Upload
ruben-hernan-copa
View
240
Download
0
Embed Size (px)
DESCRIPTION
procedimiento recoleccion de datos osce
Citation preview
Avda. Corrientes 1386 Piso 8 CP- 1043ABN - Capital Federal Repblica Argentina Pgina 1 Telfono: +54 11 43 70 60 00 Fax: +54 11
43 73 89 50 www.trendargentina.com.ar
Departamento de Soporte Tcnico
Procedimiento
Trend Micro Anti-Threat Toolkit
(ATTK)
Departamento de Soporte Tcnico
Equipo AntiMalware
EDSI Trend Argentina
A TTK
ATTK
Avda. Corrientes 1386 Piso 8 CP- 1043ABN - Capital Federal Repblica Argentina Pgina 2 Telfono: +54 11 43 70 60 00 Fax: +54 11
43 73 89 50 www.trendargentina.com.ar
Departamento de Soporte Tcnico
Descripcin:
Este documento tiene el propsito de auxiliar en el proceso de investigacin de puestos de
trabajo que presentan comportamiento sospechoso.
El procedimiento mencionado, deber ser realizado por personas de conocimiento tcnico
medio, y un nivel de especializacin en productos antivirus bajo.
El mtodo de investigacin, est basado en la recopilacin de informacin de sistema, logs
de antivirus, cliente antivirus y registro de sistema operativo.
Las herramienta que se mencionara es provista por Trend Micro Inc.
Herramienta:
Anti-Threat Toolkit (ATTK) Quick Collector
Download: https://spnsupport.trendmicro.com/
Resumen: ATTK nos permitir recolectar informacin sobre el sistema, especficamente
relacionado a la visualizacin de registros malintencionados (versin en 32 y 64 bits que
deben utilizarse segn el procesador que disponga el sistema).
Procedimiento:
Una vez realizada la descarga de dicha herramienta, ejecutar los siguientes puntos:
1. Proceder a la ejecucin del archivo attk_collector_cli_x64.exe o
attk_collector_cli_x32.exe sobre el usuario afectado del equipo y que presente sntomas
de infeccin. Tener en cuenta que el mismo deber ser ejecutado desde un disco que
disponga de un mnimo de 50 MB.
ATTK
Avda. Corrientes 1386 Piso 8 CP- 1043ABN - Capital Federal Repblica Argentina Pgina 3 Telfono: +54 11 43 70 60 00 Fax: +54 11
43 73 89 50 www.trendargentina.com.ar
Departamento de Soporte Tcnico
2. Esperar la finalizacin del anlisis de la herramienta:
3. Luego, observar que desde el directorio del cual se ejecut el ATTK, se han generado
nuevos archivos y directorios:
ATTK
Avda. Corrientes 1386 Piso 8 CP- 1043ABN - Capital Federal Repblica Argentina Pgina 4 Telfono: +54 11 43 70 60 00 Fax: +54 11
43 73 89 50 www.trendargentina.com.ar
Departamento de Soporte Tcnico
Estos nuevos archivos y directorios, debern ser enviados a Trend Argentina
comprimidos y con password, a travs de nuestro sitio FTP o bien va email.
ATTK
Avda. Corrientes 1386 Piso 8 CP- 1043ABN - Capital Federal Repblica Argentina Pgina 5 Telfono: +54 11 43 70 60 00 Fax: +54 11
43 73 89 50 www.trendargentina.com.ar
Departamento de Soporte Tcnico
Envo de muestras
Las muestras obtenidas, luego de la ejecucin debida de cada una de las herramientas, se
explicaran en este mdulo.
Es importante, entonces, tener en cuenta el resumen de informacin que se detalla a
continuacin, sobre que archivos/directorios son necesitados:
ATTK:
TrendMicro AntiThreat Toolkit\Output
Los mismos debern ser comprimidos en formato RAR o ZIP y con password, donde la
misma deber ser novirus. El nombre del archivo comprimido deber ser equivalente al nombre de la empresa que lo gener.
Dependiendo del tamao del archivo comprimido, se explica entonces la metodologa de
envo del mismo:
Si el archivo es Menor a 5 MB:
El envo se realizara va email, a la direccin de soporte:
O bien, al tcnico asociado al incidente.
Si el archivo es Mayor a 5 MB:
El envo se realizar a travs de nuestro sitio FTP.
Site: ftp://ftp.trendargentina.com.ar/ATTK
User: customer
Password: ftp-customer
(nota: Por favor comunicarnos que las muestras fueron elevadas por este medio)