Trend Vision One Extended Detection and Response (XDR) カスタムスクリプト

カスタムスクリプトタスクは、LinuxおよびWindows用のDeep Security Agentバージョン20.0.0-5137以降を使用しているTrend Cloud One - Endpoint & Workload Securityの顧客のみが利用可能です。

Windowsエンドポイントで実行されるPowerShellスクリプトには、次の推奨事項があります。

ターゲットエンドポイントのPowerShell実行ポリシーはRemoteSignedに設定する必要があります。これによりスクリプトがブロックされるのを防ぎます。RemoteSignedはデフォルトの実行ポリシーです。
PowerShellセッションの言語モードはFullLanguageに設定する必要があります。これにより、スクリプトがブロックされるのを防ぎます。FullLanguageは、Windows RTを除くすべてのバージョンのWindowsのデフォルトセッションのデフォルト言語モードです。
スクリプトファイルに対話型の関数を含めることはできません。スクリプトはサイレントモードで実行されるため、対話型の機能ではスクリプトがタイムアウトします。

上記の設定について詳しくは、Microsoft PowerShell公式ドキュメントをご覧ください。

リモートカスタムスクリプトを使用すると、マスター管理者およびセキュリティアナリストの役割を持つユーザが対象のエンドポイントに直接アクセスして、以前にアップロードしたPowerShellおよびBashスクリプトファイルを実行できます。

リモートカスタムスクリプトタスクを実行する

Trend Vision Oneで、対象のエンドポイントでPowerShellまたはBashスクリプトを実行します。

手順

調査するエンドポイントを特定し、コンテキストまたは応答メニューにアクセスして、[リモートカスタムスクリプトの実行]を選択します。

[ リモートカスタムスクリプトの実行タスク] 画面が表示され、Trend Vision Oneがエンドポイントへの接続を試行します。

Trend Vision Oneでは、セッションごとに1つのカスタムスクリプトファイルのみ実行できます。ターゲットエンドポイントは、正常に接続するためにオンラインである必要があります。
リストからカスタムスクリプトファイルを選択します。

カスタムスクリプトを追加するには、[Go to Custom Scripts management] をクリックし、新しいブラウザタブで [Response Management] アプリケーションを開きます。[Custom Scripts] タブを選択し、新しいスクリプトをアップロードします。
必要に応じて、実行時にスクリプトに追加する引数を指定します。引数は最大8000文字に制限されています。
必要に応じて、応答またはイベントの [Description] を指定します。
[Create]をクリックします。

Trend Vision Oneによってタスクが作成され、[Response Management] アプリに現在のコマンドステータスが表示されます。
[Response Management] アプリケーションからタスクのステータスを監視します。
必要に応じて、セッション履歴をTXTファイルとして取得します。
- [Search] フィールドを使用するか、[Action] リストから [Run Remote Custom Script] を選択します。
- タスクIDを選択し、[詳細] → [ダウンロード]をクリックしてファイルを保存します。
タスクのステータスは次のとおりです。
- 進行中: Trend Vision Oneは管理サーバにコマンドを送信し、応答を待っています。
- 成功: 管理サーバはコマンドを正常に受信しました。
- 失敗: コマンドを管理サーバに送信しようとしたときにエラーまたはタイムアウトが発生したか、セキュリティエージェントが12時間以上オフラインであるか、コマンドの実行がタイムアウトしました。

リモートシェルを使用してカスタムスクリプトを実行する

リモートシェルrunコマンドを使用してカスタムスクリプトをトリガーできます。詳細については、リモートシェルを参照してください。