在調查期間在目標端點上執行 PowerShell 或 Bash 腳本。

遠端自訂腳本允許超級管理員和安全分析師角色直接訪問目標端點以運行先前上傳的 PowerShell 和 Bash 腳本文件。
以下服務此任務:
  • Trend Vision One
    • Linux 代理程式
    • macOS 代理程式
    • Windows 代理程式
  • Trend Cloud One - Endpoint & Workload Security
    • Linux 代理程式
    • macOS 代理程式
    • Windows 代理程式
重要
重要
以下建議僅適用於在 Windows 端點上執行的 PowerShell 腳本:
  • 目標端點的 PowerShell 執行政策必須設置為 RemoteSigned,否則腳本可能會被封鎖。RemoteSigned 是預設的執行政策。
  • 趨勢科技建議您將 PowerShell 會話語言模式配置為 FullLanguage,否則腳本可能會被已封鎖。FullLanguage 是除 Windows RT 之外所有版本的 Windows 上預設會話的預設語言模式。
  • 腳本檔案不得包含互動功能。由於腳本在靜默模式下運行,互動功能會導致腳本逾時。
    如需簽名腳本的範例,請參閱 範例已簽署的 PowerShell 腳本
  • 禁止執行涉及圖形用戶界面(GUI)的進程。這是因為該腳本在服務的登入會話中運行,出於安全考量,無法在用戶會話中顯示窗口。
如需了解更多上述設定,請參閱Microsoft PowerShell 官方文件

步驟

  1. 在識別要調查的端點後,從上下文或回應選單中選擇「Run Remote Custom Script」。每個會話只能執行一個自訂腳本檔案。目標端點必須在線才能成功連接。
    Run Remote Custom Script Task畫面出現,Trend Vision One嘗試連接到端點。
  2. 選擇自訂腳本檔案。
    要新增自訂腳本,請前往 Custom ScriptsResponse Scripts 標籤頁。點選 Add script 以上傳新的腳本檔案。
  3. 指定在腳本執行期間要添加到腳本的參數。您最多可以指定 8,000 個字元。
  4. 為回應或事件指定Description
  5. 點選Create
    Trend Vision One 建立任務並在 Response Management 中顯示當前任務狀態。
  6. 監控任務狀態。
    1. 移至「工作流程和自動化」Response Management
    2. 定位任務。
    • 使用「搜尋」來尋找任務。
    • 選擇「Run Remote Custom Script」「處理行動」
    1. 查看任務狀態。
      • 「進行中」 (in_progress=GUID-A55897DB-3DEA-4F5C-B7F9-70B3D7FB9EDE=1=zh-tw=Low.jpg): Trend Vision One 已發送指令並正在等待回應。
      • 「成功」 (successful=GUID-1E31AD86-DE2E-48B5-85F7-7C78A3E8BB11=1=zh-tw=Low.jpg): 命令已成功執行。
      • 「未成功」 (error=5cc21722-7ceb-480c-b9c2-a47d420cf1cc.jpg): 嘗試向管理伺服器發送命令時發生錯誤或超時,Security Agent 已離線超過 12 小時,或命令執行超時。
    2. 點擊「Task ID」以顯示詳細資訊並「下載」會話歷史。使用外部解壓縮程式(例如,7-zip)來提取檔案內容。