檢視次數:

在調查期間在目標端點上執行 PowerShell 或 Bash 腳本。

遠端自訂腳本允許主管理員和安全分析師直接存取目標端點並執行先前上傳的 PowerShell 和 Bash 腳本檔案。
以下服務可以執行此任務:
  • TrendAI Vision One™
    • Linux 代理程式
    • macOS 代理程式
    • Windows 代理程式
  • Cloud One - 端點 & 工作負載安全
    • Linux 代理程式
    • macOS 代理程式
    • Windows 代理程式
重要
重要
在 Windows 端點上執行的 PowerShell 腳本:
  • 目標端點的 PowerShell 執行政策必須設置為 RemoteSigned,否則腳本可能會被已封鎖。RemoteSigned 是預設的執行政策。
  • TrendAI™ 建議將 PowerShell 會話語言模式配置為 FullLanguage,否則腳本可能會被已封鎖。FullLanguage 是所有 Windows 版本(Windows RT 除外)中預設會話的預設語言模式。
  • 腳本檔案不得包含互動功能。腳本在靜默模式下運行,互動功能會導致腳本逾時。
  • 如需簽名腳本的範例,請參閱 範例已簽署的 PowerShell 腳本
  • 請勿執行在 GUI 中運行進程的腳本。在使用者會話中顯示視窗時可能會發生安全問題。
  • 如需了解更多資訊,請參閱Microsoft PowerShell 官方文件

步驟

  1. 在您想要調查的端點上右鍵點擊,然後從上下文選單中選擇「Run Remote Custom Script」。每個會話只能執行一個自訂腳本檔案。目標端點必須在線才能成功連接。
    Run Remote Custom Script Task畫面出現,TrendAI Vision One™嘗試連接到端點。
  2. 選擇自訂腳本檔案。若要新增自訂腳本,請前往 「Response Scripts」 標籤上的 「Custom Scripts」,然後點擊 「Add script」 上傳新的腳本檔案。
    注意
    注意
    此任務的最大檔案大小取決於安裝在目標端點上的代理版本:
    作業系統
    用戶端版本
    檔案大小上限
    Linux
    在 20.0.2.29760 之前
    128 MB
    20.0.2.29760 及更新版本
    4 GB
    Windows
    在 20.0.2.29760 之前
    128 MB
    20.0.2.29760 及更新版本
    4 GB
  3. 指定在腳本執行期間要添加到腳本的參數。您最多可以指定 8,000 個字元。
  4. 為回應或事件指定Description
  5. 點選Create
    TrendAI Vision One™ 建立任務並在 Response Management 中顯示當前任務狀態。
  6. 監控任務狀態。
    1. 移至「Workflow and Automation」Response Management
    2. 要找到任務,請使用搜尋欄或從「處理行動」下拉清單中選擇「Run Remote Custom Script」
    1. 查看任務狀態。
      • 「進行中」 (in_progress=GUID-A55897DB-3DEA-4F5C-B7F9-70B3D7FB9EDE=1=zh-tw=Low.jpg): TrendAI Vision One™ 已發送指令並正在等待回應。
      • 「成功」 (successful=GUID-1E31AD86-DE2E-48B5-85F7-7C78A3E8BB11=1=zh-tw=Low.jpg): 命令已成功執行。
      • 「未成功」 (error=5cc21722-7ceb-480c-b9c2-a47d420cf1cc.jpg): 嘗試向管理伺服器發送命令時發生錯誤或超時,Security Agent 已離線超過 12 小時,或命令執行超時。
    2. 點擊「Task ID」以顯示任務詳細資訊並「下載」會話歷史。使用檔案壓縮工具來提取和解壓縮檔案內容。
相關資訊