目次

Trend Micro Vision One (XDR)リモートシェル

XDR統合リモートシェルを使用すると、 コマンド をTrend Micro Vision One (XDR)インタフェースから直接実行できます。

エージェントとRelayをプロキシ経由で「プライマリセキュリティアップデート元」に接続すると、リモートシェルは自動的に同じプロキシ設定を使用します。

リモートシェルは、バージョンエージェント以降のLinuxおよびWindowsで使用できます。 macOSバージョン20.0.0-173以降詳細については、 サポートされるコマンドの表を参照してください。

要件

Workload Security は、IoTメカニズムを使用して Trend Micro Vision One (XDR)にメッセージとイベントを送信します。環境で許可するURLを制限する必要がある場合は、 Workload Security URL テーブルの「イベントチャネルXDRアクティビティ監視」FQDNを含めるようにファイアウォールを設定します。

リモートシェルセッションを開始する

リモートシェルセッションは、次のいずれかから開始できます。

Trend Micro Vision One検索アプリからTrend Micro Vision One 検索アプリのアイコン

[アプリケーションイベントの検索]で エンドポイント[ホスト名]の フィールドを右クリックし、[ リモートシェルセッションの開始]を選択します。

Trend Micro Vision OneWorkbenchXDRTrend Micro Vision One XDRアイコン):の下にあります)

サーバアイコンを右クリックして、[ リモートシェルセッションの開始]を選択します。

リモートシェルセッションの開始が強調表示されたTrend Micro Vision One Workbenchウィンドウ

サポートされるコマンド

次の表は、現在サポートされているリモートシェルコマンドをプラットフォームおよびエージェントのバージョン別に示しています。

新しいバージョンのエージェントでは、同じプラットフォーム上の以前のエージェントリリースでリストされたコマンドがサポートされます。

DSAバージョン プラットフォーム コマンド Description 構文
20.0.0-5512+ Windows memdump Trend Micro Vision One コンソールから、暗号化されたアーカイブとして利用可能なプロセスメモリダンプを作成します。

memdump [--ma] [--mm] --pid <pid>

--ma: Creates a full process memory dump.

--mm: Create a mini process memory dump.

--pid: Required parameter to specify process ID <pid>

memdumpでは、システムプロセスのダンプや128MBを超えるダンプファイルの作成はサポートされていません。

memdump --mm --pid 1234
20.0.0-182+ macOS memdump Trend Micro Vision One コンソールから、暗号化されたアーカイブとして利用可能なプロセスメモリダンプを作成します。

memdump --pid <pid>

memdump --pid 1234
cp ファイルまたはディレクトリを特定のコピー先にコピーする cp <source object> <destination object> [--force]
  • 現在のディレクトリ (/Users/<username>/Downloads) の Finances ディレクトリを /tmp にコピーし、既存のディレクトリを上書きするには: Downloads> cp Finances /tmp --force
  • /varディレクトリにあるexample.txtファイルを/tmpにコピーし、既存のexample.txtファイルを上書きするには: Downloads> cp /var/example.txt /tmp --force
get 特定のファイルを収集して Trend Micro Vision One にアップロード(最大ファイルサイズ:128MB) get <file_location_and_extension>
  • 現在のディレクトリ (/Users/<username>/Downloads) にある example.txt ファイルを収集するには: Downloads> get example.txt
  • example.txtファイルを/tmpディレクトリに収集するには、次の手順を実行します: Downloads> get /tmp/example.txt
mkdir 新しいディレクトリを作成する mkdir <path>
  • Finances ディレクトリを現在のディレクトリ (/Users/<username>/Downloads) に作成するには: Downloads> mkdir Finances
  • /tmpディレクトリにFinancesディレクトリを作成するには、次の手順を実行します: Downloads> mkdir /tmp/Finances
mv ファイルまたはディレクトリを特定の移動先に移動する mv <source_object> <destination_object> [--force]
  • 現在のディレクトリ (/Users/<username>/Downloads) の Finances ディレクトリを /tmp に移動し、既存のディレクトリを上書きするには: Downloads> mv Finances /tmp --force
  • /varディレクトリにあるexample.txtファイルを/tmpディレクトリに移動して、既存のexample.txtファイルを上書きするには: Downloads> mv /var/example.txt /tmp --force
rm ファイルまたはディレクトリ(すべてのサブディレクトリを含む)を削除する rm <source_object> [--force]
  • 現在のディレクトリ (/Users/<username>/Downloads) の Finances ディレクトリを削除するには: Downloads> rm Finances
  • /varディレクトリにあるexample.txtファイルを削除するには: Downloads> rm /var/example.txt
run 以前にアップロードしたスクリプトを実行する run <script_name_and_extension> [arguments] run demo.sh 1 "22 33" 44
zip a zipアーカイブ内のファイルまたはディレクトリを圧縮し、必要に応じてパスワードでアーカイブを暗号化します。 zip <source_object1> [<source_object2...> <source_objectn>] [--password <password>] [--force]
  • 現在のディレクトリ (/Users/<username>/Downloads) の Finances ディレクトリの内容を "/tmp/directoryArchive.zip" に圧縮するには、パスワードを "P@ssw0rd" に設定し、既存のファイルを上書きします: Downloads> zip Finances /tmp/directoryArchive.zip --password P@ssw0rd --force
  • /varディレクトリのexample.txtファイルを/tmp/exampleArchive.zipに圧縮し、既存のファイルを上書きするには: Downloads> zip /var/example.txt /tmp/exampleArchive.zip --force
kill 実行中のプロセスを終了する kill <PID> kill 1234
ユーザ情報 アカウントプロパティの一覧表示 user info <username> user info john_doe
20.0.0-173+ macOS netstat ネットワーク統計とアクティブな接続のリスト netstat netstat
cat 選択したファイルの出力内容(最大サイズ:1MB)

cat <file_location_and_extension>

< file_location_and_extension>, には、ファイルへの絶対パスまたは相対パス、ファイル名、およびファイル拡張子を指定します。

  • 現在のディレクトリにあるexample.txtファイルの内容を出力するには(/Users/<username>/Downloads):ダウンロード>cat example.txt
  • /tmpディレクトリにあるexample.txtファイルの内容を出力するには、次の手順を実行します。 ダウンロード>cat /tmp/example.txt
cd 現在の作業ディレクトリを変更する cd <path> cd /Users
クリア 画面のクリア clear clear
env 環境変数を表示する env env
ls ファイルとディレクトリのリスト表示 ls <path>
  • 現在のディレクトリ内のファイルとディレクトリを一覧表示するには(/Users/<username>/Downloads):ダウンロード>ls
  • /tmpディレクトリにあるファイルとディレクトリをリスト表示するには、ダウンロード>ls /tmp
ps 実行プロセス情報のリスト表示 ps ps
pwd 現在のディレクトリを表示する pwd pwd
サービスリスト リストサービス情報 service list service list
ユーザリスト ローカルユーザアカウントのリスト表示 user list user list
ipconfig ネットワーク設定を表示 ipconfig ipconfig
fileinfo 詳細なファイルプロパティの一覧表示

file info <file_location_and_extension>

<file_location_and_extension>には、ファイルへの絶対パスまたは相対パス、ファイル名、およびファイル拡張子を指定します。

  • 現在のディレクトリ(/Users/<username>/Downloads)にあるexample.txtファイルのプロパティを一覧表示するには、次のように入力します> fileinfo example.txt
  • /tmpディレクトリにあるexample.txtファイルのプロパティを表示するには、次のコマンドを実行しますfileinfo /tmp/example.txt
systeminfo システム情報の一覧表示 ipconfig ipconfig
ヘルプ ヘルプ情報を表示します help help
20.0.0-2204+ Windows、Linux netstat ネットワーク接続の表示 netstat netstat
ipconfig ネットワーク設定を表示 ipconfig ipconfig
fileinfo 詳細なファイルプロパティのリスト

file info <file_location_and_extension>

< file_location_and_extension>に対して、ファイルへの絶対パスまたは相対パス、ファイル名、およびファイル拡張子を指定します。

  • 現在のディレクトリ(C:\ Users \ Administrator \ Downloads)にexample.txtファイルのファイルプロパティをリストするには、次の手順を実行します。Downloads> fileinfo example.txt
  • C:\ tempディレクトリにあるexample.txtファイルのファイルプロパティを表示するには、次の手順を実行します。fileinfo C:\temp\example.txt
systeminfo システム情報の表示 ipconfig ipconfig
scheduletasks スケジュールタスクを表示 scheduletasks scheduletasks
Windows regクエリ レジストリキーまたはレジストリのリストを表示する reg query <key> [--value=<value_name>]
  • HKLM \ SOFTWARE \ Microsoft \ Windows \ CurrentVersionレジストリキーの内容を表示するには、次のように入力します。C:\ >reg query HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion
  • HKLM \ SOFTWARE \ Microsoft \ Windows \ CurrentVersionレジストリキーの値「詳細」のデータのみを表示するには、次のように入力します。C:\>reg query HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion --value=Details
Linux bashhistory リストコマンド/ bash履歴(/root/.bash_history) bashhistory bashhistory
20.0.0.2009+ Windows、Linux cat 選択したファイルの出力内容(最大サイズ:1MB)

cat <file_location_and_extension>

< file_location_and_extension>に対して、ファイルへの絶対パスまたは相対パス、ファイル名、およびファイル拡張子を指定します。

  • 現在のディレクトリ(C:\ Users \ Administrator \ Downloads)にあるexample.txtファイルの内容を出力するには、次の手順を実行します。Downloads>cat example.txt
  • C:\ tempディレクトリにあるexample.txtファイルの内容を出力するには、次の手順を実行します。 Downloads>cat c:\temp\example.txt
cd 現在の作業ディレクトリを変更する

cd <path>

< path>には、絶対パスまたは相対パスを指定します。

cd C:\
クリア 画面のクリア clear clear
env 環境変数を表示する env env
グループリスト ローカルグループ情報のリスト表示 group list group list
ヘルプ ヘルプ情報を表示する help help
ls ファイルとディレクトリのリスト表示

ls <path>

< path>には、絶対パスまたは相対パスを指定します。

  • 現在のディレクトリ(C:\ Users \ Administrator \ Downloads)にファイルとディレクトリをリストするには、次の手順を実行します。Downloads>ls
  • C:\ tempディレクトリにあるファイルとディレクトリをリスト表示するには、次の手順を実行します。Downloads>ls c:\temp
ps 実行プロセス情報のリスト表示 ps ps
pwd 現在のディレクトリを表示する pwd pwd
サービスリスト リストサービス情報 service list service list
ユーザリスト ローカルユーザアカウントのリスト表示 user list user list
listenports リスト待機ポートのリスト listenports listenports

一般的な問題のトラブルシューティング

リモートシェルの一般的な問題をトラブルシューティングするには、 Workload Security コンソールで次の設定を確認してください。

Trend Micro Vision One (XDR) の設定

Trend Micro Vision One (XDR) タブ(の管理→システム設定→Trend Micro Vision One (XDR) ), )で次の項目を確認してください。

  • 登録ステータスが「登録済み」です。
  • Trend Micro Vision One にセキュリティイベントを転送するには、そのチェックボックスがオンになっている必要があります。

Workload Security System Settings 画面( Trend Micro Vision One (XDR)タブが表示されています)

[登録済み]のステータスが[登録済み]でない場合は、 トレンドマイクロへの登録が必要です。Vision One(XDR)

コンピュータのセキュリティモジュールの設定

コンピュータの[ アクティビティ監視 ]タブで、 ([Computers]→(右クリックまたはダブルクリック)、[Details]→[アクティビティ監視]→[一般] ),の順に選択し、[Configuration]が[On]または[Inherited(On)]に設定されていることを確認します。

アクティビティ監視プロパティ

アクティビティ監視 を有効にするには、割り当てられたポリシーでコンピュータを有効にします。[ Policies] タブで、 アクティビティ監視 forを有効にするポリシーをダブルクリックします。[ アクティビティ監視] →[ 一般 ]の順に選択し、[アクティビティ監視 State]が[On]になっていることを確認します。

要件 および トラブルシューティングで一般的な問題 セクションを確認したが、それでも問題が発生する場合は、サポートに連絡してください