การทำ Whitelist Powershell Script บน ES Manager
เนื่องจากมีการเปิด Feature การ Block การ run PowerShell Script ที่จะไม่อนุญาตให้ script นอกเหนือจาก whitelist ในการ execute.
เช็คการตั้งค่าที่ Endpoint > Security Protection > Realtime Protection
วิธีดำเนินการ
1. หลังจากที่ verify ได้ว่า Parameter ของPowershell ที่มีการเรียกใช้เป็นของ Process ที่น่าเชื่อถือ
ให้ Copy ค่า Parameter ที่ Agent หรือเชคจาก Log ได้ทั้งบน Agent และ Manager
2. ไปที่ General Policies > เลือก Group ที่ต้องการใช้ > Trusted List > PowerShell Parameter Whitelist > กรอก Parameter และ Remark (ไม่support special character)
- ถ้าตัว script มีค่าบางส่วนที่กรอกเป็นส่วนประกอบจะถูก whitelist และสามารถrunได้
โดยDefault ตัว ES Manager จะมี whitelist บางparameter ที่windows หรือ software ต้องใช้runมาให้ เพื่อป้องกัน False Positive
ข้อคิดเห็น
0 ข้อคิดเห็น
โปรด ลงชื่อเข้าใช้ เพื่อแสดงข้อคิดเห็น