檢視次數:
在調查期間直接訪問端點以在命令行介面 (CLI) 中執行命令、管理註冊表、檔案、服務或啟動應用程式,或運行自訂腳本。您可以查看檔案、進程和服務屬性。
  • 只有具有超級管理員或安全分析師角色的用戶才能訪問遠程訪問響應。
  • 如果您的組織強制執行多因素驗證 (MFA),即使您已使用 MFA 登錄,您在啟動遠端存取會話時可能會遇到額外的提示。
  • 您必須將端點升級到代理版本 1.2.0.6734 或更高版本才能使用遠端存取。
  • 目標端點必須在線才能連接。
  • 在一個視窗中所做的更改可能不會顯示在另一個視窗中。每個視窗顯示其自身檔案系統的靜態視圖。要顯示最新資料,請點擊resendCommand=GUID-47F93E03-99D1-49B4-95D0-C6D07F10B592=1=zh-tw=Low.jpg
以下服務支援此任務:
  • Trend Vision One
    • Windows 代理程式

步驟

  1. WorkbenchXDR Data ExplorerObserved Attack Techniques中,右鍵點擊一個端點並選擇「Start remote access session」,然後點擊「建立」
  2. 使用遠端存取導航列來執行相應的任務:
    remote-access-nav-bar=19435bad-22e5-473b-9389-a5caf284f2e7.png
    某些視窗在顯示大量資料防護時可能會加載緩慢。
  3. 如果您需要移動、調整大小或關閉視窗,調整視窗
  4. 當您的會話完成時,點擊「End session」。終止連接可能需要幾分鐘。

執行遠端殼層命令 上層主題

遠端會話使用系統的 ANSI 代碼頁進行字符編碼。如果您在命令輸出中遇到特殊字符問題,請確認代碼頁設定。您可以在終端中使用 chcp 檢查當前的代碼頁。
如需命令列表,請參閱Windows 端點的遠端 Shell 命令

步驟

  1. 在導航欄上點擊終端機
  2. 開始輸入。自動完成提供命令建議。
    • 按 Tab 鍵以使用自動完成建議的命令。
    • 按 Alt+向上箭頭鍵 顯示上一個建議。
    • 按 Alt+向下箭頭鍵 以顯示下一個建議。

啟動 PowerShell 工作階段 上層主題

在終端中使用 PowerShell 命令進行高級流程和服務管理。PowerShell 技術支援中心需要感測器版本 1.2.0.7123 或更高。PowerShell 可執行檔路徑為 C:\windows\system32\WindowsPowerShell\v1.0\powershell.exe

步驟

  1. 點擊終端機在導航欄上。
  2. 輸入help
  3. 確認 powershell 是否出現在支援的命令列表中。如果沒有,則該端點上無法使用 PowerShell。
    秘訣
    秘訣
    輸入 help 以顯示當前可用命令的列表。
  4. 輸入powershell
    命令提示字元變更為PS C:\>
    您也可以使用ParseInput應用程式介面 (API) 端點自動化遠端存取會話操作。

編輯登錄檔 上層主題

步驟

  1. 點擊導航列上的註冊表編輯器
  2. 展開資料夾以查看登錄機碼和名稱-值的列表。
  3. 在登錄檔鍵或名稱值上按一下右鍵,然後選擇以下操作之一:
    • 刪除
    • 複製

瀏覽檔案、資料夾和硬碟 上層主題

步驟

  1. 點擊 檔案總管圖示 在導航欄上。
  2. 展開資料夾以查看檔案和資料夾列表。您也可以直接輸入路徑。
    • 點擊以返回上一個檔案路徑。
    • 按一下以移至下一個檔案路徑。
  3. 在檔案或資料夾上右鍵點擊,然後選擇以下操作之一:
    • 刪除
    • Compress
    • Collect file
    • 內容
      檔案總管中的屬性是唯讀的。您無法修改這些屬性。

管理程序 上層主題

步驟

  1. 在導航欄上點擊任務管理器圖示
  2. 在工作管理員菜單上點擊進程圖標
  3. 如果您想篩選列表,請在篩選框中輸入。
  4. 在一個程序上點擊右鍵,然後選擇以下操作之一:
    • 終止
    • Copy image path
    • Create dump
      • 完整版
      • Mini
    • Collect file
    • 內容

管理服務 上層主題

步驟

  1. 在導航欄上點擊任務管理器圖示
  2. 在任務管理器菜單中點擊服務圖標
  3. 如果您想篩選列表,請在篩選框中輸入。
  4. 在服務上點擊右鍵,然後選擇以下操作之一:
    • 開始
    • 停止
    • 刪除
    • 內容

檢視使用者清單 上層主題

步驟

  1. 點擊導航列上的任務管理器圖示
  2. 在工作管理員選單中點擊使用者圖示
  3. 如果您想篩選列表,請在篩選框中輸入。

管理啟動應用程式 上層主題

步驟

  1. 在導航欄上點擊任務管理器圖示
  2. 在工作管理員選單中點擊啟動應用程式圖示
  3. 在啟動應用程式上右鍵點擊,然後選擇以下操作之一:
    • 「關閉」,如果已啟動
    • 「啟動」,如果關閉
    • 刪除

執行自訂腳本 上層主題

步驟

  1. 在導航欄上點擊自訂腳本圖示
  2. 點擊「Run」以運行您想要的腳本。
    Trend Vision One 每次會話限制您使用一個自訂腳本檔案。

監控任務狀態 上層主題

當您有新通知時,通知圖示上會出現一個紅點。

步驟

  1. 在導航列上點擊通知圖示
  2. 檢視有關任務的資訊,包括 ID、狀態、動作、目標和更新日期。

調整視窗 上層主題

如果您在結束會話之前關閉視窗,與端點的連線將在 10 分鐘後超時。

步驟

  • 點擊並按住標題列以移動視窗。
  • 點擊並按住角落以調整視窗大小
  • 點擊最小化圖示以最小化視窗。
  • 點擊最大化圖示以最大化視窗。
  • 點擊 關閉視窗圖示 以關閉視窗
  • 在導航欄中右鍵點擊圖示以重新顯示已最小化的窗口。
  • 右鍵點擊導航欄,然後選擇「Close all windows」以關閉遠端存取視窗。這不會結束會話。