目次

Trend Micro Vision One (XDR)カスタムスクリプト

カスタムスクリプトタスクを使用できるのは、 Trend Micro Cloud One - Deep Security Agentバージョン20.0.0〜5137以降のLinuxまたはWindowsを使用している Workload Security のユーザのみです。

Windowsエンドポイントで実行されるPowerShellスクリプトには、次の推奨事項があります。

  • スクリプトがブロックされないようにするには、対象エンドポイントのPowerShell実行ポリシーを RemoteSigned に設定する必要があります。RemoteSignedが初期設定の実行ポリシーです。
  • スクリプトがブロックされないようにするには、PowerShellセッションの言語モードを FullLanguage に設定する必要があります。 FullLanguage は、Windows RTを除くすべてのバージョンのWindowsの初期設定セッションの初期設定の言語モードです。
  • スクリプトファイルに対話型の関数を含めることはできません。スクリプトはサイレントモードで実行されるため、対話型の機能ではスクリプトがタイムアウトします。

上記の設定の詳細については、 Microsoft PowerShell公式ドキュメントを参照してください。

リモートのカスタムスクリプトを使用すると、「マスター管理者」および「セキュリティアナリスト」の役割を持つユーザが対象エンドポイントに直接アクセスして、以前にアップロードしたPowerShellおよびBashスクリプトファイルを実行できます。

リモートカスタムスクリプトタスクを実行する

Trend Micro Vision Oneで、対象エンドポイントでPowerShellまたはBashスクリプトを実行します。

  1. 調査するエンドポイントを特定し、コンテキストまたは応答メニューにアクセスして、[ リモートカスタムスクリプトの実行 ]を選択します。

    [リモートカスタムスクリプトタスクの実行]画面が表示され、 Trend Micro Vision One がエンドポイントへの接続を試行します。

    Trend Micro Vision One 、セッションごとに1つのカスタムスクリプトファイルのみを実行できます。正常に接続するには、対象エンドポイントがオンラインである必要があります。

  2. ドロップダウンリストからカスタムスクリプトファイルを選択します。

    カスタムスクリプトを追加するには、 [カスタムスクリプト管理]に移動します。 リンクをクリックして、新しいブラウザタブで 応答管理 アプリを開きます。[ カスタムスクリプト ]タブをクリックして、新しいスクリプトをアップロードします。

  3. (オプション)実行時にスクリプトに追加する引数を指定します。引数の最大文字数は8000文字です。

  4. (オプション)応答またはイベントの 説明 を指定します。

  5. [ 作成 ]をクリックします。

    Trend Micro Vision One によってタスクが作成され、現在のコマンドステータスが 応答管理 アプリに表示されます。

  6. 応答管理 アプリからタスクのステータスを監視します。

  7. (オプション)セッション履歴をTXTファイルとして取得します。

    • [ 検索 ]フィールドを使用するか、[ 処理 ]ドロップダウンリストから[ リモートカスタムスクリプトの実行 ]を選択します。
    • [タスクID]を選択し、[詳細]→[ダウンロード]をクリックしてファイルを保存します。

タスクのステータスは次のとおりです。

  • 進行中アイコン 処理中: Trend Micro Vision One が管理サーバにコマンドを送信し、応答を待機しています。
  • 成功アイコン 成功:配布管理システムがコマンドを正常に受信しました。
  • 失敗アイコン 失敗:管理サーバにコマンドを送信しようとしたときにエラーまたはタイムアウトが発生したか、セキュリティエージェントが12時間を超えてオフラインになっているか、またはコマンドの実行がタイムアウトになりました。

リモートシェルを使用してカスタムスクリプトを実行する

リモートシェル run コマンドを使用してカスタムスクリプトを実行できます。詳細については、Remote Shellを参照してください。