Trend Vision One Extended Detection and Response (XDR) カスタムスクリプト

カスタムスクリプトタスクは、LinuxおよびWindows用Deep Security Agentバージョン20.0.0-5137以降を使用しているTrend Cloud One - Endpoint & Workload Securityユーザのみが使用できます。

Windowsエンドポイントで実行されるPowerShellスクリプトには、次の推奨事項があります。

• スクリプトがブロックされないようにするには、対象エンドポイントのPowerShell実行ポリシーを RemoteSigned に設定する必要があります。RemoteSignedが初期設定の実行ポリシーです。
• スクリプトがブロックされないようにするには、PowerShellセッションの言語モードを FullLanguage に設定する必要があります。 FullLanguage は、Windows RTを除くすべてのバージョンのWindowsの初期設定セッションの初期設定の言語モードです。
• スクリプトファイルに対話型の関数を含めることはできません。スクリプトはサイレントモードで実行されるため、対話型の機能ではスクリプトがタイムアウトします。

上記の設定の詳細については、Microsoft PowerShellの公式ドキュメント を参照してください。

リモートカスタムスクリプトを使用すると、マスター管理者およびセキュリティアナリストの役割を持つユーザが対象のエンドポイントに直接アクセスして、以前にアップロードしたPowerShellおよびBashスクリプトファイルを実行できます。

リモートカスタムスクリプトタスクを実行する

Trend Vision Oneで、対象のエンドポイントでPowerShellまたはBashスクリプトを実行します。

1. 調査するエンドポイントを特定し、コンテキストまたは応答メニューにアクセスして、[ リモートカスタムスクリプトの実行 ]を選択します。

   [ リモートカスタムスクリプトの実行タスク] 画面が表示され、Trend Vision Oneがエンドポイントへの接続を試行します。

   Trend Vision Oneでは、セッションごとに1つのカスタムスクリプトファイルのみを実行できます。正常に接続するには、対象エンドポイントがオンラインになっている必要があります。

2. リストからカスタムスクリプトファイルを選択します。

   カスタムスクリプトを追加するには、[ Go to Custom Scripts management ] をクリックし、新しいブラウザタブで Response Management アプリケーションを開きます。 [ Custom Scripts ] タブを選択し、新しいスクリプトをアップロードします。

3. 必要に応じて、実行時にスクリプトに追加する引数を指定します。引数は最大8000文字に制限されています。

4. 必要に応じて、応答またはイベントの Description を指定します。

5. [ 作成 ]をクリックします。

   Trend Vision Oneによってタスクが作成され、Response Management アプリに現在のコマンドステータスが表示されます。

6. Response Management アプリケーションからタスクのステータスを監視します。

7. 必要に応じて、セッション履歴をTXTファイルとして取得します。

   • [ Search ] フィールドを使用するか、[ Action ]リストから [ Run Remote Custom Script ] を選択します。
   • [タスクID] を選択し、[ Details]→[Download ] の順にクリックしてファイルを保存します。

タスクのステータスは次のとおりです。

• 処理中: Trend Vision Oneはコマンドを管理サーバに送信し、応答を待機しています。
• 成功：配布管理システムがコマンドを正常に受信しました。
• 失敗：管理サーバにコマンドを送信しようとしたときにエラーまたはタイムアウトが発生したか、セキュリティエージェントが12時間を超えてオフラインになっているか、またはコマンドの実行がタイムアウトになりました。

リモートシェルを使用してカスタムスクリプトを実行する

リモートシェル run コマンドを使用してカスタムスクリプトを実行できます。詳細については、Remote Shellを参照してください。