目次

Trend Vision One (XDR) カスタムスクリプト

カスタムスクリプトタスクは、LinuxおよびWindows用Deep Security Agentバージョン20.0.0-5137以降を使用しているTrend Cloud One - Endpoint & Workload Securityユーザのみが使用できます。

Windowsエンドポイントで実行されるPowerShellスクリプトには、次の推奨事項があります。

  • スクリプトがブロックされないようにするには、対象エンドポイントのPowerShell実行ポリシーを RemoteSigned に設定する必要があります。RemoteSignedが初期設定の実行ポリシーです。
  • スクリプトがブロックされないようにするには、PowerShellセッションの言語モードを FullLanguage に設定する必要があります。 FullLanguage は、Windows RTを除くすべてのバージョンのWindowsの初期設定セッションの初期設定の言語モードです。
  • スクリプトファイルに対話型の関数を含めることはできません。スクリプトはサイレントモードで実行されるため、対話型の機能ではスクリプトがタイムアウトします。

上記の設定の詳細については、Microsoft PowerShellの公式ドキュメント を参照してください。

リモートカスタムスクリプトを使用すると、マスター管理者およびセキュリティアナリストの役割を持つユーザが対象のエンドポイントに直接アクセスして、以前にアップロードしたPowerShellおよびBashスクリプトファイルを実行できます。

リモートカスタムスクリプトタスクを実行する

Trend Vision Oneで、対象のエンドポイントでPowerShellまたはBashスクリプトを実行します。

  1. 調査するエンドポイントを特定し、コンテキストまたは応答メニューにアクセスして、[ リモートカスタムスクリプトの実行 ]を選択します。

    [ リモートカスタムスクリプトの実行タスク] 画面が表示され、Trend Vision Oneがエンドポイントへの接続を試行します。

    Trend Vision Oneでは、セッションごとに1つのカスタムスクリプトファイルのみを実行できます。正常に接続するには、対象エンドポイントがオンラインになっている必要があります。

  2. リストからカスタムスクリプトファイルを選択します。

    カスタムスクリプトを追加するには、[ Go to Custom Scripts management ] をクリックし、新しいブラウザタブで Response Management アプリケーションを開きます。 [ Custom Scripts ] タブを選択し、新しいスクリプトをアップロードします。

  3. 必要に応じて、実行時にスクリプトに追加する引数を指定します。引数は最大8000文字に制限されています。

  4. 必要に応じて、応答またはイベントの Description を指定します。

  5. [ 作成 ]をクリックします。

    Trend Vision Oneによってタスクが作成され、Response Management アプリに現在のコマンドステータスが表示されます。

  6. Response Management アプリケーションからタスクのステータスを監視します。

  7. 必要に応じて、セッション履歴をTXTファイルとして取得します。

    • [ Search ] フィールドを使用するか、[ Action ]リストから [ Run Remote Custom Script ] を選択します。
    • [タスクID] を選択し、[ Details]→[Download ] の順にクリックしてファイルを保存します。

タスクのステータスは次のとおりです。

  • 処理中アイコン 処理中: Trend Vision Oneはコマンドを管理サーバに送信し、応答を待機しています。
  • 成功アイコン 成功:配布管理システムがコマンドを正常に受信しました。
  • 失敗アイコン 失敗:管理サーバにコマンドを送信しようとしたときにエラーまたはタイムアウトが発生したか、セキュリティエージェントが12時間を超えてオフラインになっているか、またはコマンドの実行がタイムアウトになりました。

リモートシェルを使用してカスタムスクリプトを実行する

リモートシェル run コマンドを使用してカスタムスクリプトを実行できます。詳細については、Remote Shellを参照してください。