تمنح الاستجابة المباشرة فرق عمليات الأمان وصولا فوريا إلى جهاز (يشار إليه أيضا باسم الجهاز) باستخدام اتصال shell عن بعد. تمنحك الاستجابة المباشرة القدرة على القيام بعمل تحقيق متعمق واتخاذ إجراءات استجابة فورية لاحتواء التهديدات المحددة على الفور في الوقت الفعلي.
تم تصميم الاستجابة المباشرة لتعزيز التحقيقات من خلال تمكين فريق عمليات الأمان من جمع بيانات الطب الشرعي وتشغيل البرامج النصية وإرسال الكيانات المشبوهة للتحليل ومعالجة التهديدات والبحث الاستباقي عن التهديدات الناشئة.
باستخدام الاستجابة المباشرة، يمكن للمحللين القيام بجميع المهام التالية:
قم بتشغيل الأوامر الأساسية والمتقدمة للقيام بعمل تحقيقي على جهاز.
قم بتنزيل ملفات مثل عينات البرامج الضارة ونتائج البرامج النصية PowerShell.
قم بتنزيل الملفات في الخلفية (جديد!).
تحميل برنامج نصي PowerShell أو قابل للتنفيذ إلى المكتبة وتشغيله على جهاز من مستوى المستأجر.
اتخاذ إجراءات المعالجة أو التراجع عن ذلك.
قبل البدء
قبل أن تتمكن من بدء جلسة عمل على جهاز، تأكد من استيفاء المتطلبات التالية:
تحقق من تشغيل إصدار مدعوم من Windows.
يجب أن تعمل الأجهزة بأحد الإصدارات التالية من Windows
يمكن فقط للمسؤولين والمستخدمين الذين لديهم أذونات "إدارة إعدادات المدخل" تمكين الاستجابة المباشرة.
تمكين الاستجابة المباشرة للخوادم من صفحة الإعدادات المتقدمة (مستحسن).
ملاحظة
يمكن فقط للمسؤولين والمستخدمين الذين لديهم أذونات "إدارة إعدادات المدخل" تمكين الاستجابة المباشرة.
تمكين تنفيذ البرنامج النصي غير الموقع للاستجابة المباشرة (اختياري).
هام
ينطبق التحقق من التوقيع فقط على البرامج النصية PowerShell.
تحذير
قد يؤدي السماح باستخدام البرامج النصية غير الموقعة إلى زيادة تعرضك للتهديدات.
لا يوصى بتشغيل البرامج النصية غير الموقعة لأنه يمكن أن يزيد من تعرضك للتهديدات. ومع ذلك، إذا كان يجب عليك استخدامها، فستحتاج إلى تمكين الإعداد في صفحة إعدادات الميزات المتقدمة .
تأكد من أن لديك الأذونات المناسبة.
يمكن فقط للمستخدمين الذين تم تزويدهم بالأذونات المناسبة بدء جلسة عمل. لمزيد من المعلومات حول تعيينات الأدوار، راجع الإنشاء الأدوار وإدارتها.
هام
يتوفر خيار تحميل ملف إلى المكتبة فقط للمستخدمين الذين لديهم إذن "إدارة إعدادات الأمان".
الزر غير نشط للمستخدمين الذين لديهم أذونات مفوضة فقط.
اعتمادا على الدور الذي تم منحه لك، يمكنك تشغيل أوامر الاستجابة المباشرة الأساسية أو المتقدمة. يتم التحكم في أذونات المستخدمين بواسطة دور مخصص ل RBAC.
نظرة عامة على لوحة معلومات الاستجابة المباشرة
عند بدء جلسة استجابة مباشرة على جهاز، يتم فتح لوحة معلومات. توفر لوحة المعلومات معلومات حول الجلسة مثل ما يلي:
من أنشأ الجلسة
عند بدء الجلسة
مدة الجلسة
تمنحك لوحة المعلومات أيضا حق الوصول إلى:
قطع اتصال الجلسة
تحميل الملفات إلى المكتبة
وحدة تحكم الأوامر
سجل الأوامر
بدء جلسة استجابة مباشرة على جهاز
ملاحظة
لا تتوفر إجراءات الاستجابة المباشرة التي بدأت من صفحة Device في واجهة برمجة تطبيقات machineactions.
سجل الدخول إلى مدخل Microsoft Defender.
انتقل إلى مخزون جهاز نقاط > النهاية وحدد جهازا للتحقيق فيه. تفتح صفحة الأجهزة.
قم بتشغيل جلسة الاستجابة المباشرة عن طريق تحديد بدء جلسة الاستجابة المباشرة. يتم عرض وحدة تحكم الأوامر. انتظر بينما تتصل جلسة العمل بالجهاز.
بعد إكمال التحقيق، حدد قطع الاتصال بالجلسة، ثم حدد تأكيد.
أوامر الاستجابة المباشرة
اعتمادا على الدور الذي تم منحه لك، يمكنك تشغيل أوامر الاستجابة المباشرة الأساسية أو المتقدمة. يتم التحكم في أذونات المستخدم بواسطة الأدوار المخصصة ل RBAC. لمزيد من المعلومات حول تعيينات الأدوار، راجع الإنشاء الأدوار وإدارتها.
ملاحظة
الاستجابة المباشرة هي shell تفاعلية مستندة إلى السحابة، على هذا النحو، قد تختلف تجربة الأوامر المحددة في وقت الاستجابة اعتمادا على جودة الشبكة وتحميل النظام بين المستخدم النهائي والجهاز الهدف.
الأوامر الأساسية
تتوفر الأوامر التالية لأدوار المستخدم التي يتم منحها القدرة على تشغيل أوامر الاستجابة المباشرة الأساسية . لمزيد من المعلومات حول تعيينات الأدوار، راجع الإنشاء الأدوار وإدارتها.
الامر
الوصف
Windows وWindows Server
ماك
ينكس
cd
تغيير الدليل الحالي.
Y
Y
Y
cls
مسح شاشة وحدة التحكم.
Y
Y
Y
connect
بدء جلسة استجابة مباشرة للجهاز.
Y
Y
Y
connections
إظهار كافة الاتصالات النشطة.
Y
N
N
dir
يعرض قائمة بالملفات والدلائل الفرعية في دليل.
Y
Y
Y
drivers
يعرض جميع برامج التشغيل المثبتة على الجهاز.
Y
N
N
fg <command ID>
ضع الوظيفة المحددة في المقدمة، ما يجعلها الوظيفة الحالية. لاحظ أن fg يأخذ متوفرا command ID من الوظائف، وليس PID.
Y
Y
Y
fileinfo
الحصول على معلومات حول ملف.
Y
Y
Y
findfile
تحديد موقع الملفات حسب اسم معين على الجهاز.
Y
Y
Y
getfile <file_path>
تنزيل ملف.
Y
Y
Y
help
يوفر معلومات التعليمات لأوامر الاستجابة المباشرة.
Y
Y
Y
jobs
يعرض الوظائف قيد التشغيل حاليا ومعرفها وحالتها.
Y
Y
Y
persistence
إظهار جميع أساليب الاستمرار المعروفة على الجهاز.
Y
N
N
processes
يعرض جميع العمليات التي تعمل على الجهاز.
Y
Y
Y
registry
إظهار قيم التسجيل.
Y
N
N
scheduledtasks
يعرض جميع المهام المجدولة على الجهاز.
Y
N
N
services
يعرض جميع الخدمات على الجهاز.
Y
N
N
startupfolders
يعرض جميع الملفات المعروفة في مجلدات بدء التشغيل على الجهاز.
Y
N
N
status
يعرض حالة وإخراج أمر معين.
Y
Y
Y
trace
تعيين وضع تسجيل المحطة الطرفية لتصحيح الأخطاء.
Y
Y
Y
الأوامر المتقدمة
تتوفر الأوامر التالية لأدوار المستخدم التي يتم منحها القدرة على تشغيل أوامر استجابة مباشرة متقدمة . لمزيد من المعلومات حول تعيينات الأدوار، راجع الإنشاء الأدوار وإدارتها.
الامر
الوصف
Windows وWindows Server
ماك
ينكس
analyze
تحليل الكيان مع محركات التجريم المختلفة للتوصل إلى حكم.
Y
N
N
collect
يجمع حزمة الطب الشرعي من الجهاز.
N
Y
Y
isolate
قطع اتصال الجهاز بالشبكة مع الاحتفاظ بالاتصال بخدمة Defender لنقطة النهاية.
N
Y
N
release
إصدار جهاز من عزل الشبكة.
N
Y
N
run
تشغيل برنامج نصي PowerShell من المكتبة على الجهاز.
Y
Y
Y
library
القوائم الملفات التي تم تحميلها إلى مكتبة الاستجابة المباشرة.
Y
Y
Y
putfile
يضع ملفا من المكتبة إلى الجهاز. يتم حفظ الملفات في مجلد عمل ويتم حذفها عند إعادة تشغيل الجهاز بشكل افتراضي.
Y
Y
Y
remediate
معالجة كيان على الجهاز. يختلف إجراء المعالجة، اعتمادا على نوع الكيان: - ملف: حذف - العملية: إيقاف ملف الصورة وحذفه - الخدمة: إيقاف ملف الصورة وحذفه - إدخال السجل: حذف - مهمة مجدولة: إزالة - عنصر مجلد بدء التشغيل: حذف الملف
يحتوي هذا الأمر على أمر المتطلبات الأساسية. يمكنك استخدام -auto الأمر بالاقتران مع المعالجة لتشغيل الأمر المتطلبات الأساسية تلقائيا.
Y
Y
Y
scan
يقوم بتشغيل فحص سريع للحماية من الفيروسات للمساعدة في تحديد البرامج الضارة ومعالجتها.
N
Y
Y
undo
استعادة كيان تمت معالجته.
Y
N
N
ملاحظة
تنطبق حدود حجم الملف التالية لأمر putfile الاستجابة المباشرة:
Windows: 300 ميغابايت
الأنظمة الأساسية الأخرى: 10 ميغابايت
استخدام أوامر الاستجابة المباشرة
تتبع الأوامر التي يمكنك استخدامها في وحدة التحكم مبادئ مماثلة لأوامر Windows.
توفر الأوامر المتقدمة مجموعة أكثر قوة من الإجراءات التي تسمح لك باتخاذ إجراءات أكثر قوة مثل تنزيل ملف وتحميله، وتشغيل البرامج النصية على الجهاز، واتخاذ إجراءات المعالجة على كيان ما.
الحصول على ملف من الجهاز
بالنسبة للسيناريوهات التي ترغب فيها في الحصول على ملف من جهاز تحقق فيه، يمكنك استخدام getfile الأمر . يسمح لك هذا بحفظ الملف من الجهاز لمزيد من التحقيق.
ملاحظة
تنطبق حدود حجم الملف التالية:
getfile الحد: 3 غيغابايت
fileinfo الحد: 30 غيغابايت
library الحد: 250 ميغابايت
تنزيل ملف في الخلفية
لتمكين فريق عمليات الأمان من متابعة التحقيق في جهاز متأثر، يمكن الآن تنزيل الملفات في الخلفية.
لتنزيل ملف في الخلفية، في وحدة تحكم أوامر الاستجابة المباشرة، اكتب download <file_path> &.
إذا كنت تنتظر تنزيل ملف، يمكنك نقله إلى الخلفية باستخدام Ctrl + Z.
لإحضار تنزيل ملف إلى المقدمة، في وحدة تحكم أوامر الاستجابة المباشرة، اكتب fg <command_id>.
فيما يلي بعض الأمثلة:
الامر
ما الذي يفعله
getfile "C:\windows\some_file.exe" &
يبدأ تنزيل ملف يسمى some_file.exe في الخلفية.
fg 1234
إرجاع تنزيل بمعرف الأمر 1234 إلى المقدمة.
وضع ملف في المكتبة
تحتوي الاستجابة المباشرة على مكتبة حيث يمكنك وضع الملفات فيها. تخزن المكتبة الملفات (مثل البرامج النصية) التي يمكن تشغيلها في جلسة استجابة مباشرة على مستوى المستأجر.
تسمح الاستجابة المباشرة بتشغيل البرامج النصية PowerShell، ولكن يجب أولا وضع الملفات في المكتبة قبل أن تتمكن من تشغيلها.
يمكنك الحصول على مجموعة من البرامج النصية PowerShell التي يمكن تشغيلها على الأجهزة التي تبدأ جلسات الاستجابة المباشرة معها.
لتحميل ملف في المكتبة
انقر فوق تحميل الملف إلى المكتبة.
انقر فوق استعراض وحدد الملف.
قدم وصفا موجزا.
حدد ما إذا كنت تريد الكتابة فوق ملف بنفس الاسم.
إذا كنت ترغب في أن تكون، فتعرف على المعلمات المطلوبة للبرنامج النصي، حدد خانة الاختيار معلمات البرنامج النصي. في حقل النص، أدخل مثالا ووصفا.
انقر فوق تأكيد.
(اختياري) للتحقق من تحميل الملف إلى المكتبة، قم بتشغيل library الأمر .
إلغاء أمر
في أي وقت أثناء جلسة العمل، يمكنك إلغاء أمر بالضغط على CTRL + C.
تحذير
لن يؤدي استخدام هذا الاختصار إلى إيقاف الأمر في جانب العامل. سيؤدي ذلك إلى إلغاء الأمر في المدخل فقط. لذلك، قد يستمر تغيير العمليات مثل "المعالجة"، أثناء إلغاء الأمر.
تشغيل برنامج نصي
قبل أن تتمكن من تشغيل برنامج نصي PowerShell/Bash، يجب أولا تحميله إلى المكتبة.
بعد تحميل البرنامج النصي إلى المكتبة، استخدم run الأمر لتشغيل البرنامج النصي.
إذا كنت تخطط لاستخدام برنامج نصي PowerShell غير موقع في جلسة العمل، فستحتاج إلى تمكين الإعداد في صفحة إعدادات الميزات المتقدمة .
تحذير
قد يؤدي السماح باستخدام البرامج النصية غير الموقعة إلى زيادة تعرضك للتهديدات.
تطبيق معلمات الأمر
عرض تعليمات وحدة التحكم للتعرف على معلمات الأمر. للتعرف على أمر فردي، قم بتشغيل:
PowerShell
help <command name>
عند تطبيق المعلمات على الأوامر، لاحظ أنه يتم التعامل مع المعلمات استنادا إلى ترتيب ثابت:
PowerShell
<command name> param1 param2
عند تحديد معلمات خارج الترتيب الثابت، حدد اسم المعلمة بواصلة قبل توفير القيمة:
PowerShell
<command name> -param2_nameparam2
عند استخدام الأوامر التي تحتوي على أوامر المتطلبات الأساسية، يمكنك استخدام العلامات:
PowerShell
<command name> -type file -id <file path> - auto
او
PowerShell
remediate file <file path> - auto`
أنواع الإخراج المدعومة
تدعم الاستجابة المباشرة أنواع إخراج تنسيق الجدول وJSON. لكل أمر، هناك سلوك إخراج افتراضي. يمكنك تعديل الإخراج بتنسيق الإخراج المفضل لديك باستخدام الأوامر التالية:
-output json
-output table
ملاحظة
يتم عرض عدد أقل من الحقول بتنسيق الجدول بسبب المساحة المحدودة. للاطلاع على مزيد من التفاصيل في الإخراج، يمكنك استخدام أمر إخراج JSON بحيث يتم عرض المزيد من التفاصيل.
أنابيب الإخراج المدعومة
تدعم الاستجابة المباشرة تدفق الإخراج إلى CLI والملف. CLI هو سلوك الإخراج الافتراضي. يمكنك توجيه الإخراج إلى ملف باستخدام الأمر التالي: [command] > [filename].txt.
على سبيل المثال:
Console
processes > output.txt
عرض سجل الأوامر
حدد علامة التبويب Command log لمشاهدة الأوامر المستخدمة على الجهاز أثناء جلسة العمل. يتم تعقب كل أمر بتفاصيل كاملة مثل:
المعرّف
سطر الأوامر
مده
شريط جانبي للحالة والإدخل أو الإخراج
القيود
تقتصر جلسات الاستجابة المباشرة على 25 جلسة استجابة مباشرة في كل مرة.
قيمة مهلة جلسة الاستجابة المباشرة غير النشطة هي 30 دقيقة.
أوامر الاستجابة المباشرة الفردية لها حد زمني يبلغ 10 دقائق، باستثناء getfileو findfileو runالتي لها حد 30 دقيقة.
يمكن للمستخدم بدء ما يصل إلى 10 جلسات عمل متزامنة.