このページのトピック
Trend Micro Vision One (XDR)リモートシェル
XDR統合リモートシェルを使用すると、 コマンド をTrend Micro Vision One (XDR)インタフェースから直接実行できます。
エージェントとRelayをプロキシ経由で「プライマリセキュリティアップデート元」に接続すると、リモートシェルは自動的に同じプロキシ設定を使用します。
リモートシェルは、バージョンエージェント以降のLinuxおよびWindowsで使用できます。 macOSバージョン20.0.0-173以降詳細については、 サポートされるコマンドの表を参照してください。
要件
- エージェントのインストールバージョン20.0.0-2009以降(WindowsまたはLinux) macOSバージョン20.0.0-173以降
- Trend Micro Vision One (XDR)への登録
- Trend Micro Vision One (XDR)にセキュリティイベントを転送する
- アクティビティ監視を有効にする
Workload Security は、IoTメカニズムを使用して Trend Micro Vision One (XDR)にメッセージとイベントを送信します。環境で許可するURLを制限する必要がある場合は、 Workload Security URL テーブルの「イベントチャネルXDRアクティビティ監視」FQDNを含めるようにファイアウォールを設定します。
リモートシェルセッションを開始する
リモートシェルセッションは、次のいずれかから開始できます。
Trend Micro Vision One検索アプリから
:
[アプリケーションイベントの検索]で エンドポイント[ホスト名]の フィールドを右クリックし、[ リモートシェルセッションの開始]を選択します。
Trend Micro Vision OneWorkbench ( XDR
):の下にあります)
サーバアイコンを右クリックして、[ リモートシェルセッションの開始]を選択します。
サポートされるコマンド
次の表は、現在サポートされているリモートシェルコマンドをプラットフォームおよびエージェントのバージョン別に示しています。
新しいバージョンのエージェントでは、同じプラットフォーム上の以前のエージェントリリースでリストされたコマンドがサポートされます。
DSAバージョン | プラットフォーム | コマンド | Description | 構文 | 例 |
---|---|---|---|---|---|
20.0.0-5512+ | Windows | memdump | Trend Micro Vision One コンソールから、暗号化されたアーカイブとして利用可能なプロセスメモリダンプを作成します。 |
memdump [--ma] [--mm] --pid <pid> --ma: Creates a full process memory dump. --mm: Create a mini process memory dump. --pid: Required parameter to specify process ID <pid> memdumpでは、システムプロセスのダンプや128MBを超えるダンプファイルの作成はサポートされていません。 |
memdump --mm --pid 1234 |
20.0.0-182+ | macOS | memdump | Trend Micro Vision One コンソールから、暗号化されたアーカイブとして利用可能なプロセスメモリダンプを作成します。 |
memdump --pid <pid> |
memdump --pid 1234 |
cp | ファイルまたはディレクトリを特定のコピー先にコピーする | cp <source object> <destination object> [--force] |
|
||
get | 特定のファイルを収集して Trend Micro Vision One にアップロード(最大ファイルサイズ:128MB) | get <file_location_and_extension> |
|
||
mkdir | 新しいディレクトリを作成する | mkdir <path> |
|
||
mv | ファイルまたはディレクトリを特定の移動先に移動する | mv <source_object> <destination_object> [--force] |
|
||
rm | ファイルまたはディレクトリ(すべてのサブディレクトリを含む)を削除する | rm <source_object> [--force] |
|
||
run | 以前にアップロードしたスクリプトを実行する | run <script_name_and_extension> [arguments] | run demo.sh 1 "22 33" 44 | ||
zip | a zipアーカイブ内のファイルまたはディレクトリを圧縮し、必要に応じてパスワードでアーカイブを暗号化します。 | zip <source_object1> [<source_object2...> <source_objectn>] [--password <password>] [--force] |
|
||
kill | 実行中のプロセスを終了する | kill <PID> | kill 1234 | ||
ユーザ情報 | アカウントプロパティの一覧表示 | user info <username> | user info john_doe | ||
20.0.0-173+ | macOS | netstat | ネットワーク統計とアクティブな接続のリスト | netstat | netstat |
cat | 選択したファイルの出力内容(最大サイズ:1MB) |
cat <file_location_and_extension> < file_location_and_extension>, には、ファイルへの絶対パスまたは相対パス、ファイル名、およびファイル拡張子を指定します。 |
|
||
cd | 現在の作業ディレクトリを変更する | cd <path> | cd /Users | ||
クリア | 画面のクリア | clear | clear | ||
env | 環境変数を表示する | env | env | ||
ls | ファイルとディレクトリのリスト表示 | ls <path> |
|
||
ps | 実行プロセス情報のリスト表示 | ps | ps | ||
pwd | 現在のディレクトリを表示する | pwd | pwd | ||
サービスリスト | リストサービス情報 | service list | service list | ||
ユーザリスト | ローカルユーザアカウントのリスト表示 | user list | user list | ||
ipconfig | ネットワーク設定を表示 | ipconfig | ipconfig | ||
fileinfo | 詳細なファイルプロパティの一覧表示 |
file info <file_location_and_extension> <file_location_and_extension>には、ファイルへの絶対パスまたは相対パス、ファイル名、およびファイル拡張子を指定します。 |
|
||
systeminfo | システム情報の一覧表示 | ipconfig | ipconfig | ||
ヘルプ | ヘルプ情報を表示します | help | help | ||
20.0.0-2204+ | Windows、Linux | netstat | ネットワーク接続の表示 | netstat | netstat |
ipconfig | ネットワーク設定を表示 | ipconfig | ipconfig | ||
fileinfo | 詳細なファイルプロパティのリスト |
file info <file_location_and_extension> < file_location_and_extension>に対して、ファイルへの絶対パスまたは相対パス、ファイル名、およびファイル拡張子を指定します。 |
|
||
systeminfo | システム情報の表示 | ipconfig | ipconfig | ||
scheduletasks | スケジュールタスクを表示 | scheduletasks | scheduletasks | ||
Windows | regクエリ | レジストリキーまたはレジストリのリストを表示する | reg query <key> [--value=<value_name>] |
|
|
Linux | bashhistory | リストコマンド/ bash履歴(/root/.bash_history) | bashhistory | bashhistory | |
20.0.0.2009+ | Windows、Linux | cat | 選択したファイルの出力内容(最大サイズ:1MB) |
cat <file_location_and_extension> < file_location_and_extension>に対して、ファイルへの絶対パスまたは相対パス、ファイル名、およびファイル拡張子を指定します。 |
|
cd | 現在の作業ディレクトリを変更する |
cd <path> < path>には、絶対パスまたは相対パスを指定します。 |
cd C:\ | ||
クリア | 画面のクリア | clear | clear | ||
env | 環境変数を表示する | env | env | ||
グループリスト | ローカルグループ情報のリスト表示 | group list | group list | ||
ヘルプ | ヘルプ情報を表示する | help | help | ||
ls | ファイルとディレクトリのリスト表示 |
ls <path> < path>には、絶対パスまたは相対パスを指定します。 |
|
||
ps | 実行プロセス情報のリスト表示 | ps | ps | ||
pwd | 現在のディレクトリを表示する | pwd | pwd | ||
サービスリスト | リストサービス情報 | service list | service list | ||
ユーザリスト | ローカルユーザアカウントのリスト表示 | user list | user list | ||
listenports | リスト待機ポートのリスト | listenports | listenports |
一般的な問題のトラブルシューティング
リモートシェルの一般的な問題をトラブルシューティングするには、 Workload Security コンソールで次の設定を確認してください。
Trend Micro Vision One (XDR) の設定
Trend Micro Vision One (XDR) タブ(の管理→システム設定→Trend Micro Vision One (XDR) ), )で次の項目を確認してください。
- 登録ステータスが「登録済み」です。
- Trend Micro Vision One にセキュリティイベントを転送するには、そのチェックボックスがオンになっている必要があります。
[登録済み]のステータスが[登録済み]でない場合は、 トレンドマイクロへの登録が必要です。Vision One(XDR)。
コンピュータのセキュリティモジュールの設定
コンピュータの[ アクティビティ監視 ]タブで、 ([Computers]→(右クリックまたはダブルクリック)、[Details]→[アクティビティ監視]→[一般] ),の順に選択し、[Configuration]が[On]または[Inherited(On)]に設定されていることを確認します。
アクティビティ監視 を有効にするには、割り当てられたポリシーでコンピュータを有効にします。[ Policies] タブで、 アクティビティ監視 forを有効にするポリシーをダブルクリックします。[ アクティビティ監視] →[ 一般 ]の順に選択し、[アクティビティ監視 State]が[On]になっていることを確認します。
要件 および トラブルシューティングで一般的な問題 セクションを確認したが、それでも問題が発生する場合は、サポートに連絡してください。