机。
  如果您使用 Kaspersky Endpoint Agent 充当 Endpoint Agent 组件，则取证收集任务只能分配给运行 Kaspersky Endpoint Agent for Windows 版本 3.10 及更高版本的主机。仅具有 Kaspersky Endpoint Agent for Windows 3.12 及更高版本的主机支持获取自动运行点列表。
  如有必要，您可以为文件夹中的文件指定以下搜索条件：
  - 掩码是要包含在文件列表中的文件的掩码。
  - 备用数据流是启用在文件列表中记录有关备用数据流的信息的复选框。
    如果请求的文件已链接到其他 NTFS 数据流，则运行该任务将生成请求的文件链接到的 NTFS 数据流的所有文件。
    默认情况下已选择该复选框。
  - 最大嵌套级别是应用程序在其中搜索文件的文件夹的最大嵌套级别。
  - 排除项是要禁止在其中搜索文件信息的文件夹的路径。
  - 描述是任务描述。
单击添加。