创建取证收集任务
创建取证收集任务
您可以从选定的 Endpoint Agent 主机获取文件、进程和自动运行点的列表。为此,您必须创建取证收集任务。
要创建取证收集任务:
- 在应用程序 Web 界面窗口中选择任务部分。
这将打开任务表。
- 单击添加按钮并在获取数据下拉列表中选择取证。
这将打开任务创建窗口。
- 配置以下设置:
- 信息类型是所收集数据的类型。选择一项、多项或所有设置旁边的复选框:
- 进程列表,如果您想获取任务执行时主机上运行的进程列表。
- 自动运行点列表,如果您想获取自动运行点的列表。
自动运行点列表包括有关添加到启动文件夹或在注册表的 Run 键中注册的应用程序的信息,以及在带有 Endpoint Agent 组件的主机启动时以及用户登录指定主机上的操作系统时自动运行的应用程序的信息。
- 文件列表,如果您想获取任务执行时存储在所选文件夹或所有主机文件夹中的文件列表。
- 如果您选择了文件列表复选框,在源类型设置组中选择以下选项之一:
- 所有本地磁盘,如果您希望文件列表包含任务执行时存储在本地磁盘上所有文件夹中的文件。
- 目录如果,您希望文件列表包含任务运行时存储在指定文件夹及其子文件夹中的文件。
- 如果您选择了目录,请在启动目录字段中指定文件搜索应从其开始的文件夹路径。
您可以使用以下前缀:
- 系统环境变量。
- 用户定义的环境变量。
使用用户定义的环境变量时,文件列表包含有关设置了指定环境变量的所有用户的文件夹中的文件的信息。如果用户定义的环境变量覆盖系统环境变量,则文件列表将根据系统环境变量的值包含有关文件夹中文件的信息。
- 在主机字段中,输入要向其分配任务的主机的 IP 地址或名称。
您可以指定多个主机。
如果您使用 Kaspersky Endpoint Agent 充当 Endpoint Agent 组件,则取证收集任务只能分配给运行 Kaspersky Endpoint Agent for Windows 版本 3.10 及更高版本的主机。仅具有 Kaspersky Endpoint Agent for Windows 3.12 及更高版本的主机支持获取自动运行点列表。
如有必要,您可以为文件夹中的文件指定以下搜索条件:
- 掩码是要包含在文件列表中的文件的掩码。
- 备用数据流是启用在文件列表中记录有关备用数据流的信息的复选框。
如果请求的文件已链接到其他 NTFS 数据流,则运行该任务将生成请求的文件链接到的 NTFS 数据流的所有文件。
默认情况下已选择该复选框。
- 最大嵌套级别是应用程序在其中搜索文件的文件夹的最大嵌套级别。
- 排除项是要禁止在其中搜索文件信息的文件夹的路径。
- 描述是任务描述。
- 信息类型是所收集数据的类型。选择一项、多项或所有设置旁边的复选框:
- 单击添加。
取证收集任务已创建。任务创建后自动运行。
作为任务的结果,应用程序将 ZIP 存档放置在存储中;存档包含包含所选数据的文件。如果任务成功完成,您可以将存档下载到本地计算机。
具有安全审计员角色的用户无法创建取证收集任务。
具有安全官角色的用户无权访问任务。
Did you find this article helpful?
What can we do better?
Thank you for your feedback! You're helping us improve.
Thank you for your feedback! You're helping us improve.