Trend Micro Vision One (XDR)リモートシェル

XDR統合リモートシェルを使用すると、 コマンド をTrend Micro Vision One (XDR)インタフェースから直接実行できます。

エージェントとRelayをプロキシ経由で「プライマリセキュリティアップデート元」に接続すると、リモートシェルは自動的に同じプロキシ設定を使用します。

リモートシェルは、 Deep Security Agent 20.0.0-2009 +で使用できます。エージェントのバージョン20.0.0-2204 +には、 でサポートされるコマンドで説明されているように、追加のコマンドのサポートが追加されています。

要件

Workload Security は、IoTメカニズムを使用して Trend Micro Vision One (XDR)にメッセージとイベントを送信します。環境で許可するURLを制限する必要がある場合は、 Workload Security URL テーブルの「イベントチャネルXDRアクティビティ監視」FQDNを含めるようにファイアウォールを設定します。

リモートシェルセッションを開始する

リモートシェルセッションは、次のいずれかから開始できます。

Trend Micro Vision One検索アプリから

[アプリケーションイベントの検索]で エンドポイント[ホスト名]の フィールドを右クリックし、[ リモートシェルセッションの開始]を選択します。

Trend Micro Vision OneWorkbenchXDR):の下にあります)

サーバアイコンを右クリックして、[ リモートシェルセッションの開始]を選択します。

サポートされるコマンド

次の表は、WindowsおよびLinuxプラットフォームで現在サポートされているリモートシェルコマンドを示しています。

Deep Security Agent 20.0.0-2204 +では、追加のコマンドのサポートが追加されています。

DSAバージョン プラットフォーム コマンド Description 構文
20.0.0-2204 Windows、Linux cat 選択したファイルの出力内容(最大サイズ:1MB)

cat <file_location_and_extension>

< file_location_and_extension>, には、ファイルへの絶対パスまたは相対パス、ファイル名、およびファイル拡張子を指定します。

  • 現在のディレクトリにあるexample.txtファイルの内容を出力するには(C:\Users \ Administrator \ Downloads):

    ダウンロード>cat example.txt

  • C:\tempディレクトリにあるexample.txtファイルの内容を出力するには、次の手順を実行します。

    ダウンロード>cat c:\temp\example.txt

cd 現在の作業ディレクトリを変更する

cd <path>

<パス>, には、絶対パスまたは相対パスを指定します。

cd C:\
クリア 画面のクリア clear clear
env

環境変数を表示する

env env
グループリスト ローカルグループ情報のリスト表示 group list group list
ヘルプ ヘルプ情報を表示する help help
ls ファイルとディレクトリのリスト表示

ls <path>

<パス>, には、絶対パスまたは相対パスを指定します。

  • 現在のディレクトリ内のファイルとディレクトリを一覧表示するには(C:\Users \ Administrator \ Downloads):

    ダウンロード>ls

  • C:\一時ディレクトリにあるファイルとディレクトリをリスト表示するには

    ダウンロード>ls c:\temp

ps 実行プロセス情報のリスト表示 ps ps
pwd 現在のディレクトリを表示する pwd pwd
サービスリスト リストサービス情報 service list service list
ユーザリスト ローカルユーザアカウントのリスト表示 user list user list
listenports リスト待機ポートのリスト listenports listenports
netstat ネットワーク接続の表示 netstat netstat
ipconfig ネットワーク設定を表示 ipconfig ipconfig
fileinfo 詳細なファイルプロパティのリスト

file info <file_location_and_extension>

< file_location_and_extension>に対して、ファイルへの絶対パスまたは相対パス、ファイル名、およびファイル拡張子を指定します。

  • 現在のディレクトリ(C:\ Users \ Administrator \ Downloads)にexample.txtファイルのファイルプロパティをリストするには、次の手順を実行します。Downloads> fileinfo example.txt
  • C:\ tempディレクトリにあるexample.txtファイルのファイルプロパティを表示するには、次の手順を実行します。fileinfo C:\temp\example.txt
systeminfo システム情報の表示 ipconfig ipconfig
scheduletasks スケジュールタスクを表示 scheduletasks scheduletasks
Windows regクエリ レジストリキーまたはレジストリのリストを表示する reg query <key> [--value=<value_name>]
  • HKLM \ SOFTWARE \ Microsoft \ Windows \ CurrentVersionレジストリキーの内容を表示するには、次のように入力します。C:\ >reg query HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion
  • HKLM \ SOFTWARE \ Microsoft \ Windows \ CurrentVersionレジストリキーの値「詳細」のデータのみを表示するには、次のように入力します。C:\>reg query HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion --value=Details
Linux bashhistory リストコマンド/ bash履歴(/root/.bash_history) bashhistory bashhistory
20.0.0.2009 Windows、Linux cat 選択したファイルの出力内容(最大サイズ:1MB)

cat <file_location_and_extension>

< file_location_and_extension>に対して、ファイルへの絶対パスまたは相対パス、ファイル名、およびファイル拡張子を指定します。

  • 現在のディレクトリ(C:\ Users \ Administrator \ Downloads)にあるexample.txtファイルの内容を出力するには、次の手順を実行します。Downloads>cat example.txt
  • C:\ tempディレクトリにあるexample.txtファイルの内容を出力するには、次の手順を実行します。 Downloads>cat c:\temp\example.txt
cd 現在の作業ディレクトリを変更する

cd <path>

< path>には、絶対パスまたは相対パスを指定します。

cd C:\
クリア 画面のクリア clear clear
env 環境変数を表示する env env
グループリスト ローカルグループ情報のリスト表示 group list group list
ヘルプ ヘルプ情報を表示する help help
ls ファイルとディレクトリのリスト表示

ls <path>

< path>には、絶対パスまたは相対パスを指定します。

  • 現在のディレクトリ(C:\ Users \ Administrator \ Downloads)にファイルとディレクトリをリストするには、次の手順を実行します。Downloads>ls
  • C:\ tempディレクトリにあるファイルとディレクトリをリスト表示するには、次の手順を実行します。Downloads>ls c:\temp
ps 実行プロセス情報のリスト表示 ps ps
pwd 現在のディレクトリを表示する pwd pwd
サービスリスト リストサービス情報 service list service list
ユーザリスト ローカルユーザアカウントのリスト表示 user list user list
listenports リスト待機ポートのリスト listenports listenports

一般的な問題のトラブルシューティング

リモートシェルの一般的な問題をトラブルシューティングするには、 Workload Security コンソールで次の設定を確認してください。

Trend Micro Vision One (XDR) の設定

Trend Micro Vision One (XDR) タブ(の管理→システム設定→Trend Micro Vision One (XDR) ), )で次の項目を確認してください。

  • 登録ステータスが「登録済み」です。
  • Trend Micro Vision One にセキュリティイベントを転送するには、そのチェックボックスがオンになっている必要があります。

[登録済み]のステータスが[登録済み]でない場合は、 トレンドマイクロへの登録が必要です。Vision One(XDR)

コンピュータのセキュリティモジュールの設定

コンピュータの[ アクティビティ監視 ]タブで、[) (Computers](右クリックまたはダブルクリック)、[Details]→[ アクティビティ監視 ]→[ 一般 ), ]の順に選択し、[Configuration]が[On]または[Inherited(On)]に設定されていることを確認します。

アクティビティ監視 を有効にするには、割り当てられたポリシーでコンピュータを有効にします。[ Policies] タブで、 アクティビティ監視 forを有効にするポリシーをダブルクリックします。[ アクティビティ監視] →[ 一般 ]の順に選択し、[アクティビティ監視 State]が[On]になっていることを確認します。

の要件 および の一般的な問題の セクションのトラブルシューティングを行っても問題が解決しない場合は、サポート担当者にお問い合わせください。