启动远程Shell会话
GravityZone XDR 提供交互式Shell功能,使您能够远程连接到调查事件涉及的终端,开启远程Shell会话直接在终端操作系统上运行Shell命令,即时消除威胁或收集取证数据以供进一步分析。
启动远程Shell会话的步骤如下:
-
选择一个或多个受管终端,点击 远程Shell 按钮以打开 远程Shell连接 页面(新浏览器标签页)。
-
若启用双因素认证(2FA),按以下步骤启动远程会话:
-
输入认证应用生成的2FA验证码以激活 开始会话 按钮。
-
激活后点击 开始会话 按钮,在目标终端启动远程Shell会话。
-
-
若未启用2FA,按以下步骤启动远程会话:
-
点击 开始会话 .
系统将跳转至您组织的登录页面。
-
输入域账号用户名和密码。
随后将跳转至 GravityZone控制台 ,远程会话将自动启动。
连接建立后,您将以拥有"root"权限的用户身份登录,可执行多种取证操作及方法以调查可疑行为或缓解威胁。
例如可远程上传或下载文件。功能使用详情请参阅 文件上传 或 文件下载 章节。文件上传请求可于 网络 > 任务 部分。任务类型为 上传文件 。要检索通过远程Shell功能下载的文件,请查看 调查文件活动部分 。更多信息请参阅 从网络清单中检索下载的文件 .
注意
所有会话日志均会被记录,完整输出将在会话结束时可供下载。
-
-
调查完成后,点击 结束会话 按钮关闭远程连接,或直接关闭会话的浏览器标签页。
-
结束当前会话后,您可以点击 下载审计日志 按钮获取刚结束的远程Shell会话日志,亦可发起新的远程会话。
-
点击 下载审计日志 , GravityZone 将开始编译 zip 文件包含所有会话日志。此操作可能需要几分钟完成,具体取决于归档文件的大小。所有会话详情也可在 用户活动日志 .
注意
会话日志默认以原始格式保存。为便于阅读,请解压文件并使用以下工具之一:
-
对于来自Windows操作系统端点的日志,请在PowerShell中运行此命令:
Get-Content<文件路径>-Wait(使用日志文件的路径和名称)示例:
Get-Content"C:\Users\Documents\sessionLogs.txt"-Wait -
对于来自Linux和macOS端点的日志,请在终端中运行此命令:
less<文件路径>(使用日志文件的路径和名称)示例:
less/home/user/sessionLogs.txt
-
-
当您点击 开始新会话 时,系统将再次要求您输入验证码以启动新会话。
-
注意
如果您遇到远程Shell功能的任何问题,请参考 XDR远程Shell故障排除 .