Ansichten:

Führen Sie ein PowerShell- oder Bash-Skript auf einem Zielendpunkt während einer Untersuchung aus.

Remote-Benutzerdefinierte Skripte ermöglichen es den Rollen Master-Administrator und Sicherheitsanalyst, direkt auf Zielendpunkte zuzugreifen, um zuvor hochgeladene PowerShell- und Bash-Skriptdateien auszuführen.
Die folgenden Dienste unterstützen diese Aufgabe:
  • Trend Vision One
    • Linux-Agent
    • macOS-Agent
    • Windows-Agent
  • Trend Cloud One - Endpunkt- und Workload-Sicherheit
    • Linux-Agent
    • macOS-Agent
    • Windows-Agent
Wichtig
Wichtig
Die folgenden Empfehlungen gelten nur für PowerShell-Skripte, die auf Windows-Endpunkten ausgeführt werden:
  • Die PowerShell-Ausführungsrichtlinie des Zielendpunkts muss auf RemoteSigned gesetzt werden, andernfalls kann das Skript gesperrt werden. RemoteSigned ist die standardmäßige Ausführungsrichtlinie.
  • Trend Micro empfiehlt, den Sprachmodus der PowerShell-Sitzung auf FullLanguage zu konfigurieren, da das Skript andernfalls gesperrt werden könnte. FullLanguage ist der Standard-Sprachmodus für Standardsitzungen in allen Windows-Versionen, außer Windows RT.
  • Die Skriptdatei darf keine interaktiven Funktionen enthalten. Da Skripte im stillen Modus ausgeführt werden, führen interaktive Funktionen zu einer Zeitüberschreitung.
    Ein Beispiel für ein signiertes Skript finden Sie unter Beispiel eines signierten PowerShell-Skripts.
  • Das Ausführen von Prozessen, die grafische Benutzeroberflächen (GUIs) beinhalten, ist untersagt. Dies liegt daran, dass das Skript in der Anmeldesitzung des Dienstes ausgeführt wird, wodurch es aus Sicherheitsgründen unmöglich ist, Fenster in der Benutzersitzung anzuzeigen.
Um mehr über die obigen Einstellungen zu erfahren, konsultieren Sie bitte die offizielle Microsoft PowerShell-Dokumentation.

Prozedur

  1. Nachdem Sie den zu untersuchenden Endpunkt identifiziert haben, wählen Sie Run Remote Custom Script aus dem Kontext- oder Antwortmenü. Sie können pro Sitzung nur eine benutzerdefinierte Skriptdatei ausführen. Der Zielendpunkt muss online sein, um erfolgreich eine Verbindung herzustellen.
    Der Run Remote Custom Script Task-Bildschirm erscheint und Trend Vision One versucht, eine Verbindung zum Endpunkt herzustellen.
  2. Wählen Sie eine benutzerdefinierte Skriptdatei aus.
    Um ein neues benutzerdefiniertes Skript hinzuzufügen, gehen Sie zu Custom Scripts auf der Registerkarte Response Scripts des Reaktionsmanagements. Klicken Sie auf Add script, um eine neue Skriptdatei hochzuladen.
  3. Geben Sie die Argumente an, die dem Skript während der Skriptausführung hinzugefügt werden sollen. Sie können maximal 8.000 Zeichen angeben.
  4. Geben Sie einen Beschreibung für die Antwort oder das Ereignis an.
  5. Klicken Sie auf Erstellen.
    Trend Vision One erstellt die Aufgabe und zeigt den aktuellen Aufgabenstatus in Response Management an.
  6. Überwachen Sie den Aufgabenstatus.
    1. Navigieren Sie zu Workflow and AutomationResponse Management.
    2. Aufgabe lokalisieren.
    • Verwenden Sie das Suche, um die Aufgabe zu finden.
    • Wählen Sie Run Remote Custom ScriptAktion aus.
    1. Zeigen Sie den Aufgabenstatus an.
      • Wird ausgeführt (in_progress=GUID-A55897DB-3DEA-4F5C-B7F9-70B3D7FB9EDE=1=de-de=Low.jpg): Trend Vision One hat den Befehl gesendet und wartet auf eine Antwort.
      • Erfolgreich (successful=GUID-1E31AD86-DE2E-48B5-85F7-7C78A3E8BB11=1=de-de=Low.jpg): Der Befehl wurde erfolgreich ausgeführt.
      • Nicht erfolgreich (error=5cc21722-7ceb-480c-b9c2-a47d420cf1cc.jpg): Beim Versuch, den Befehl an den Verwaltungsserver zu senden, ist ein Fehler oder ein Timeout aufgetreten, der Security Agent ist seit mehr als 12 Stunden offline, oder die Befehlsausführung hat ein Timeout erreicht.
    2. Klicken Sie auf Task ID, um Details anzuzeigen und Herunterladen, um den Sitzungsverlauf anzuzeigen. Verwenden Sie ein externes Dekomprimierungsprogramm (zum Beispiel 7-Zip), um den Dateiinhalt zu extrahieren.
Zugehörige Informationen