リモートカスタムスクリプトタスクの実行

調査中に対象エンドポイントでPowerShellまたはBashスクリプトを実行します。

リモートカスタムスクリプトを使用すると、マスター管理者およびセキュリティアナリストの役割が対象エンドポイントに直接アクセスして、以前にアップロードしたPowerShellおよびBashスクリプトファイルを実行できます。

このタスクに関連するサービス:

Trend Vision One
- Linuxエージェント
- macOSエージェント
- Windowsエージェント
Trend Cloud One - Endpoint & Workload Security
- Linuxエージェント
- macOSエージェント
- Windowsエージェント

重要

次の推奨事項は、Windowsエンドポイントで実行されるPowerShellスクリプトにのみ適用されます。

対象エンドポイントのPowerShell実行ポリシーはRemoteSignedに設定する必要があります。そうでない場合、スクリプトがブロックされる可能性があります。RemoteSignedはデフォルトの実行ポリシーです。
トレンドマイクロは、PowerShellセッションの言語モードをFullLanguageに設定することを推奨します。そうしないと、スクリプトがブロックされる可能性があります。FullLanguageは、Windows RTを除くすべてのバージョンのWindowsでデフォルトセッションのデフォルト言語モードです。
スクリプトファイルには対話機能を含めないでください。スクリプトはサイレントモードで実行されるため、対話機能を使用するとスクリプトがタイムアウトします。

署名されたスクリプトの例については、サンプル署名付きPowerShellスクリプトを参照してください。
グラフィカルユーザインターフェース (GUI) を含むプロセスの実行は禁止されています。これは、スクリプトがサービスのログオンセッションで動作するため、セキュリティ上の懸念からユーザセッションでウィンドウを表示することが不可能だからです。

上記の設定について詳しく知りたい場合は、Microsoft PowerShell公式ドキュメントを参照してください。

手順

調査するエンドポイントを特定した後、コンテキストまたは対応メニューから[Run Remote Custom Script]を選択します。セッションごとにカスタムスクリプトファイルは1つのみ実行できます。対象エンドポイントは正常に接続するためにオンラインである必要があります。

[リモートカスタムスクリプトの実行タスク] 画面が表示され、 Trend Vision One がエンドポイントへの接続を試行します。
カスタムスクリプトファイルを選択します。

新しいカスタムスクリプトを追加するには、Response Management の [Response Scripts] タブで [カスタムスクリプト] に移動します。新しいスクリプトファイルをアップロードするには、[Add script] をクリックします。
スクリプト実行中にスクリプトに追加する引数を指定してください。最大8,000文字まで指定できます。
対応またはイベントのために[説明]を指定してください。
[作成] をクリックします。

Trend Vision One によってタスクが作成され、現在のタスクステータスが [Response Management]に表示されます。
タスクのステータスを監視します。
1. [Workflow and Automation] → Response Management に移動します。
2. タスクを見つけてください。
- [検索]を使用してタスクを見つけてください。
- [Run Remote Custom Script] → [処理] を選択します。
1. タスクのステータスを表示します。
  - [In progress] (): Trend Vision Oneがコマンドを送信し、対応を待っています。
  - [成功] (): コマンドは正常に実行されました。
  - [失敗] (): コマンドを管理サーバに送信しようとした際にエラーまたはタイムアウトが発生したか、セキュリティエージェントが12時間以上オフラインであるか、コマンドの実行がタイムアウトしました。
2. [タスクID]をクリックして詳細を表示し、[ダウンロード]してセッション履歴を確認します。外部の解凍プログラム (例: 7-zip) を使用してファイル内容を抽出してください。