Greifen Sie während einer Untersuchung direkt auf einen Endpunkt zu, um Befehle in
der Befehlszeilenschnittstelle (CLI) auszuführen, die Registrierung, Dateien, Dienste
oder Startanwendungen zu verwalten oder ein benutzerdefiniertes Skript auszuführen.
-
Nur Benutzer mit der Rolle des Master-Administrators oder Sicherheitsanalysten können auf die Fernzugriffsantwort zugreifen.
-
Sie müssen den Endpunkt auf die Agentenversion 1.2.0.6734 oder höher aktualisieren, um den Fernzugriff zu nutzen.
-
Der Zielendpunkt muss online sein, um eine Verbindung herzustellen.
-
Trend Vision One erlaubt nur 10 gleichzeitige Remote-Shell-Sitzungen pro Unternehmen und gestattet nicht, dass mehrere gleichzeitig auf denselben Endpunkt zugreifen.
-
Trend Vision One beschränkt Sie auf eine benutzerdefinierte Skriptdatei pro Sitzung.
-
Änderungen, die in einem Fenster vorgenommen werden, erscheinen möglicherweise nicht in einem anderen. Jedes Fenster zeigt seine eigene statische Ansicht des Dateisystems an. Um die neuesten Daten anzuzeigen, klicken Sie auf
.
Die folgenden Dienste unterstützen diese Aufgabe:
-
Trend Vision One
-
Windows-Agent
-
Prozedur
- In Workbench, XDR Data Explorer oder Observed Attack Techniques mit der rechten Maustaste auf einen Endpunkt klicken und Start remote access session auswählen, dann auf Erstellen klicken.Wenn Trend Vision One innerhalb von fünf Minuten keine Sitzung herstellen kann, wird die Verbindung unterbrochen. Eine Sitzung endet automatisch nach zwei Stunden und wird nach 10 Minuten Inaktivität automatisch beendet.
- Verwenden Sie die Navigationsleiste für den Fernzugriff, um die entsprechenden Aufgaben
auszuführen:
-
Aufgaben verwalten:
Einige Fenster können langsam laden, wenn eine große Menge an Daten angezeigt wird. - Wenn Sie das Fenster verschieben, die Größe ändern oder schließen müssen, passen Sie das Fenster an.
- Wenn Ihre Sitzung abgeschlossen ist, klicken Sie auf End session. Das Beenden der Verbindung kann einige Minuten dauern.
Remote-Shell-Befehle ausführen 
Eine Liste der Befehle finden Sie unter Remote-Shell-Befehle für Windows-Endpunkte.
Prozedur
- Klicken Sie auf
in der Navigationsleiste. - Beginnen Sie mit der Eingabe. Die Auto-Vervollständigung bietet Befehlsvorschläge.
-
Drücken Sie die Tab-Taste, um den automatisch vorgeschlagenen Befehl zu verwenden.
-
Drücken Sie Alt+
, um den vorherigen Vorschlag anzuzeigen. -
Drücken Sie Alt+
, um den nächsten Vorschlag anzuzeigen.
-
Registrierung bearbeiten
Prozedur
- Klicken Sie auf
in der Navigationsleiste. - Erweitern Sie die Ordner, um eine Liste von Registrierungsschlüsseln und Namenswerten anzuzeigen.
- Klicken Sie mit der rechten Maustaste auf den Registrierungsschlüssel oder den Namen-Wert
und wählen Sie eine der folgenden Aktionen aus:
-
Löschen
-
Kopieren
-
Dateien, Ordner und Festplatten durchsuchen
Prozedur
- Klicken Sie auf
in der Navigationsleiste. - Erweitern Sie die Ordner, um eine Liste von Dateien und Ordnern anzuzeigen. Sie können
auch direkt den Pfad eingeben.
-
Klicken Sie, um zum vorherigen Dateipfad zu gelangen.
-
Klicken Sie, um zum nächsten Dateipfad zu gelangen.
-
- Klicken Sie mit der rechten Maustaste auf eine Datei oder einen Ordner und wählen
Sie eine der folgenden Aktionen aus:
-
Löschen
-
Compress
-
Collect file
-
Prozesse verwalten
Prozedur
- Klicken Sie auf in der Navigationsleiste.
- Klicken Sie im Task-Manager-Menü auf
. - Wenn Sie die Liste filtern möchten, geben Sie im Filterfeld ein.
- Klicken Sie mit der rechten Maustaste auf einen Prozess und wählen Sie eine der folgenden
Aktionen aus:
-
Beenden
-
Copy image path
-
Create dump
-
Vollständig
-
Mini
-
-
Collect file
-
Dienste verwalten
Prozedur
- Klicken Sie auf in der Navigationsleiste.
- Klicken Sie im Task-Manager-Menü auf
. - Wenn Sie die Liste filtern möchten, geben Sie im Filterfeld ein.
- Klicken Sie mit der rechten Maustaste auf einen Dienst und wählen Sie eine der folgenden
Aktionen aus:
-
Starten
-
Stoppen
-
Löschen
-
Liste der Benutzer anzeigen
Prozedur
- Klicken Sie auf in der Navigationsleiste.
- Klicken Sie im Task-Manager-Menü auf
. - Wenn Sie die Liste filtern möchten, geben Sie im Filterfeld ein.
Startprogramme verwalten
Prozedur
- Klicken Sie auf in der Navigationsleiste.
- Klicken Sie im Task-Manager-Menü auf
. - Klicken Sie mit der rechten Maustaste auf eine Startanwendung und wählen Sie eine
der folgenden Aktionen aus:
-
Deaktiviert, wenn aktiviert
-
Aktivieren, wenn deaktiviert
-
Löschen
-
Benutzerdefiniertes Skript ausführen
Prozedur
- Klicken Sie auf
in der Navigationsleiste. - Klicken Sie auf Run für das Skript, das Sie ausführen möchten.Trend Vision One beschränkt Sie auf eine benutzerdefinierte Skriptdatei pro Sitzung.
Überwachen Sie den Status einer Aufgabe
Wenn Sie eine neue Benachrichtigung haben, erscheint ein roter Punkt auf dem Benachrichtigungssymbol.
Prozedur
- Klicken Sie auf
in der Navigationsleiste. - Überprüfen Sie Informationen zu einer Aufgabe, einschließlich ID, Status, Aktion, Ziel und aktualisiertem Datum.
Fenster anpassen
Wenn Sie das Fenster schließen, bevor die Sitzung beendet ist, wird die Verbindung
zum Endpunkt nach 10 Minuten unterbrochen.
Prozedur
- Klicken und halten Sie die Titelleiste, um das Fenster zu verschieben.
- Klicken und halten Sie eine Ecke, um das Fenster zu ändern
- Klicken Sie auf
, um das Fenster zu minimieren. - Klicken Sie auf
, um das Fenster zu maximieren. - Klicken Sie auf
, um das Fenster zu schließen - Klicken Sie mit der rechten Maustaste auf das Symbol in der Navigationsleiste, um ein minimiertes Fenster erneut anzuzeigen.
- Klicken Sie mit der rechten Maustaste auf die Navigationsleiste und wählen Sie Close all windows, um die Fenster für den Fernzugriff zu schließen. Dies beendet die Sitzung nicht.