このページのトピック
Trend Micro Vision One (XDR)リモートシェル
XDR統合リモートシェルを使用すると、 コマンド をTrend Micro Vision One (XDR)インタフェースから直接実行できます。
エージェントとRelayをプロキシ経由で「プライマリセキュリティアップデート元」に接続すると、リモートシェルは自動的に同じプロキシ設定を使用します。
リモートシェルは、バージョンエージェント以降のLinuxおよびWindowsで使用できます。 macOSバージョン20.0.0-173以降詳細については、 サポートされるコマンドの表を参照してください。
要件
- エージェントのインストールバージョン20.0.0-2009以降(WindowsまたはLinux) macOSバージョン20.0.0-173以降
- Trend Micro Vision One (XDR)への登録
- Trend Micro Vision One (XDR)にセキュリティイベントを転送する
- アクティビティ監視を有効にする
Workload Security は、IoTメカニズムを使用して Trend Micro Vision One (XDR)にメッセージとイベントを送信します。環境で許可するURLを制限する必要がある場合は、 Workload Security URL テーブルの「イベントチャネルXDRアクティビティ監視」FQDNを含めるようにファイアウォールを設定します。
リモートシェルセッションを開始する
リモートシェルセッションは、次のいずれかから開始できます。
Trend Micro Vision One検索アプリから
:
[アプリケーションイベントの検索]で エンドポイント[ホスト名]の フィールドを右クリックし、[ リモートシェルセッションの開始]を選択します。
??? "Trend Micro Vision One Workbench
(XDRの下にあります):"
サーバアイコンを右クリックして、[ リモートシェルセッションの開始]を選択します。
サーバアイコンを右クリックして、[ **リモートシェルセッションの開始**]を選択します。
サポートされるコマンド
次の表は、現在サポートされているリモートシェルコマンドをプラットフォームおよびエージェントのバージョン別に示しています。 新しいバージョンのエージェントでは、同じプラットフォーム上の以前のエージェントリリースでリストされたコマンドがサポートされます。
DSAバージョン | DSAバージョン | プラットフォーム | コマンド | Description | 構文 |
---|---|---|---|---|---|
20.0.0-5512+ | 20.0.0-5512+ | Windows | memdump |
memdump [--ma] [--mm] --pid <pid> memdump [--ma] [--mm] --pid <pid> --ma: Creates a full process memory dump. --mm: Create a mini process memory dump. --pid: Required parameter to specify process ID <pid> |
memdump --mm --pid 1234 |
20.0.0-182+ | 20.0.0-182+ | macOS | memdump |
memdump --pid <pid> |
memdump --pid 1234 |
cp | cp | ファイルまたはディレクトリを特定のコピー先にコピーする |
|
||
get | get | 特定のファイルを収集して Trend Micro Vision One にアップロード(最大ファイルサイズ:128MB) |
|
||
mkdir | mkdir | 新しいディレクトリを作成する |
|
||
mv | mv | ファイルまたはディレクトリを特定の移動先に移動する |
|
||
rm | rm | ファイルまたはディレクトリ(すべてのサブディレクトリを含む)を削除する |
|
||
run | run | 以前にアップロードしたスクリプトを実行する | run <script_name_and_extension> [arguments] | ||
zip | zip | a zipアーカイブ内のファイルまたはディレクトリを圧縮し、必要に応じてパスワードでアーカイブを暗号化します。 |
|
||
kill | kill | 実行中のプロセスを終了する | kill <PID> | ||
ユーザ情報 | ユーザ情報 | アカウントプロパティの一覧表示 | user info <username> | ||
20.0.0-173+ | 20.0.0-173+ | macOS | netstat | ネットワーク統計とアクティブな接続のリスト | netstat |
cat | cat |
cat <file_location_and_extension> cat <file_location_and_extension> |
|
||
cd | cd | 現在の作業ディレクトリを変更する | cd <path> | ||
クリア | クリア | 画面のクリア | clear | ||
env | env | 環境変数を表示する | env | ||
ls | ls | ファイルとディレクトリのリスト表示 |
|
||
ps | ps | 実行プロセス情報のリスト表示 | ps | ||
pwd | pwd | 現在のディレクトリを表示する | pwd | ||
サービスリスト | サービスリスト | リストサービス情報 | service list | ||
ユーザリスト | ユーザリスト | ローカルユーザアカウントのリスト表示 | user list | ||
ipconfig | ipconfig | ネットワーク設定を表示 | ipconfig | ||
fileinfo | fileinfo |
file info <file_location_and_extension> file info <file_location_and_extension> |
|
||
systeminfo | systeminfo | システム情報の一覧表示 | ipconfig | ||
ヘルプ | ヘルプ | ヘルプ情報を表示します | help | ||
20.0.0-2204+ | 20.0.0-2204+ | Windows、Linux | netstat | ネットワーク接続の表示 | netstat |
ipconfig | ipconfig | ネットワーク設定を表示 | ipconfig | ||
fileinfo | fileinfo |
file info <file_location_and_extension> file info <file_location_and_extension> |
|
||
systeminfo | systeminfo | システム情報の表示 | ipconfig | ||
scheduletasks | scheduletasks | スケジュールタスクを表示 | scheduletasks | ||
Windows | Windows | regクエリ | レジストリキーまたはレジストリのリストを表示する |
|
|
Linux | Linux | bashhistory | リストコマンド/ bash履歴(/root/.bash_history) | bashhistory | |
20.0.0.2009+ | 20.0.0.2009+ | Windows、Linux | cat |
cat <file_location_and_extension> cat <file_location_and_extension> |
|
cd | cd |
cd <path> cd <path> |
cd C:\ | ||
クリア | クリア | 画面のクリア | clear | ||
env | env | 環境変数を表示する | env | ||
グループリスト | グループリスト | ローカルグループ情報のリスト表示 | group list | ||
ヘルプ | ヘルプ | ヘルプ情報を表示する | help | ||
ls | ls |
ls <path> ls <path> |
|
||
ps | ps | 実行プロセス情報のリスト表示 | ps | ||
pwd | pwd | 現在のディレクトリを表示する | pwd | ||
サービスリスト | サービスリスト | リストサービス情報 | service list | ||
ユーザリスト | ユーザリスト | ローカルユーザアカウントのリスト表示 | user list | ||
listenports | listenports | リスト待機ポートのリスト | listenports |
一般的な問題のトラブルシューティング
一般的な問題のトラブルシューティング
リモートシェルの一般的な問題をトラブルシューティングするには、 Workload Security コンソールで次の設定を確認してください。
Trend Micro Vision One (XDR) の設定
- Trend Micro Vision One (XDR) タブ(管理→システム設定→Trend Micro Vision One (XDR))で次の項目を確認してください。
- 登録ステータスが「登録済み」です。
Trend Micro Vision One にセキュリティイベントを転送するには、そのチェックボックスがオンになっている必要があります。
[登録済み]のステータスが[登録済み]でない場合は、 トレンドマイクロへの登録が必要です。Vision One(XDR)。
{ .note }
コンピュータのセキュリティモジュールの設定
コンピュータの[ アクティビティ監視 ]タブで、 ([Computers]→(右クリックまたはダブルクリック)、[Details]→[アクティビティ監視]→[一般] ),の順に選択し、[Configuration]が[On]または[Inherited(On)]に設定されていることを確認します。
アクティビティ監視 を有効にするには、割り当てられたポリシーでコンピュータを有効にします。[ Policies] タブで、 アクティビティ監視 forを有効にするポリシーをダブルクリックします。[ アクティビティ監視] →[ 一般 ]の順に選択し、[アクティビティ監視 State]が[On]になっていることを確認します。
{ .tip } 要件 および トラブルシューティングで一般的な問題 セクションを確認したが、それでも問題が発生する場合は、サポートに連絡してください。