ビュー:

調査中に対象エンドポイントでPowerShellまたはBashスクリプトを実行します。

リモートカスタムスクリプトを使用すると、マスター管理者およびセキュリティアナリストの役割が対象エンドポイントに直接アクセスして、以前にアップロードしたPowerShellおよびBashスクリプトファイルを実行できます。
このタスクは、次のサービスでサポートされています。
  • Trend Vision One
    • Windowsエージェント
    • Macエージェント
    • Linuxエージェント
  • Trend Cloud One - Endpoint & Workload Security
    • Windowsエージェント
    • Macエージェント
    • Linuxエージェント
重要
重要
次の推奨事項は、Windowsエンドポイントで実行されるPowerShellスクリプトにのみ適用されます。
  • 対象エンドポイントのPowerShell実行ポリシーを次のように設定する必要があります。 RemoteSignedそうしないと、スクリプトがブロックされる可能性があります。 RemoteSignedは、初期設定の実行ポリシーです。
  • トレンドマイクロセッションの言語モードを次のように設定することをお勧めします。全言語そうしないと、スクリプトがブロックされる可能性があります。全言語は、Windows RTを除くすべてのバージョンのWindowsで、初期設定のセッションの初期設定の言語モードです。
  • スクリプトファイルには対話機能を含めないでください。スクリプトはサイレントモードで実行されるため、対話機能を使用するとスクリプトがタイムアウトします。
  • 署名されたスクリプトの例については、サンプル署名付きPowerShellスクリプトを参照してください。
上記の設定の詳細については、Microsoft PowerShellの公式ドキュメントサイトを参照してください。

手順

  1. 調査するエンドポイントを特定したら、コンテキストメニューまたは対応メニューにアクセスして [リモートカスタムスクリプトを実行]をクリックします。
    [リモートカスタムスクリプトの実行タスク] 画面が表示され、 Trend Vision One がエンドポイントへの接続を試行します。
    注意
    注意
    Trend Vision One では、セッションごとに1つのカスタムスクリプトファイルのみを実行できます。正常に接続するには、対象エンドポイントがオンラインになっている必要があります。
  2. アップロード済みのカスタムスクリプトファイルをドロップダウンリストから選択します。
    新しいカスタムスクリプトを追加するには、Response Management の [Response Scripts] タブで [カスタムスクリプト] に移動します。新しいスクリプトファイルをアップロードするには、[Add script] をクリックします。
  3. (オプション) スクリプトの実行時にスクリプトに追加される引数を指定します。
    注意
    注意
    最大8,000文字を指定できます。
  4. 対応またはイベントのために[説明]を指定してください。
  5. [作成] をクリックします。
    Trend Vision One によってタスクが作成され、現在のタスクステータスが [Response Management]に表示されます。
  6. タスクのステータスを監視します。
    1. Response Managementを開きます。
    2. (オプション) [検索] フィールドを使用するか、 [処理] ドロップダウンリストから [リモートカスタムスクリプトを実行] を選択して、タスクを検索します。
    3. タスクのステータスを表示します。
      • [進行中] (in_progress=GUID-A55897DB-3DEA-4F5C-B7F9-70B3D7FB9EDE=1=ja-jp=Low.jpg ): Trend Vision One がコマンドを送信し、対応を待機しています。
      • [成功] (successful=GUID-1E31AD86-DE2E-48B5-85F7-7C78A3E8BB11=1=ja-jp=Low.jpg ): コマンドは正常に実行されました。
      • [失敗](error=5cc21722-7ceb-480c-b9c2-a47d420cf1cc.jpg ): 配布管理システムへのコマンドの送信中にエラーまたはタイムアウトが発生したか、セキュリティエージェントが12時間以上オフラインになっているか、コマンドの実行がタイムアウトしました。
    4. [タスクID] をクリックして [詳細] パネルを開き、 [ダウンロード] をクリックしてセッション履歴を開きます。
      注意
      注意
      外部の解凍プログラム (7-zip など) を使用して、ファイルの内容を解凍します。