VMware Carbon Black Endpoint Sensor -lokien kerääminen Live Response -toiminnolla
Summary: VMware Carbon Black Endpoint Sensor -lokeja voidaan kerätä etäyhteyden kautta reaaliaikaisella vastauksella noudattamalla näitä ohjeita.
Symptoms
VMware Carbon Black Endpoint- ja Carbon Black Defense -lokien etäkeräys VMware Carbon Black Cloud Consolen Live Response -toiminnolla.
Tuotteet, joita asia koskee:
- VMware Carbon Black Endpoint
Versiot, joita asia koskee:
- 3.4 ja uudemmat
Käyttöjärjestelmät, joita asia koskee:
- Windows
Cause
-
Resolution
VMware Carbon Black Cloudin Live Response -ominaisuuden avulla voidaan kerätä anturilokeja etäyhteyden kautta Microsoft Windows -päätepisteistä vianmääritystukea varten.
Varmista, että Live Response -käytäntö on otettu käyttöön päätepisteessä. Oletusasetus on Disabled.
Jotta lokeja voi kerätä Live Response -toiminnolla, järjestelmänvalvojan on ensin otettava käyttöön käytäntö, suoritettava Live Response ja ladattava lokit. Katso lisätietoja valitsemalla asianmukainen toiminto.
Ota käytäntö käyttöön
Käytännön käyttöönottamisen varmistaminen:
- Siirry selaimessa osoitteeseen [REGION].conferdeploy.net.
- Pohjois- ja Etelä-Amerikka = https://defense-prod05.conferdeploy.net/
- Eurooppa = https://defense-eu.conferdeploy.net/
- Aasia ja Tyynenmeren alue = https://defense-prodnrt.conferdeploy.net/
- Australia ja Uusi-Seelanti = https://defense-prodsyd.conferdeploy.net
- Kirjaudu VMware Carbon Black Cloudiin.
- Valitse vasemmassa valikkoruudussa Enforce.
- Valitse Policies.
- Valitse käytäntö.
- Valitse Sensor-välilehti ja varmista, että Enable Live Response on valittu.
Live Response -toiminnon suorittaminen
Live Response -toiminnon suorittaminen vaihtelee VMware Carbon Black Cloud Endpoint Sensor -version mukaan. Katso lisätietoja valitsemalla asianmukainen versio.
Live Response -toiminnon käyttö versiossa 3.6 ja uudemmissa:
- Valitse vasemmassa ruudussa Endpoints.
- All Sensors -käyttöliittymässä:
- Etsi tarvittava Device Name.
- Napsauta Actions-kohdan avattavaa valikkoa.
- Valitse Live Response.
- Kun Live Response on yhdistetty, kirjoita
cd c:\program files\conferja paina Enter-näppäintä.
- Kirjoita
execfg cmd /c repcli capture “[PATH]”ja paina Enter-näppäintä. Lokiinkirjaaminen suoritetaan RepCLI-apuohjelmalla.
[PATH] = lokin kohdekansion absoluuttinen polku
Kun tallennus on valmis, kehote tarkoittaa, että tallennetut lokit tallennetaan määritettyyn kohdekansioon, jonka tiedostonimi on psc_sensor.zip
Live Response -toiminnon käyttö versioissa 3.4–3.5:
- Valitse vasemmassa ruudussa Endpoints.
- All Esensors -käyttöliittymässä:
- Etsi tarvittava Device Name.
- Napsauta Actions-kohdan avattavaa valikkoa.
- Valitse Live Response.
- Kun Live Response on yhdistetty, kirjoita
cd c:\program files\conferja paina Enter-näppäintä.
- Kirjoita
execfg repcli captureja paina Enter-näppäintä. Lokiinkirjaaminen suoritetaan RepCLI-apuohjelmalla.
Kun tallennus on valmis, kehote tarkoittaa, että tallennuksen lokeihin C:\Windows\Temp\cb-temp lisätään tiedostonimi psc_sensor.zip
Lataa lokit
Lokien lataaminen:
- Kirjoita
cd C:\Windows\Temp\cb-tempja paina Enter-näppäintä.
confer.log , se voidaan kerätä suoraan selaamalla C:\Program Files\Confer, kirjoittamalla get confer.logja painamalla Enter-näppäintä.
- Kirjoita
get psc_sensor.zipja paina Enter-näppäintä.
- Tiedosto latautuu paikalliseen tietokoneeseen aakkosnumeerisella tiedostonimellä. Lisää .zip-tunniste nimeämällä tiedosto uudelleen.
- Esimerkki aakkosnumeerisesta tiedostonimestä:
36355d97-18f4-416e-be8f-473bda7c30fb. - Esimerkki uudelleennimetystä tiedostonimestä:
SensorCapture.zip.
Jos haluat ottaa yhteyttä tukeen, katso luettelo Dell Data Securityn kansainvälisen tuen puhelinnumeroista.
TechDirectissä voit luoda teknisen tukipyynnön verkossa.
Lisätietoja ja resursseja on Dell Security Community Forum -keskustelufoorumilla.