การทำ Whitelist Powershell Script บน ES Manager
เนื่องจากมีการเปิด Feature การ Block การ run PowerShell Script ที่จะไม่อนุญาตให้ script นอกเหนือจาก whitelist ในการ execute.
เช็คการตั้งค่าที่ Endpoint > Security Protection > Realtime Protection
วิธีดำเนินการ
1. หลังจากที่ verify ได้ว่า Parameter ของPowershell ที่มีการเรียกใช้เป็นของ Process ที่น่าเชื่อถือ
ให้ Copy ค่า Parameter ที่ Agent หรือเชคจาก Log ได้ทั้งบน Agent และ Manager
2. ไปที่ General Policies > เลือก Group ที่ต้องการใช้ > Trusted List > PowerShell Parameter Whitelist > กรอก Parameter และ Remark (ไม่support special character)
- ถ้าตัว script มีค่าบางส่วนที่กรอกเป็นส่วนประกอบตรง จึงจะถูก whitelist และสามารถrunได้ (ไม่จำเป็นต้อง whitelist เต็มๆ ทั้ง parameter นำมาแค่ใจความสำคัญ)
โดยDefault ตัว ES Manager จะมี whitelist บางparameter ที่windows หรือ software ต้องใช้runมาให้ เพื่อป้องกัน False Positive หากยังพบว่ามีสิ่งที่ยังอยู่นอกเหนือ ให้ทำการ whitelist ด้วย parameter เพิ่ม
ข้อคิดเห็น
0 ข้อคิดเห็น
โปรด ลงชื่อเข้าใช้ เพื่อแสดงข้อคิดเห็น