このページのトピック
Trend Vision Oneの拡張検出/応答 (XDR) リモートシェル
Trend Vision One XDRに統合されたリモートシェルを使用すると、 XDRインタフェースから直接 commands を実行できます。
AgentおよびRelayをプロキシ経由でプライマリセキュリティアップデート元 に接続する場合、リモートシェルは自動的に同じプロキシ設定を使用します。
リモートシェルは、LinuxおよびWindows用のエージェントバージョン20.0.0-2009以降、macOS用のバージョン20.0.0-173以降で使用できます。詳細については、サポートされているコマンドの一覧を参照してください。
要件
- WindowsまたはLinuxの場合はエージェント バージョン20.0.0-2009以降、macOSの場合はバージョン20.0.0-173以降をインストールします。
- Trend Vision One Extended Detection and Response (XDR) に登録
- セキュリティイベントをTrend Vision One Extended Detection and Response (XDR) に転送する
- アクティビティ監視を有効にする
Workload Securityは、IoTメカニズムを使用してメッセージとイベントをXDRに送信します。環境内で許可するURLを制限する必要がある場合は、Workload SecurityURL テーブルのイベントチャネル - XDRアクティビティ監視のFQDNを含めるようにファイアウォールを設定します。
リモートシェルセッションを開始する
リモートシェルセッションは、次のいずれかから開始できます。
Trend Micro Vision One 検索アプリ 
から:
[アプリケーションイベントの検索]で エンドポイント[ホスト名]の フィールドを右クリックし、[ リモートシェルセッションの開始]を選択します。
Trend Micro Vision One Workbench (XDRの下 
)から:
サーバアイコンを右クリックして、[ リモートシェルセッションの開始]を選択します。
サーバアイコンを右クリックして、[ リモートシェルセッションの開始]を選択します。
サポートされるコマンド
新しいバージョンのエージェントでは、同じプラットフォーム上の以前のエージェントリリースでリストされたコマンドがサポートされることに注意してください。
| DSAバージョン | DSAバージョン | DSAバージョン | プラットフォーム | コマンド | Description |
|---|---|---|---|---|---|
| 20.0.0-5512+ | 20.0.0-5512+ | 20.0.0-5512+ | Trend Vision Oneコンソールから、暗号化されたアーカイブとして利用可能なプロセスメモリダンプを作成します。 |
memdump [--ma] [--mm] --pid <pid> memdump [--ma] [--mm] --pid <pid> --ma: Creates a full process memory dump. --ma: Creates a full process memory dump. --mm: Create a mini process memory dump. |
memdump --mm --pid 1234 |
| 20.0.0-182+ | 20.0.0-182+ | 20.0.0-182+ | Trend Vision Oneコンソールから、暗号化されたアーカイブとして利用可能なプロセスメモリダンプを作成します。 |
memdump --pid <pid> |
memdump --pid 1234 |
| cp | cp | ファイルまたはディレクトリを特定のコピー先にコピーする |
|
||
| get | 特定のファイルを収集してTrend Vision Oneにアップロード (最大ファイルサイズ: 128MB) | 特定のファイルを収集して Trend Micro Vision One にアップロード(最大ファイルサイズ:128MB) |
|
||
| mkdir | mkdir | 新しいディレクトリを作成する |
|
||
| mv | mv | ファイルまたはディレクトリを特定の移動先に移動する |
|
||
| rm | rm | ファイルまたはディレクトリ(すべてのサブディレクトリを含む)を削除する |
|
||
| run | run | 以前にアップロードしたスクリプトを実行する | 以前にアップロードしたスクリプトを実行する | ||
| zip | zip | a zipアーカイブ内のファイルまたはディレクトリを圧縮し、必要に応じてパスワードでアーカイブを暗号化します。 |
|
||
| kill | kill | 実行中のプロセスを終了する | 実行中のプロセスを終了する | ||
| ユーザ情報 | ユーザ情報 | アカウントプロパティの一覧表示 | アカウントプロパティの一覧表示 | ||
| 20.0.0-173+ | 20.0.0-173+ | 20.0.0-173+ | macOS | netstat | ネットワーク統計とアクティブな接続のリスト |
| cat | cat |
cat <file_location_and_extension> cat <file_location_and_extension> |
|
||
| cd | cd | 現在の作業ディレクトリを変更する | cd <path> | ||
| クリア | クリア | 画面のクリア | clear | ||
| env | env | 環境変数を表示する | env | ||
| ls | ls | ファイルとディレクトリのリスト表示 |
|
||
| ps | ps | 実行プロセス情報のリスト表示 | ps | ||
| pwd | pwd | 現在のディレクトリを表示する | pwd | ||
| サービスリスト | サービスリスト | リストサービス情報 | service list | ||
| ユーザリスト | ユーザリスト | ローカルユーザアカウントのリスト表示 | user list | ||
| ipconfig | ipconfig | ネットワーク設定を表示 | ipconfig | ||
| fileinfo | fileinfo |
file info <file_location_and_extension> file info <file_location_and_extension> |
|
||
| systeminfo | systeminfo | システム情報の一覧表示 | ipconfig | ||
| ヘルプ | ヘルプ | ヘルプ情報を表示します | help | ||
| 20.0.0-2204+ | 20.0.0-2204+ | Windows、Linux | netstat | ネットワーク接続の表示 | netstat |
| ipconfig | ipconfig | ネットワーク設定を表示 | ipconfig | ||
| fileinfo | fileinfo |
file info <file_location_and_extension> file info <file_location_and_extension> |
|
||
| systeminfo | systeminfo | システム情報の表示 | ipconfig | ||
| scheduletasks | scheduletasks | スケジュールタスクを表示 | scheduletasks | ||
| Windows | Windows | regクエリ | レジストリキーまたはレジストリのリストを表示する |
|
|
| Linux | Linux | bashhistory | リストコマンド/ bash履歴(/root/.bash_history) | bashhistory | |
| 20.0.0.2009+ | 20.0.0.2009+ | Windows、Linux | cat |
cat <file_location_and_extension> cat <file_location_and_extension> |
|
| cd | cd |
cd <path> cd <path> |
cd C:\ | ||
| クリア | 画面のクリア | clear | clear | ||
| env | 環境変数を表示する | env | env | ||
| グループリスト | ローカルグループ情報のリスト表示 | group list | group list | ||
| ヘルプ | ヘルプ情報を表示する | help | help | ||
| ls | ls |
ls <path> ls <path> |
|
||
| ps | 実行プロセス情報のリスト表示 | ps | ps | ||
| pwd | 現在のディレクトリを表示する | pwd | pwd | ||
| サービスリスト | リストサービス情報 | service list | service list | ||
| ユーザリスト | ローカルユーザアカウントのリスト表示 | user list | user list | ||
| listenports | リスト待機ポートのリスト | listenports | listenports |
一般的な問題のトラブルシューティング
リモートシェルの一般的な問題をトラブルシューティングするには、 Workload Security コンソールで次の設定を確認してください。
Trend Vision One (XDR) の設定
[ Trend Micro Vision Vision One (XDR) ] タブ ([]→[システム設定]→[ Trend Micro Vision One (XDR)] ) で、次のことを確認します。
- 登録ステータスは [登録済み] です。
- セキュリティイベントをTrend Vision Oneに転送するが選択されています。
[登録ステータス] が [登録済み] でない場合は、Trend Vision One (XDR) への登録 を実行する必要があります。
コンピュータのセキュリティモジュールの設定
使用しているコンピュータの [ アクティビティ監視 ] タブ ( [コンピュータ] > (右またはダブルクリック) [Details] > [ アクティビティ監視 ] > [ 一般] ) で、[Configuration] が [On] または [Inherited (On)] に設定されていることを確認します。
コンピュータの[ アクティビティ監視 ]タブで、 ([Computers]→(右クリックまたはダブルクリック)、[Details]→[アクティビティ監視]→[一般] ),の順に選択し、[Configuration]が[On]または[Inherited(On)]に設定されていることを確認します。
また、コンピュータに割り当てられたポリシーで有効にすることで、コンピュータの アクティビティ監視 を有効にすることもできます。 [ ポリシー] タブで、アクティビティ監視を有効にするポリシーをダブルクリックします。 [ アクティビティ監視 ]→[ 一般 ]の順に選択し、[ アクティビティ監視 State] が [On] に設定されていることを確認します。
システム要件 および 一般的な問題のトラブルシューティング セクションを確認しても問題が解決しない場合は、サポートにお問い合わせください。