在調查期間直接訪問端點,以在命令行介面 (CLI) 中執行命令、管理註冊表、文件、服務或啟動應用程式,或運行自定義腳本。
-
只有具有超級管理員或安全分析師角色的用戶才能訪問遠程訪問響應。
-
您必須將端點升級到代理版本 1.2.0.6734 或更高版本才能使用遠端存取。
-
目標端點必須在線才能連接。
-
Trend Vision One 每家公司僅允許 10 個同時遠端 shell 會話,且不允許多個會話同時存取相同的端點。
-
Trend Vision One 每次會話限制您使用一個自訂腳本檔案。
-
在一個視窗中所做的更改可能不會顯示在另一個視窗中。每個視窗顯示其自身檔案系統的靜態視圖。要顯示最新資料,請點擊
。
以下服務支援此任務:
-
Trend Vision One
-
Windows 代理程式
-
步驟
- 在Workbench、XDR Data Explorer或Observed Attack Techniques中,右鍵點擊一個端點並選擇「Start remote access session」,然後點擊「建立」。如果 Trend Vision One 無法在五分鐘內建立會話,連線將會逾時。會話會在兩小時後自動結束,並在閒置10分鐘後自動逾時。
- 使用遠端存取導航列來執行相應的任務:
某些視窗在顯示大量資料防護時可能會加載緩慢。 - 如果您需要移動、調整大小或關閉視窗,調整視窗。
- 當您的會話完成時,點擊「End session」。終止連接可能需要幾分鐘。
執行遠端殼層命令 
如需命令列表,請參閱Windows 端點的遠端 Shell 命令。
步驟
- 在導航欄上點擊
。 - 開始輸入。自動完成提供命令建議。
-
按 Tab 鍵以使用自動完成建議的命令。
-
按 Alt+
顯示上一個建議。 -
按 Alt+
以顯示下一個建議。
-
編輯登錄檔
步驟
- 點擊導航列上的
。 - 展開資料夾以查看登錄機碼和名稱-值的列表。
- 在登錄檔鍵或名稱值上按一下右鍵,然後選擇以下操作之一:
-
刪除
-
複製
-
瀏覽檔案、資料夾和硬碟
步驟
- 點擊
在導航欄上。 - 展開資料夾以查看檔案和資料夾列表。您也可以直接輸入路徑。
-
點擊以返回上一個檔案路徑。
-
按一下以移至下一個檔案路徑。
-
- 在檔案或資料夾上右鍵點擊,然後選擇以下操作之一:
-
刪除
-
Compress
-
Collect file
-
管理程序
步驟
- 在導航欄上點擊
。 - 在工作管理員菜單上點擊
。 - 如果您想篩選列表,請在篩選框中輸入。
- 在一個程序上點擊右鍵,然後選擇以下操作之一:
-
終止
-
Copy image path
-
Create dump
-
完整版
-
Mini
-
-
Collect file
-
管理服務
步驟
- 在導航欄上點擊。
- 在任務管理器菜單中點擊
。 - 如果您想篩選列表,請在篩選框中輸入。
- 在服務上點擊右鍵,然後選擇以下操作之一:
-
開始
-
停止
-
刪除
-
檢視使用者清單
步驟
- 點擊導航列上的。
- 在工作管理員選單中點擊
。 - 如果您想篩選列表,請在篩選框中輸入。
管理啟動應用程式
步驟
- 在導航欄上點擊。
- 在工作管理員選單中點擊
。 - 在啟動應用程式上右鍵點擊,然後選擇以下操作之一:
-
「關閉」,如果已啟動
-
「啟動」,如果關閉
-
刪除
-
執行自訂腳本
步驟
- 在導航欄上點擊
。 - 點擊「Run」以運行您想要的腳本。Trend Vision One 每次會話限制您使用一個自訂腳本檔案。
監控任務狀態
當您有新通知時,通知圖示上會出現一個紅點。
步驟
- 在導航列上點擊
。 - 檢視有關任務的資訊,包括 ID、狀態、動作、目標和更新日期。
調整視窗
如果您在結束會話之前關閉視窗,與端點的連線將在 10 分鐘後超時。
步驟
- 點擊並按住標題列以移動視窗。
- 點擊並按住角落以調整視窗大小
- 點擊
以最小化視窗。 - 點擊
以最大化視窗。 - 點擊
以關閉視窗 - 在導航欄中右鍵點擊圖示以重新顯示已最小化的窗口。
- 右鍵點擊導航欄,然後選擇「Close all windows」以關閉遠端存取視窗。這不會結束會話。