リモートカスタムスクリプトタスクの実行

ビュー:

調査中に対象エンドポイントでPowerShellまたはBashスクリプトを実行します。

リモートカスタムスクリプトを使用すると、マスター管理者とセキュリティアナリストはターゲットエンドポイントに直接アクセスし、事前にアップロードされたPowerShellおよびBashスクリプトファイルを実行できます。

次のサービスはこのタスクを実行できます。

TrendAI Vision One™
- Linuxエージェント
- macOSエージェント
- Windowsエージェント
Cloud One - Endpoint & Workload Security
- Linuxエージェント
- macOSエージェント
- Windowsエージェント

Windowsエンドポイントで実行されるPowerShellスクリプトの場合:

対象エンドポイントのPowerShell実行ポリシーはRemoteSignedに設定する必要があります。そうしないと、スクリプトがブロックされる可能性があります。RemoteSignedはデフォルトの実行ポリシーです。
TrendAI™はPowerShellセッションの言語モードをFullLanguageに設定することを推奨します。そうしないと、スクリプトがブロックされる可能性があります。FullLanguageは、Windows RTを除くすべてのバージョンのWindowsでのデフォルトセッションのデフォルト言語モードです。
スクリプトファイルには対話型関数を含めてはなりません。スクリプトはサイレントモードで実行され、対話型関数はスクリプトのタイムアウトを引き起こします。
署名されたスクリプトの例については、サンプル署名付きPowerShellスクリプトを参照してください。
GUIでプロセスを実行するスクリプトを実行しないでください。ユーザセッションでウィンドウを表示するとセキュリティ問題が発生する可能性があります。
詳細については、Microsoft PowerShellの公式ドキュメントを参照してください。

調査したいエンドポイントを右クリックし、コンテキストメニューから[リモートカスタムスクリプトの実行]を選択します。1つのセッションにつき、1つのカスタムスクリプトファイルのみを実行できます。対象エンドポイントは、正常に接続するためにオンラインである必要があります。

[リモートカスタムスクリプトの実行タスク] 画面が表示され、 TrendAI Vision One™ がエンドポイントへの接続を試行します。

カスタムスクリプトファイルを選択してください。新しいカスタムスクリプトを追加するには、[対応スクリプト]タブの[カスタムスクリプト]に移動し、[Add script]をクリックして新しいスクリプトファイルをアップロードしてください。

このタスクの最大ファイルサイズは、対象エンドポイントにインストールされているエージェントのバージョンによって異なります。

スクリプト実行中にスクリプトに追加する引数を指定してください。最大8,000文字まで指定できます。
対応またはイベントのために[説明]を指定してください。
[作成] をクリックします。

TrendAI Vision One™ によってタスクが作成され、現在のタスクステータスが [Response Management]に表示されます。
タスクのステータスを監視します。
1. [Workflow and Automation] → Response Management に移動します。
2. タスクを見つけるには、検索バーを使用するか、[処理] ドロップダウンリストから [リモートカスタムスクリプトの実行] を選択してください。
1. タスクのステータスを表示します。
  - [In progress] (): TrendAI Vision One™がコマンドを送信し、対応を待っています。
  - [成功] (): コマンドは正常に実行されました。
  - [失敗] (): コマンドを管理サーバに送信しようとした際にエラーまたはタイムアウトが発生したか、セキュリティエージェントが12時間以上オフラインであるか、コマンドの実行がタイムアウトしました。
2. [タスクID]をクリックしてタスクの詳細を表示し、[ダウンロード]でセッション履歴を表示します。ファイルアーカイバを使用してファイルの内容を抽出および解凍します。