檢視次數:

在調查期間,直接訪問端點並執行 CLI 命令或自定義腳本文件。

此任務由以下服務支援:
  • Trend Vision One
    • macOS 代理程式
    • Linux 代理程式
    注意
    注意
    對於 Windows,使用新的遠端存取功能
  • Trend Cloud One - Endpoint & Workload Security
    • Windows 代理程式
    • macOS 代理程式
    • Linux 代理程式
只有具有超級管理員或安全分析師角色的用戶才能訪問遠程訪問會話響應。

步驟

  1. 在識別要調查的端點後,進入上下文或回應選單,然後點擊「Start Remote Access Session」
    「遠端存取」畫面出現,Trend Vision One嘗試連接到端點。
    注意
    注意
    Trend Vision One 每家公司僅允許 10 個並發遠端存取會話,且不允許多個會話同時存取相同的端點。目標端點必須在線才能成功連接。
    如果 Trend Vision One 無法在五分鐘內建立會話,連線將逾時。
  2. 使用 CLI 手動輸入命令或運行現有的自定義腳本文件。
    • 使用遠端存取控制台執行必要的命令以進行您的調查。
      隨時輸入help以查看所有可用的命令。
      注意
      注意
      一個工作階段會在兩小時後自動結束,並在閒置10分鐘後自動超時。
    • 點選Use Custom Script以開啟詳細資訊面板,然後點選Run在您想執行的腳本檔案旁邊。
      注意
      注意
      Trend Vision One 每次會話僅允許您使用一個自訂腳本檔案。目標端點必須在線才能成功連接。
  3. 在您完成調查後,點選End Session以終止與端點的連接。
  4. 提供遠端存取會話的描述,然後點擊「End Session」
    注意
    注意
    終止連接可能需要一分鐘才能完成。如果您在點擊End Session之前關閉瀏覽器窗口,連接到端點將在10分鐘後超時。
  5. 監控任務狀態。
    1. 移至「Workflow and Automation」Response Management
    2. 使用「搜尋」欄位定位任務,或從內容選單中選擇「遠端存取」
    3. 查看任務狀態。
      • 「進行中」 (in_progress=GUID-A55897DB-3DEA-4F5C-B7F9-70B3D7FB9EDE=1=zh-tw=Low.jpg): Trend Vision One 已發送指令並正在等待回應。
      • 「成功」 (successful=GUID-1E31AD86-DE2E-48B5-85F7-7C78A3E8BB11=1=zh-tw=Low.jpg): 命令已成功執行。
      • Unsuccessful (not_successful=GUID-FFE62183-8DA1-422C-AF65-CE41E3A46984=1=zh-tw=Low.jpg): 嘗試將命令發送到管理伺服器時發生錯誤或超時,Security Agent 已離線,或命令執行超時
    4. 點選Task ID以開啟詳細資訊面板,並Download會話歷史記錄為TXT檔案。
相關資訊