調査中に対象エンドポイントでPowerShellまたはBashスクリプトを実行します。
リモートカスタムスクリプトを使用すると、マスター管理者およびセキュリティアナリストの役割が対象エンドポイントに直接アクセスして、以前にアップロードしたPowerShellおよびBashスクリプトファイルを実行できます。
次の推奨事項は、Windowsエンドポイントで実行されるPowerShellスクリプトにのみ適用されます。
対象エンドポイントのPowerShell実行ポリシーを RemoteSignedに設定する必要があります。そうしないと、スクリプトがブロックされることがあります。RemoteSignedが初期設定の実行ポリシーです。
PowerShellセッションの言語モードを FullLanguageに設定することをお勧めします。設定しない場合、スクリプトがブロックされる可能性があります。FullLanguage は、Windows RTを除くすべてのバージョンのWindowsでの初期設定のセッションの初期設定の言語モードです。
スクリプトファイルに対話型の関数を含めることはできません。スクリプトはサイレントモードで実行されるため、対話型の機能ではスクリプトがタイムアウトします。
上記の設定の詳細については、Microsoft PowerShellの公式ドキュメントサイトを参照してください。
リモートカスタムスクリプトの実行タスク画面が表示され、 Trend Micro Vision One がエンドポイントへの接続を試みます。
Trend Micro Vision One 、セッションごとに1つのカスタムスクリプトファイルのみを実行できます。正常に接続するには、対象エンドポイントがオンラインである必要があります。
新しいカスタムスクリプトを追加するには、 カスタムスクリプトに移動します。 リンクをクリックして、新しいブラウザタブで Response Management アプリを開きます。カスタムスクリプトタブをクリックし、新しいスクリプトをアップロードしてから続行します。
最大8,000文字まで指定できます。
Trend Micro Vision One はタスクを作成し、現在のコマンドステータスをResponse Managementアプリに表示します。
処理中...(): Trend Micro Vision One が管理下のサーバにコマンドを送信し、対応を待機しています。
成功 ():管理下のサーバがコマンドを正常に受信しました。
失敗 ():管理サーバにコマンドを送信しようとしたときにエラーまたはタイムアウトが発生したか、セキュリティエージェントが12時間を超えてオフラインになっているか、またはコマンドの実行がタイムアウトになりました。
外部の解凍プログラム(7-zipなど)を使用して、ファイルの内容を解凍します。