リモートカスタムスクリプトの実行タスク

調査中に対象エンドポイントでPowerShellまたはBashスクリプトを実行します。

リモートカスタムスクリプトを使用すると、マスター管理者およびセキュリティアナリストの役割が対象エンドポイントに直接アクセスして、以前にアップロードしたPowerShellおよびBashスクリプトファイルを実行できます。

重要:

次の推奨事項は、Windowsエンドポイントで実行されるPowerShellスクリプトにのみ適用されます。

  • 対象エンドポイントのPowerShell実行ポリシーを RemoteSignedに設定する必要があります。そうしないと、スクリプトがブロックされることがあります。RemoteSignedが初期設定の実行ポリシーです。

  • PowerShellセッションの言語モードを FullLanguageに設定することをお勧めします。設定しない場合、スクリプトがブロックされる可能性があります。FullLanguage は、Windows RTを除くすべてのバージョンのWindowsでの初期設定のセッションの初期設定の言語モードです。

  • スクリプトファイルに対話型の関数を含めることはできません。スクリプトはサイレントモードで実行されるため、対話型の機能ではスクリプトがタイムアウトします。

上記の設定の詳細については、Microsoft PowerShellの公式ドキュメントサイトを参照してください。

  1. 調査するエンドポイントを特定したら、コンテキストまたはRESPONSEメニューにアクセスし、リモートシェルセッションの開始をクリックします。

    リモートカスタムスクリプトの実行タスク画面が表示され、 Trend Micro Vision One がエンドポイントへの接続を試みます。

    注:

    Trend Micro Vision One 、セッションごとに1つのカスタムスクリプトファイルのみを実行できます。正常に接続するには、対象エンドポイントがオンラインである必要があります。

  2. 以前にアップロードしたカスタムスクリプトファイルをドロップダウンリストから選択します。

    新しいカスタムスクリプトを追加するには、 カスタムスクリプトに移動します。 リンクをクリックして、新しいブラウザタブで Response Management アプリを開きます。カスタムスクリプトタブをクリックし、新しいスクリプトをアップロードしてから続行します。

  3. (オプション)スクリプトの実行時にスクリプトに追加する引数を指定します。
    注:

    最大8,000文字まで指定できます。

  4. (オプション) 対応 またはイベントの 説明 を指定します。
  5. 作成をクリックします。

    Trend Micro Vision One はタスクを作成し、現在のコマンドステータスをResponse Managementアプリに表示します。

  6. タスクのステータスを監視します。
    1. Response Management アプリを開きます。
    2. (オプション) 検索 フィールドを使用するか、 処理 ドロップダウンリストから リモートカスタムスクリプトの実行 を選択してタスクを検索します。
    3. タスクのステータスを表示します。
      • 処理中...): Trend Micro Vision One が管理下のサーバにコマンドを送信し、 対応を待機しています。

      • 成功):管理下のサーバがコマンドを正常に受信しました。

      • 失敗):管理サーバにコマンドを送信しようとしたときにエラーまたはタイムアウトが発生したか、セキュリティエージェントが12時間を超えてオフラインになっているか、またはコマンドの実行がタイムアウトになりました。

    4. タスクIDをクリックして詳細パネルを開き、TXTファイルのセッション履歴をダウンロードします。