Remote benutzerdefinierte Skriptaufgabe ausführen

Ansichten:

Führen Sie ein PowerShell- oder Bash-Skript auf einem Zielendpunkt während einer Untersuchung aus.

Remote-Benutzerdefinierte Skripte ermöglichen es Hauptadministratoren und Sicherheitsanalysten, direkt auf Zielendpunkte zuzugreifen und zuvor hochgeladene PowerShell- und Bash-Skriptdateien auszuführen.

Die folgenden Dienste können diese Aufgabe ausführen:

TrendAI Vision One™
- Linux-Agent
- macOS-Agent
- Windows-Agent
Cloud One - Endpunkt- und Workload-Sicherheit
- Linux-Agent
- macOS-Agent
- Windows-Agent

Wichtig

Für PowerShell-Skripte, die auf Windows-Endpunkten ausgeführt werden:

Die PowerShell-Ausführungsrichtlinie des Zielendpunkts muss auf RemoteSigned gesetzt werden, andernfalls kann das Skript gesperrt werden. RemoteSigned ist die standardmäßige Ausführungsrichtlinie.
TrendAI™ empfiehlt, den Sprachmodus der PowerShell-Sitzung auf FullLanguage zu konfigurieren, da das Skript sonst gesperrt werden könnte. FullLanguage ist der Standard-Sprachmodus für Standardsitzungen in allen Windows-Versionen, außer Windows RT.
Die Skriptdatei darf keine interaktiven Funktionen enthalten. Skripte werden im stillen Modus ausgeführt, und interaktive Funktionen führen zu Zeitüberschrittung der Skripte.
Ein Beispiel für ein signiertes Skript finden Sie unter Beispiel eines signierten PowerShell-Skripts.
Führen Sie keine Skripte aus, die Prozesse in der GUI ausführen. Sicherheitsprobleme können auftreten, wenn Fenster in der Benutzersitzung angezeigt werden.
Um mehr zu erfahren, sehen Sie sich die offizielle Microsoft PowerShell-Dokumentation an.

Prozedur

Klicken Sie mit der rechten Maustaste auf den Endpunkt, den Sie untersuchen möchten, und wählen Sie Run Remote Custom Script aus dem Kontextmenü. Sie können pro Sitzung nur eine benutzerdefinierte Skriptdatei ausführen. Der Zielendpunkt muss online sein, um erfolgreich eine Verbindung herzustellen.

Der Run Remote Custom Script Task-Bildschirm erscheint und TrendAI Vision One™ versucht, eine Verbindung zum Endpunkt herzustellen.

Wählen Sie eine benutzerdefinierte Skriptdatei aus. Um ein neues benutzerdefiniertes Skript hinzuzufügen, gehen Sie zu Custom Scripts auf der Response Scripts-Registerkarte und klicken Sie auf Add script, um eine neue Skriptdatei hochzuladen.

Hinweis

Die maximale Dateigröße für diese Aufgabe hängt von der auf dem Zielendpunkt installierten Agentenversion ab:

Betriebssystem	Agent-Version	Maximale Dateigröße
Linux	Vor 20.0.2.29760	128 MB
Linux	20.0.2.29760 und später	4 GB
Windows	Vor 20.0.2.29760	128 MB
Windows	20.0.2.29760 und später	4 GB

Geben Sie die Argumente an, die dem Skript während der Skriptausführung hinzugefügt werden sollen. Sie können maximal 8.000 Zeichen angeben.
Geben Sie einen Beschreibung für die Antwort oder das Ereignis an.
Klicken Sie auf Erstellen.

TrendAI Vision One™ erstellt die Aufgabe und zeigt den aktuellen Aufgabenstatus in Response Management an.
Überwachen Sie den Aufgabenstatus.
1. Navigieren Sie zu Workflow and Automation → Response Management.
2. Um die Aufgabe zu finden, verwenden Sie die Suchleiste oder wählen Sie Run Remote Custom Script aus der Aktion-Dropdown-Liste.
1. Zeigen Sie den Aufgabenstatus an.
  - Wird ausgeführt (): TrendAI Vision One™ hat den Befehl gesendet und wartet auf eine Antwort.
  - Erfolgreich (): Der Befehl wurde erfolgreich ausgeführt.
  - Nicht erfolgreich (): Beim Versuch, den Befehl an den Verwaltungsserver zu senden, ist ein Fehler oder ein Timeout aufgetreten, der Security Agent ist seit mehr als 12 Stunden offline, oder die Befehlsausführung hat ein Timeout erreicht.
2. Klicken Sie auf Task ID, um die Aufgabendetails anzuzeigen, und auf Herunterladen, um die Sitzungsverlauf anzuzeigen. Verwenden Sie ein Dateikomprimierungsprogramm, um die Dateiinhalte zu extrahieren und zu dekomprimieren.