オンデマンドでワークロードのフォレンジックバックアップを実行

EDRでは、攻撃に関する調査の一環として、監査やさらなる調査のためにオンデマンドでフォレンジックバックアップを実行できます。なおこの機能が利用できるのは、パートナーのワークロードでAdvanced Backupのサブスクリプションが有効な場合のみです。

フォレンジックバックアップを実行するには

1. サイバーキルチェーンで、フォレンジックバックアップを実行したいワークロードのノードをクリックします。
2. 表示されたサイドバーで、[対応操作] タブをクリックします。
3. [調査] セクションで、[フォレンジックバックアップ] をクリックします。

   

4. （オプション）[バックアップ名] フィールドで、編集アイコンをクリックしてバックアップ名を編集します。
5. [フォレンジックオプション] フィールドで、表示されたリンクをクリックします。表示されたフォレンジックオプションダイアログで、以下のいずれかを選択します:
   • Rawメモリダンプを収集
   • カーネルメモリダンプを収集

   また、[動作中のプロセスのスナップショット] チェックボックスを選択すると、バックアップを開始した瞬間に実行中のプロセスの情報を追加できます。この情報は、バックアップイメージに保存されます。

   [保存] をクリックして、フォレンジックオプションダイアログを閉じます。

6. [バックアップ先] フィールドで、表示されたリンクをクリックし、バックアップのロケーションを定義します。
7. （オプション）暗号化を有効にするには [暗号化] オプションをクリックしてください。表示されたダイアログで、暗号化バックアップのパスワードを入力し、関連する暗号化アルゴリズムを選択します。
8. （オプション）[コメント] フィールドに、コメントを追加します。このコメントは ［アクティビティ］ タブ（単一のノードまたはインシデント全体）に表示され、自分（または他の人）がインシデントを再度利用する際に、操作を実行した原因を思い出すヒントになります。
9. [実行] をクリックします。

   フォレンジックバックアップが開始します。この操作は、個別のノードとインシデント全体の [アクティビティ] タブで確認することもできます。詳細については、インシデントを軽減するために実行される操作を理解するを参照してください。