檢視次數:

在調查期間在目標端點上執行 PowerShell 或 Bash 腳本。

遠端自訂腳本允許超級管理員和安全分析師角色直接訪問目標端點以運行先前上傳的 PowerShell 和 Bash 腳本文件。
此任務由以下服務支援:
  • Trend Vision One
    • Windows 代理程式
    • Mac 代理程式
    • Linux 代理程式
  • Trend Cloud One - Endpoint & Workload Security
    • Windows 代理程式
    • Mac 代理程式
    • Linux 代理程式
重要
重要
以下建議僅適用於在 Windows 端點上執行的 PowerShell 腳本:
  • 目標端點的 PowerShell 執行政策必須設置為 RemoteSigned,否則腳本可能會被已封鎖。RemoteSigned 是預設的執行政策。
  • 趨勢科技建議您將 PowerShell 會話語言模式配置為 FullLanguage,否則腳本可能會被已封鎖。FullLanguage 是除 Windows RT 之外所有版本的 Windows 預設會話的預設語言模式。
  • 腳本檔案不得包含互動功能。由於腳本在靜默模式下運行,互動功能會導致腳本逾時。
  • 如需簽名腳本的範例,請參閱 範例已簽署的 PowerShell 腳本
要了解更多有關上述設定的資訊,請查閱 Microsoft PowerShell 官方文件網站。

步驟

  1. 在識別要調查的端點後,進入上下文或回應選單並點選Run Remote Custom Script
    Run Remote Custom Script Task畫面出現,Trend Vision One嘗試連接到端點。
    注意
    注意
    Trend Vision One 只允許您每次會話執行一個自訂腳本檔案。目標端點必須在線才能成功連接。
  2. 從下拉列表中選擇先前上傳的自訂腳本檔案。
    要新增自訂腳本,請前往 Custom ScriptsResponse Scripts 標籤頁。點選 Add script 以上傳新的腳本檔案。
  3. (可選)指定在腳本執行期間添加到腳本上的參數。
    注意
    注意
    您最多可以指定 8,000 個字元。
  4. 為回應或事件指定Description
  5. 點選Create
    Trend Vision One 建立任務並在 Response Management 中顯示當前任務狀態。
  6. 監控任務狀態。
    1. 開啟Response Management
    2. (可選)使用Search欄位定位任務,或從處理行動下拉清單中選擇Run Remote Custom Script
    3. 查看任務狀態。
      • In progress (in_progress=GUID-A55897DB-3DEA-4F5C-B7F9-70B3D7FB9EDE=1=zh-tw=Low.jpg): Trend Vision One 已發送命令,正在等待回應。
      • Successful (successful=GUID-1E31AD86-DE2E-48B5-85F7-7C78A3E8BB11=1=zh-tw=Low.jpg): 命令已成功執行。
      • Unsuccessful (error=5cc21722-7ceb-480c-b9c2-a47d420cf1cc.jpg): 嘗試將指令發送到管理伺服器時發生錯誤或逾時,Security Agent 已離線超過 12 小時,或指令執行逾時。
    4. 點選Task ID以開啟詳細資訊面板並Download會話歷史記錄。
      注意
      注意
      使用外部解壓縮程式(例如 7-zip)來提取檔案內容。
相關資訊