مشاركة عبر

التحقيق في الكيانات على الأجهزة باستخدام الاستجابة المباشرة

  • ينطبق على: Microsoft Defender for Endpoint Plan 2

تمنح الاستجابة المباشرة فرق عمليات الأمان وصولا فوريا إلى جهاز (يشار إليه أيضا باسم الجهاز) باستخدام اتصال shell عن بعد. تمنحك الاستجابة المباشرة القدرة على القيام بعمل تحقيق متعمق واتخاذ إجراءات استجابة فورية لاحتواء التهديدات المحددة على الفور في الوقت الفعلي.

تم تصميم الاستجابة المباشرة لتعزيز التحقيقات من خلال تمكين فريق عمليات الأمان من جمع بيانات الطب الشرعي وتشغيل البرامج النصية وإرسال الكيانات المشبوهة للتحليل ومعالجة التهديدات والبحث الاستباقي عن التهديدات الناشئة.

باستخدام الاستجابة المباشرة، يمكن للمحللين القيام بجميع المهام التالية:

  • قم بتشغيل الأوامر الأساسية والمتقدمة للقيام بعمل تحقيقي على جهاز.
  • قم بتنزيل ملفات مثل عينات البرامج الضارة ونتائج البرامج النصية PowerShell.
  • قم بتنزيل الملفات في الخلفية (جديد!).
  • تحميل برنامج نصي PowerShell أو قابل للتنفيذ إلى المكتبة وتشغيله على جهاز من مستوى المستأجر.
  • اتخاذ إجراءات المعالجة أو التراجع عن ذلك.

المتطلبات الأساسية

يجب أن تعمل الأجهزة بأحد الإصدارات التالية من Windows

أنظمة التشغيل المدعومة

  • Windows 11

  • Windows 10:

  • macOS: الإصدار 101.43.84 أو الإصدار الأحدث. مدعوم على أجهزة macOS المستندة إلى Intel والمستندة إلى ARM.

  • Linux: الإصدار 101.45.13 أو الإصدار الأحدث.

  • Windows Server 2022 أو أحدث.

  • Windows Server 2019:

    • الإصدار 1903 (مع KB4515384) أو أحدث.
    • الإصدار 1809 (مع KB4537818).

  • Windows Server 2016 Windows Server 2012 R2:

    • يتطلب العامل الموحد.
    • نوصي أيضا بالتصحيح لأحدث إصدار من أداة الاستشعار: KB5005292.
    • إذا كنت تستخدم وكيلا ثابتا، فلن تعمل الاستجابة المباشرة كما هو متوقع للخوادم ذات المستوى الأدنى دون اتصال التي تم إلحاقها باستخدام الأسلوب المبسط. ضع في اعتبارك استخدام وكيل نظام بدلا من ذلك.

  • Azure نظام تشغيل Stack HCI: الإصدار 23H2 أو أحدث.

متطلبات أخرى

  • تمكين الاستجابة المباشرة من صفحة الإعدادات المتقدمة: تحتاج إلى تمكين إمكانية الاستجابة المباشرة في صفحة إعدادات الميزات المتقدمة .

    ملاحظة

    يمكن فقط للمسؤولين والمستخدمين الذين لديهم أذونات "إدارة إعدادات المدخل" تمكين الاستجابة المباشرة.

  • تمكين الاستجابة المباشرة للخوادم من صفحة الإعدادات المتقدمة (مستحسن).

    ملاحظة

    يمكن فقط للمسؤولين والمستخدمين الذين لديهم أذونات "إدارة إعدادات المدخل" تمكين الاستجابة المباشرة.

  • تمكين تنفيذ البرنامج النصي غير الموقع للاستجابة المباشرة (اختياري).

    هام

    ينطبق التحقق من التوقيع فقط على البرامج النصية PowerShell.

    تحذير

    قد يؤدي السماح باستخدام البرامج النصية غير الموقعة إلى زيادة تعرضك للتهديدات. إذا كان يجب عليك استخدامها، فستحتاج إلى تمكين الإعداد في صفحة إعدادات الميزات المتقدمة .

  • تأكد من أن لديك الأذونات المناسبة: يمكن فقط للمستخدمين الذين تم تزويدهم بالأذونات المناسبة بدء جلسة عمل. لمزيد من المعلومات حول تعيينات الأدوار، راجع إنشاء الأدوار وإدارتها.

    هام

    يتوفر خيار تحميل ملف إلى المكتبة فقط للمستخدمين الذين لديهم إذن "إدارة إعدادات الأمان". الزر غير نشط للمستخدمين الذين لديهم أذونات مفوضة فقط.

    اعتمادا على الدور الذي تم منحه لك، يمكنك تشغيل أوامر الاستجابة المباشرة الأساسية أو المتقدمة. يتم التحكم في أذونات المستخدمين بواسطة دور مخصص ل RBAC.

نظرة عامة على لوحة معلومات الاستجابة المباشرة

عند بدء جلسة استجابة مباشرة على جهاز، يتم فتح لوحة معلومات. توفر لوحة المعلومات معلومات حول الجلسة. على سبيل المثال:

  • من أنشأ الجلسة
  • عند بدء الجلسة
  • مدة الجلسة

تمنحك لوحة المعلومات أيضا حق الوصول إلى إجراءات الجلسة. على سبيل المثال:

  • قطع اتصال الجلسة
  • تحميل الملفات إلى المكتبة
  • وحدة تحكم الأوامر
  • سجل الأوامر

بدء جلسة استجابة مباشرة على جهاز

ملاحظة

لا تتوفر إجراءات الاستجابة المباشرة التي بدأت من صفحة الجهاز في واجهة برمجة تطبيقات MachineActions.

  1. سجل الدخول إلى مدخل Microsoft Defender.

  2. انتقل إلىمخزون جهازنقاط> النهاية وحدد جهازا للتحقيق فيه. تفتح صفحة الأجهزة.

  3. قم بتشغيل جلسة الاستجابة المباشرة عن طريق تحديد بدء جلسة الاستجابة المباشرة. يتم عرض وحدة تحكم الأوامر. انتظر بينما تتصل جلسة العمل بالجهاز.

  4. استخدم الأوامر المضمنة للقيام بعمل تحقيقي. لمزيد من المعلومات، راجع أوامر الاستجابة المباشرة.

  5. بعد إكمال التحقيق، حدد قطع الاتصال بالجلسة، ثم حدد تأكيد.

أوامر الاستجابة المباشرة

اعتمادا على الدور الذي تم منحه لك، يمكنك تشغيل أوامر الاستجابة المباشرة الأساسية أو المتقدمة. يتم التحكم في أذونات المستخدم بواسطة الأدوار المخصصة ل RBAC. لمزيد من المعلومات حول تعيينات الأدوار، راجع إنشاء الأدوار وإدارتها.

ملاحظة

الاستجابة المباشرة هي shell تفاعلية مستندة إلى السحابة، على هذا النحو، قد تختلف تجربة الأوامر المحددة في وقت الاستجابة اعتمادا على جودة الشبكة وتحميل النظام بين المستخدم النهائي والجهاز الهدف.

الأوامر الأساسية

تتوفر الأوامر التالية لأدوار المستخدم التي يتم منحها القدرة على تشغيل أوامر الاستجابة المباشرة الأساسية . لمزيد من المعلومات حول تعيينات الأدوار، راجع إنشاء الأدوار وإدارتها.

الامر الوصف Windows و Windows Server ماك ينكس
cd تغيير الدليل الحالي. Y Y Y
cls مسح شاشة وحدة التحكم. Y Y Y
connect بدء جلسة استجابة مباشرة للجهاز. Y Y Y
connections إظهار كافة الاتصالات النشطة. Y N N
dir يعرض قائمة بالملفات والدلائل الفرعية في دليل. Y Y Y
drivers يعرض جميع برامج التشغيل المثبتة على الجهاز. Y N N
fg <command ID> ضع الوظيفة المحددة في المقدمة، ما يجعلها الوظيفة الحالية. fg يأخذ متوفرا command ID من الوظائف، وليس PID. Y Y Y
fileinfo الحصول على معلومات حول ملف. Y Y Y
findfile تحديد موقع الملفات حسب اسم معين على الجهاز. Y Y Y
getfile <file_path> تنزيل ملف. Y Y Y
help يوفر معلومات التعليمات لأوامر الاستجابة المباشرة. Y Y Y
jobs يعرض الوظائف قيد التشغيل حاليا ومعرفها وحالتها. Y Y Y
persistence إظهار جميع أساليب الاستمرار المعروفة على الجهاز. Y N N
processes يعرض جميع العمليات التي تعمل على الجهاز. Y Y Y
registry إظهار قيم التسجيل. Y N N
scheduledtasks يعرض جميع المهام المجدولة على الجهاز. Y N N
services يعرض جميع الخدمات على الجهاز. Y N N
startupfolders يعرض جميع الملفات المعروفة في مجلدات بدء التشغيل على الجهاز. Y N N
status يعرض حالة وإخراج أمر معين. Y Y Y
trace تعيين وضع تسجيل المحطة الطرفية لتصحيح الأخطاء. Y Y Y

الأوامر المتقدمة

تتوفر الأوامر التالية لأدوار المستخدم التي يتم منحها القدرة على تشغيل أوامر استجابة مباشرة متقدمة . لمزيد من المعلومات حول تعيينات الأدوار، راجع إنشاء الأدوار وإدارتها.

الامر الوصف Windows و Windows Server ماك ينكس
analyze تحليل الكيان مع محركات التجريم المختلفة للتوصل إلى حكم. Y N N
collect يجمع حزمة الطب الشرعي من الجهاز. N Y Y
isolate قطع اتصال الجهاز بالشبكة مع الاحتفاظ بالاتصال بخدمة Defender لنقطة النهاية. N Y N
release إصدار جهاز من عزل الشبكة. N Y N
run تشغيل برنامج نصي PowerShell من المكتبة على الجهاز. Y Y Y
library يسرد الملفات التي تم تحميلها إلى مكتبة الاستجابة المباشرة. Y Y Y
putfile يضع ملفا من المكتبة إلى الجهاز. يتم حفظ الملفات في مجلد عمل ويتم حذفها عند إعادة تشغيل الجهاز بشكل افتراضي. Y Y Y
remediate معالجة كيان على الجهاز. يختلف إجراء المعالجة، اعتمادا على نوع الكيان:
  • ملف: حذف
  • العملية: إيقاف ملف الصورة وحذفه
  • الخدمة: إيقاف ملف الصورة وحذفه
  • إدخال السجل: حذف
  • المهمة المجدولة: إزالة
  • عنصر مجلد بدء التشغيل: حذف الملف

يحتوي هذا الأمر على أمر المتطلبات الأساسية. يمكنك استخدام -auto الأمر بالاقتران مع المعالجة لتشغيل الأمر المتطلبات الأساسية تلقائيا.		 Y Y Y
scan يقوم بتشغيل فحص سريع للحماية من الفيروسات للمساعدة في تحديد البرامج الضارة ومعالجتها. N Y Y
undo استعادة كيان تمت معالجته. Y N N

ملاحظة

تنطبق حدود حجم الملف التالية لأمر putfile الاستجابة المباشرة:

  • Windows: 300 ميغابايت
  • الأنظمة الأساسية الأخرى: 10 ميغابايت

استخدام أوامر الاستجابة المباشرة

تتبع الأوامر التي يمكنك استخدامها في وحدة التحكم مبادئ مماثلة لأوامر Windows.

توفر الأوامر المتقدمة مجموعة أكثر قوة من الإجراءات التي تسمح لك باتخاذ إجراءات أكثر قوة مثل تنزيل ملف وتحميله، وتشغيل البرامج النصية على الجهاز، واتخاذ إجراءات المعالجة على كيان ما.

الحصول على ملف من الجهاز

بالنسبة للسيناريوهات التي ترغب فيها في الحصول على ملف من جهاز تحقق فيه، يمكنك استخدام getfile الأمر . يسمح لك هذا بحفظ الملف من الجهاز لمزيد من التحقيق.

ملاحظة

تنطبق حدود حجم الملف التالية:

  • getfile الحد: 3 غيغابايت
  • fileinfo الحد: 30 غيغابايت
  • library الحد: 250 ميغابايت

تنزيل ملف في الخلفية

لتمكين فريق عمليات الأمان من متابعة التحقيق في جهاز متأثر، يمكن الآن تنزيل الملفات في الخلفية.

  • لتنزيل ملف في الخلفية، في وحدة تحكم أوامر الاستجابة المباشرة، اكتب download <file_path> &.
  • إذا كنت تنتظر تنزيل ملف، يمكنك نقله إلى الخلفية باستخدام Ctrl + Z.
  • لإحضار تنزيل ملف إلى المقدمة، في وحدة تحكم أوامر الاستجابة المباشرة، اكتب fg <command_id>.

فيما يلي بعض الأمثلة:

الامر ما الذي يفعله
getfile "C:\windows\some_file.exe" & يبدأ تنزيل ملف يسمى some_file.exe في الخلفية.
fg 1234 إرجاع تنزيل بمعرف الأمر 1234 إلى المقدمة.

وضع ملف في المكتبة

تحتوي الاستجابة المباشرة على مكتبة حيث يمكنك وضع الملفات فيها. تخزن المكتبة الملفات (مثل البرامج النصية) التي يمكن تشغيلها في جلسة استجابة مباشرة على مستوى المستأجر.

تسمح الاستجابة المباشرة بتشغيل البرامج النصية PowerShell وBash؛ ومع ذلك، يجب أولا وضع الملفات في المكتبة قبل أن تتمكن من تشغيلها.

يمكنك الحصول على مجموعة من البرامج النصية PowerShell وBash التي يمكن تشغيلها على الأجهزة التي تبدأ جلسات الاستجابة المباشرة معها.

لتحميل ملف في المكتبة

ملاحظة

هناك قيود على الأحرف التي يمكن تحميلها إلى المكتبة. استخدم الأحرف الأبجدية الرقمية وبعض الرموز (على وجه التحديد، -أو _أو )..

  1. حدد Upload file to library.

  2. حدد استعراض وحدد الملف.

  3. قدم وصفا موجزا.

  4. حدد ما إذا كنت تريد الكتابة فوق ملف بنفس الاسم.

  5. إذا كنت ترغب في أن تكون، فتعرف على المعلمات المطلوبة للبرنامج النصي، حدد خانة الاختيار معلمات البرنامج النصي. في حقل النص، أدخل مثالا ووصفا.

  6. حدد Confirm.

  7. (اختياري) للتحقق من تحميل الملف إلى المكتبة، قم بتشغيل library الأمر .

إلغاء أمر

في أي وقت أثناء جلسة العمل، يمكنك إلغاء أمر بالضغط على CTRL + C.

تحذير

لا يؤدي استخدام هذا الاختصار إلى إيقاف الأمر في جانب العامل. يلغي الأمر في مدخل Microsoft Defender فقط. لذلك، قد يستمر تغيير العمليات مثل "المعالجة"، حتى إذا تم إلغاء الأمر.

تشغيل برنامج نصي

قبل أن تتمكن من تشغيل برنامج نصي PowerShell/Bash، يجب أولا تحميله إلى المكتبة.

بعد تحميل البرنامج النصي إلى المكتبة، استخدم run الأمر لتشغيل البرنامج النصي.

إذا كنت تخطط لاستخدام برنامج نصي PowerShell غير موقع في جلسة العمل، فستحتاج إلى تمكين الإعداد في صفحة إعدادات الميزات المتقدمة .

تحذير

قد يؤدي السماح باستخدام البرامج النصية غير الموقعة إلى زيادة تعرضك للتهديدات.

تطبيق معلمات الأمر

  • عرض تعليمات وحدة التحكم للتعرف على معلمات الأمر. للتعرف على أمر فردي، قم بتشغيل:

    help <command name>

  • عند تطبيق المعلمات على الأوامر، لاحظ أنه يتم التعامل مع المعلمات استنادا إلى ترتيب ثابت:

    <command name> param1 param2

  • عند تحديد معلمات خارج الترتيب الثابت، حدد اسم المعلمة بواصلة قبل توفير القيمة:

    <command name> -param2_name param2

  • عند استخدام الأوامر التي تحتوي على أوامر المتطلبات الأساسية، يمكنك استخدام العلامات:

    <command name> -type file -id <file path> - auto

    او

    remediate file <file path> - auto`

أنواع الإخراج المدعومة

تدعم الاستجابة المباشرة أنواع إخراج تنسيق الجدول وJSON. لكل أمر، هناك سلوك إخراج افتراضي. يمكنك تعديل الإخراج بتنسيق الإخراج المفضل لديك باستخدام الأوامر التالية:

  • -output json
  • -output table

ملاحظة

يتم عرض عدد أقل من الحقول بتنسيق الجدول بسبب المساحة المحدودة. للاطلاع على مزيد من التفاصيل في الإخراج، يمكنك استخدام أمر إخراج JSON بحيث يتم عرض المزيد من التفاصيل.

أنابيب الإخراج المدعومة

تدعم الاستجابة المباشرة تدفق الإخراج إلى CLI والملف. CLI هو سلوك الإخراج الافتراضي. يمكنك توجيه الإخراج إلى ملف باستخدام الأمر التالي: [command] > [filename].txt.

على سبيل المثال:

processes > output.txt

عرض سجل الأوامر

حدد علامة التبويب Command log لمشاهدة الأوامر المستخدمة على الجهاز أثناء جلسة العمل. يتم تعقب كل أمر بتفاصيل كاملة مثل:

  • المعرّف
  • سطر الأوامر
  • مده
  • شريط جانبي للحالة والإدخل أو الإخراج

القيود

  • تقتصر جلسات الاستجابة المباشرة على 50 جلسة استجابة مباشرة في كل مرة.
  • قيمة مهلة جلسة الاستجابة المباشرة غير النشطة هي 30 دقيقة.
  • أوامر الاستجابة المباشرة الفردية لها حد زمني يبلغ 10 دقائق، باستثناء getfileو findfileو runالتي لها حد 30 دقيقة.
  • يمكن للمستخدم بدء ما يصل إلى خمس جلسات عمل متزامنة.
  • يمكن أن يكون الجهاز في جلسة واحدة فقط في كل مرة.
  • تنطبق حدود حجم الملف التالية:
    • getfile الحد: 3 غيغابايت
    • fileinfo الحد: 30 غيغابايت
    • library الحد: 250 ميغابايت

مقالة ذات صلة

  • Last updated on