Trend Vision Oneの拡張検出/応答 (XDR) リモートシェル

Trend Vision One XDR統合リモートシェルを使用すると、XDRインターフェースから直接コマンドを実行できます。

エージェントとリレーをプロキシ経由で主要なセキュリティ更新ソースに接続する場合、リモートシェルは自動的に同じプロキシの設定を使用します。

リモートシェルは、LinuxおよびWindowsの場合、バージョン20.0.0-2009以降のエージェント、macOSの場合、バージョン20.0.0-173以降のエージェントで利用可能です。詳細については、サポートされているコマンドの表を参照してください。

要件

エージェントをインストールするには、WindowsまたはLinuxの場合はバージョン20.0.0-2009以降、macOSの場合はバージョン20.0.0-173以降を使用してください。
Trend Vision One拡張検出と対応 (XDR) に登録する
セキュリティイベントをTrend Vision One拡張検出と対応 (XDR) に転送
アクティビティ監視を有効にする

Workload Securityは、IoTメカニズムを使用してメッセージやイベントをXDRに送信します。環境内で許可されるURLを制限する必要がある場合は、ファイアウォールを構成してWorkload Security URLsテーブルのEvent Channel - XDR Activity Monitoring FQDNを含めてください。

リモートシェルセッションを開始する

リモートシェルセッションは、次のいずれかから開始できます。

Trend Vision One検索アプリから:

: Search Appイベントで[endpointHostName]フィールドを右クリックし、[Start Remote Shell Session]を選択します。
Trend Vision Oneのワークベンチから ([XDR]の下):

サーバアイコンを右クリックして、[リモートシェルセッションの開始]を選択します。

![リモートシェルセッションの開始が強調表示されたTrend Micro Vision One Workbenchウィンドウ](img/remote-shell-workbench-start.png)

サポートされるコマンド

新しいバージョンのエージェントでは、同じプラットフォーム上の以前のエージェントリリースでリストされたコマンドがサポートされることに注意してください。

DSAバージョン

プラットフォーム

コマンド

説明

コマンド

例

20.0.0-5512+

Windows

20.0.0-182+

Trend Vision Oneコンソールから、暗号化されたアーカイブとして利用可能なプロセスメモリダンプを作成します。

memdump [--ma] [--mm] --pid <pid>

--ma: Creates a full process memory dump.

--mm: Create a mini process memory dump.

--pid: Required parameter to specify process ID <pid>

注意

--mm: Create a mini process memory dump.

memdump --mm --pid 1234

20.0.0-182+

20.0.0-173+

20.0.0-182+

Trend Vision Oneコンソールから、暗号化されたアーカイブとして利用可能なプロセスメモリダンプを作成します。

memdump --pid <pid>

memdump --pid 1234

cp

cp <source object> <destination object> [--force]

現在のディレクトリ (/Users/<username>/Downloads) にある Finances ディレクトリを /tmp にコピーして既存のディレクトリを上書きするには: Downloads>
```
cp Finances /tmp --force
```
/varディレクトリにあるexample.txtファイルを/tmpにコピーして、既存のexample.txtファイルを上書きするには: Downloads>
```
cp /var/example.txt /tmp --force
```

get

特定のファイルを収集してTrend Vision Oneにアップロード (最大ファイルサイズ: 128MB)

get <file_location_and_extension>

現在のディレクトリ (/Users/<username>/Downloads) で example.txt ファイルを収集するには: Downloads>
```
get example.txt
```
/tmpディレクトリ内のexample.txtファイルを収集するには: Downloads>
```
get /tmp/example.txt
```

mkdir

mkdir <path>

現在のディレクトリ (/Users/<username>/Downloads) に Finances ディレクトリを作成するには: Downloads>
```
mkdir Finances
```
/tmpディレクトリにFinancesディレクトリを作成するには: Downloads>
```
mkdir /tmp/Finances
```

mv

mv <source_object> <destination_object> [--force]

現在のディレクトリ (/Users/<username>/Downloads) にある Finances ディレクトリを /tmp に移動して既存のディレクトリを上書きするには: Downloads>
```
mv Finances /tmp --force
```
example.txtファイルを/varディレクトリから/tmpディレクトリに移動し、既存のexample.txtファイルを上書きするには: Downloads>
```
mv /var/example.txt /tmp --force
```

rm

rm <source_object> [--force]

現在のディレクトリ (/Users/<username>/Downloads) で Finances ディレクトリを削除するには: Downloads>
```
rm Finances
```
/varディレクトリ内のexample.txtファイルを削除するには: Downloads>
```
rm /var/example.txt
```

run

run <script_name_and_extension> [arguments]

run demo.sh 1 "22 33" 44

zip

zip <source_object1> [<source_object2...> <source_objectn>] [--password <password>] [--force]

現在のディレクトリ (/Users/<username>/Downloads) 内の Finances ディレクトリの内容を "/tmp/directoryArchive.zip" に圧縮し、パスワードを "P@ssw0rd" に設定して既存のファイルを上書きするには: Downloads>
```
zip Finances /tmp/directoryArchive.zip --password P@ssw0rd --force
```
/varディレクトリのexample.txtファイルを/tmp/exampleArchive.zipに圧縮して既存のファイルを上書きするには: Downloads>
```
zip /var/example.txt /tmp/exampleArchive.zip --force
```

kill

kill <PID>

kill 1234

ユーザ情報

user info <username>

user info john_doe

20.0.0-173+

Windows、Linux

macOS

netstat

netstat

Windows、Linux

cat

cat <file_location_and_extension>

注意

file info <file_location_and_extension>

現在のディレクトリ (/Users/<username>/Downloads) にある example.txt ファイルの内容を出力するには: Downloads>
```
cat example.txt
```
/tmpディレクトリにあるexample.txtファイルの内容を出力するには: Downloads>
```
cat /tmp/example.txt
```

cd

cd <path>

cd /Users

クリア

画面のクリア

clear

clear

env

環境変数を表示する

env

env

ls

ls <path>

現在のディレクトリ (/Users/<username>/Downloads) 内のファイルとディレクトリを一覧表示するには: Downloads>
```
ls
```
/tmpディレクトリにあるファイルとディレクトリを一覧表示するには: Downloads>
```
ls /tmp
```

ps

実行プロセス情報のリスト表示

ps

ps

pwd

現在のディレクトリを表示する

pwd

pwd

サービスリスト

リストサービス情報

service list

service list

ユーザリスト

ローカルユーザアカウントのリスト表示

user list

user list

ipconfig

ipconfig

ipconfig

fileinfo

file info <file_location_and_extension>

注意

file info <file_location_and_extension>

現在のディレクトリ (/Users/<username>/Downloads) にある example.txt ファイルのプロパティを一覧表示するには: Downloads>
```
fileinfo example.txt
```
/tmpディレクトリにあるexample.txtファイルのプロパティを一覧表示するには:
```
fileinfo /tmp/example.txt
```

systeminfo

ipconfig

ipconfig

ヘルプ

ヘルプ情報を表示する

help

help

20.0.0-2204+

20.0.0.2009+

Windows、Linux

netstat

netstat

netstat

ipconfig

ipconfig

ipconfig

fileinfo

file info <file_location_and_extension>

注意

file info <file_location_and_extension>

現在のディレクトリ (C:\Users\Administrator\Downloads) にある example.txt ファイルのプロパティを一覧表示するには: Downloads>
```
fileinfo example.txt
```
C:\tempディレクトリにあるexample.txtファイルのプロパティを一覧表示するには:
```
fileinfo C:\temp\example.txt
```

systeminfo

ipconfig

ipconfig

scheduletasks

scheduletasks

scheduletasks

Windows

regクエリ

reg query <key> [--value=<value_name>]

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersionレジストリキーの内容を一覧表示するには: C:\>
```
reg query HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion
```
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersionレジストリキーの値「Details」のデータのみを表示するには、次のように入力します。C:\ >
```
reg query HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion --value=Details
```

Linux

bashhistory

bashhistory

bashhistory

!!20.0.0.2009+!!

20.0.0.2009+

Windows、Linux

cat

cat <file_location_and_extension>

注意

file info <file_location_and_extension>

現在のディレクトリ (C:\Users\Administrator\Downloads) にある example.txt ファイルの内容を出力するには: Downloads>
```
cat example.txt
```
C:\tempディレクトリにあるexample.txtファイルの内容を出力するには: Downloads>
```
cat c:\temp\example.txt
```

cd

cd <path>

注意

ls <path>

cd C:\

クリア

画面のクリア

clear

clear

env

環境変数を表示する

env

env

グループリスト

ローカルグループ情報のリスト表示

group list

group list

ヘルプ

ヘルプ情報を表示する

help

help

ls

ls <path>

注意

ls <path>

現在のディレクトリ (C:\Users\Administrator\Downloads) 内のファイルとディレクトリを一覧表示するには: Downloads>
```
ls
```
C:\tempディレクトリにあるファイルとディレクトリを一覧表示するには: Downloads>
```
ls c:\temp
```

ps

実行プロセス情報のリスト表示

ps

ps

pwd

現在のディレクトリを表示する

pwd

pwd

サービスリスト

リストサービス情報

service list

service list

ユーザリスト

ローカルユーザアカウントのリスト表示

user list

user list

listenports

リスト待機ポートのリスト

listenports

listenports

一般的な問題のトラブルシューティング

リモートシェルの一般的な問題をトラブルシューティングするには、 Workload Security コンソールで次の設定を確認してください。

Trend Vision One (XDR) の設定

[Trend Vision One (XDR)] タブ ([管理] → [システム設定] → [Trend Micro Vision One (XDR)]) で、次のことを確認してください:

登録ステータスは [登録済み] です。
セキュリティイベントをTrend Vision Oneに転送するが選択されています。

remote-shell-XDR-and-log-forwarding=b22cfe2e-110f-46fe-93dd-20c35c5586ba.png

登録状況が未登録の場合は、Trend Vision One (XDR) に登録する必要があります。

コンピュータのセキュリティモジュールの設定

使用しているコンピュータの [アクティビティ監視] タブ ([コンピュータ] → [ (右またはダブルクリック) Details] → [ アクティビティ監視] → [ 一般]) で、[Configuration] が [On] または [Inherited (On)] に設定されていることを確認します。

remote-shell-activitymonitoring=b66e7b2d-8fe6-4bd8-9d45-ee3469c8f058.png

また、コンピュータに割り当てられたポリシーで有効にすることで、コンピュータの [アクティビティ監視] を有効にすることもできます。 [ポリシー] タブで、アクティビティ監視を有効にするポリシーをダブルクリックします。 [アクティビティ監視] → [ 一般]の順に選択し、アクティビティ監視 State が On に設定されていることを確認します。

要件および一般的な問題のトラブルシューティングのセクションを確認したが、まだ問題が解決しない場合は、サポートに連絡してください。