ติดต่อทาง Support เพื่อขอ Script ในการ Run
หลังจากการทำ Isolate เครื่องแล้ว ให้ดำเนินการเก็บ log ดังนี้
1. นำ info_collect ไปไว้บนเครื่องที่ติด ransomware
2. แตก ZIP แล้ว run info_collect.bat ด้วยสิทธิ์ Admin
ระบบจะทำการ collect ไฟล์ log ที่จำเป็น
เมื่อเสร็จ cmd จะให้กด Key to exit
3. จะได้เป็น file ZIP ออกมา ให้เพิ่มเลข IP ของเครื่องที่ Run
4. วิธีเช็คเวลาที่โดนเข้ารหัสด้วย Everything และนำเวลาที่เครื่องถูกเข้ารหัสไปใส่ต่อท้ายชื่อไฟล์
5. ตรวจสอบว่า ใน folder output>LastActivityView มีไฟล์ csv หรือไม่
หากไม่มีให้ทำตามขั้นตอนด้านล่าง
5.1 ไปที่ folder tool > LastActivityView แล้ว run
5.2 ให้กด CTRL+A แล้ว CTRL+S เพื่อ save ทุกบรรทัด
5.3 ตั้งสกุลไฟล์เป็น .csv และใส่ข้อมูล IP Hostname ของเครื่องที่ run
6. ทำการส่ง log ขึ้น Fileshare ตามที่ FAE แจ้ง
กรณีได้รับแจ้งให้เก็บLog EDR เพิ่ม
การเก็บ Log EDR เพื่อทำ Investigation
keyword: info collect
ข้อคิดเห็น
0 ข้อคิดเห็น
โปรด ลงชื่อเข้าใช้ เพื่อแสดงข้อคิดเห็น