التحقيق في الكيانات على الأجهزة باستخدام الاستجابة المباشرة

ينطبق على:

• Defender for Endpoint الخطة 2
• Microsoft Defender XDR

هل تريد تجربة Defender لنقطة النهاية؟ التسجيل للحصول على إصدار تجريبي مجاني.

تمنح الاستجابة المباشرة فرق عمليات الأمان وصولا فوريا إلى جهاز (يشار إليه أيضا باسم الجهاز) باستخدام اتصال shell عن بعد. تمنحك الاستجابة المباشرة القدرة على القيام بعمل تحقيق متعمق واتخاذ إجراءات استجابة فورية لاحتواء التهديدات المحددة على الفور في الوقت الفعلي.

تم تصميم الاستجابة المباشرة لتعزيز التحقيقات من خلال تمكين فريق عمليات الأمان من جمع بيانات الطب الشرعي وتشغيل البرامج النصية وإرسال الكيانات المشبوهة للتحليل ومعالجة التهديدات والبحث الاستباقي عن التهديدات الناشئة.

باستخدام الاستجابة المباشرة، يمكن للمحللين القيام بجميع المهام التالية:

• قم بتشغيل الأوامر الأساسية والمتقدمة للقيام بعمل تحقيقي على جهاز.
• قم بتنزيل ملفات مثل عينات البرامج الضارة ونتائج البرامج النصية PowerShell.
• قم بتنزيل الملفات في الخلفية (جديد!).
• تحميل برنامج نصي PowerShell أو قابل للتنفيذ إلى المكتبة وتشغيله على جهاز من مستوى المستأجر.
• اتخاذ إجراءات المعالجة أو التراجع عن ذلك.

قبل البدء

قبل أن تتمكن من بدء جلسة عمل على جهاز، تأكد من استيفاء المتطلبات التالية:

• تحقق من تشغيل إصدار مدعوم من Windows.

  يجب أن تعمل الأجهزة بأحد الإصدارات التالية من Windows

  • Windows 10 & 11

    • الإصدار 1909 أو أحدث
    • الإصدار 1903 مع KB4515384
    • الإصدار 1809 (RS 5) مع KB4537818
    • الإصدار 1803 (RS 4) مع KB4537795
    • الإصدار 1709 (RS 3) مع KB4537816

  • macOS - الحد الأدنى المطلوب للإصدار: 101.43.84. مدعوم لأجهزة macOS المستندة إلى Intel والمستندة إلى ARM.

  • Linux - الحد الأدنى المطلوب للإصدار: 101.45.13

  • Windows Server 2012 R2 - مع KB5005292

  • Windows Server 2016 - مع KB5005292

    ملاحظة

    بالنسبة إلى Windows Server 2012R2 أو 2016، يجب أن يكون لديك العامل الموحد مثبتا، ويوصى بالتصحيح إلى أحدث إصدار من أداة الاستشعار باستخدام KB5005292.

  • Windows Server 2019

    • الإصدار 1903 أو (مع KB4515384) لاحقا
    • الإصدار 1809 (مع KB4537818)

  • Windows Server 2022

• تمكين الاستجابة المباشرة من صفحة الإعدادات المتقدمة.

  تحتاج إلى تمكين إمكانية الاستجابة المباشرة في صفحة إعدادات الميزات المتقدمة .

  ملاحظة

  يمكن فقط للمسؤولين والمستخدمين الذين لديهم أذونات "إدارة إعدادات المدخل" تمكين الاستجابة المباشرة.

• تمكين الاستجابة المباشرة للخوادم من صفحة الإعدادات المتقدمة (مستحسن).

  ملاحظة

  يمكن فقط للمسؤولين والمستخدمين الذين لديهم أذونات "إدارة إعدادات المدخل" تمكين الاستجابة المباشرة.

• تمكين تنفيذ البرنامج النصي غير الموقع للاستجابة المباشرة (اختياري).

  هام

  ينطبق التحقق من التوقيع فقط على البرامج النصية PowerShell.

  تحذير

  قد يؤدي السماح باستخدام البرامج النصية غير الموقعة إلى زيادة تعرضك للتهديدات.

  لا يوصى بتشغيل البرامج النصية غير الموقعة لأنه يمكن أن يزيد من تعرضك للتهديدات. ومع ذلك، إذا كان يجب عليك استخدامها، فستحتاج إلى تمكين الإعداد في صفحة إعدادات الميزات المتقدمة .

• تأكد من أن لديك الأذونات المناسبة.

  يمكن فقط للمستخدمين الذين تم تزويدهم بالأذونات المناسبة بدء جلسة عمل. لمزيد من المعلومات حول تعيينات الأدوار، راجع الإنشاء الأدوار وإدارتها.

  هام

  يتوفر خيار تحميل ملف إلى المكتبة فقط للمستخدمين الذين لديهم إذن "إدارة إعدادات الأمان". الزر غير نشط للمستخدمين الذين لديهم أذونات مفوضة فقط.

  اعتمادا على الدور الذي تم منحه لك، يمكنك تشغيل أوامر الاستجابة المباشرة الأساسية أو المتقدمة. يتم التحكم في أذونات المستخدمين بواسطة دور مخصص ل RBAC.

نظرة عامة على لوحة معلومات الاستجابة المباشرة

عند بدء جلسة استجابة مباشرة على جهاز، يتم فتح لوحة معلومات. توفر لوحة المعلومات معلومات حول الجلسة مثل ما يلي:

• من أنشأ الجلسة
• عند بدء الجلسة
• مدة الجلسة

تمنحك لوحة المعلومات أيضا حق الوصول إلى:

• قطع اتصال الجلسة
• تحميل الملفات إلى المكتبة
• وحدة تحكم الأوامر
• سجل الأوامر

بدء جلسة استجابة مباشرة على جهاز

ملاحظة

لا تتوفر إجراءات الاستجابة المباشرة التي بدأت من صفحة Device في واجهة برمجة تطبيقات machineactions.

1. سجل الدخول إلى مدخل Microsoft Defender.

2. انتقل إلى مخزون جهاز نقاط > النهاية وحدد جهازا للتحقيق فيه. تفتح صفحة الأجهزة.

3. قم بتشغيل جلسة الاستجابة المباشرة عن طريق تحديد بدء جلسة الاستجابة المباشرة. يتم عرض وحدة تحكم الأوامر. انتظر بينما تتصل جلسة العمل بالجهاز.

4. استخدم الأوامر المضمنة للقيام بعمل تحقيقي. لمزيد من المعلومات، راجع أوامر الاستجابة المباشرة.

5. بعد إكمال التحقيق، حدد قطع الاتصال بالجلسة، ثم حدد تأكيد.

أوامر الاستجابة المباشرة

اعتمادا على الدور الذي تم منحه لك، يمكنك تشغيل أوامر الاستجابة المباشرة الأساسية أو المتقدمة. يتم التحكم في أذونات المستخدم بواسطة الأدوار المخصصة ل RBAC. لمزيد من المعلومات حول تعيينات الأدوار، راجع الإنشاء الأدوار وإدارتها.

ملاحظة

الاستجابة المباشرة هي shell تفاعلية مستندة إلى السحابة، على هذا النحو، قد تختلف تجربة الأوامر المحددة في وقت الاستجابة اعتمادا على جودة الشبكة وتحميل النظام بين المستخدم النهائي والجهاز الهدف.

الأوامر الأساسية

تتوفر الأوامر التالية لأدوار المستخدم التي يتم منحها القدرة على تشغيل أوامر الاستجابة المباشرة الأساسية . لمزيد من المعلومات حول تعيينات الأدوار، راجع الإنشاء الأدوار وإدارتها.

الامر	الوصف	Windows وWindows Server	ماك	ينكس
cd	تغيير الدليل الحالي.	Y	Y	Y
cls	مسح شاشة وحدة التحكم.	Y	Y	Y
connect	بدء جلسة استجابة مباشرة للجهاز.	Y	Y	Y
connections	إظهار كافة الاتصالات النشطة.	Y	N	N
dir	يعرض قائمة بالملفات والدلائل الفرعية في دليل.	Y	Y	Y
drivers	يعرض جميع برامج التشغيل المثبتة على الجهاز.	Y	N	N
fg <command ID>	ضع الوظيفة المحددة في المقدمة، ما يجعلها الوظيفة الحالية. لاحظ أن fg يأخذ متوفرا command ID من الوظائف، وليس PID.	Y	Y	Y
fileinfo	الحصول على معلومات حول ملف.	Y	Y	Y
findfile	تحديد موقع الملفات حسب اسم معين على الجهاز.	Y	Y	Y
getfile <file_path>	تنزيل ملف.	Y	Y	Y
help	يوفر معلومات التعليمات لأوامر الاستجابة المباشرة.	Y	Y	Y
jobs	يعرض الوظائف قيد التشغيل حاليا ومعرفها وحالتها.	Y	Y	Y
persistence	إظهار جميع أساليب الاستمرار المعروفة على الجهاز.	Y	N	N
processes	يعرض جميع العمليات التي تعمل على الجهاز.	Y	Y	Y
registry	إظهار قيم التسجيل.	Y	N	N
scheduledtasks	يعرض جميع المهام المجدولة على الجهاز.	Y	N	N
services	يعرض جميع الخدمات على الجهاز.	Y	N	N
startupfolders	يعرض جميع الملفات المعروفة في مجلدات بدء التشغيل على الجهاز.	Y	N	N
status	يعرض حالة وإخراج أمر معين.	Y	Y	Y
trace	تعيين وضع تسجيل المحطة الطرفية لتصحيح الأخطاء.	Y	Y	Y

الأوامر المتقدمة

تتوفر الأوامر التالية لأدوار المستخدم التي يتم منحها القدرة على تشغيل أوامر استجابة مباشرة متقدمة . لمزيد من المعلومات حول تعيينات الأدوار، راجع الإنشاء الأدوار وإدارتها.

الامر	الوصف	Windows وWindows Server	ماك	ينكس
analyze	تحليل الكيان مع محركات التجريم المختلفة للتوصل إلى حكم.	Y	N	N
collect	يجمع حزمة الطب الشرعي من الجهاز.	N	Y	Y
isolate	قطع اتصال الجهاز بالشبكة مع الاحتفاظ بالاتصال بخدمة Defender لنقطة النهاية.	N	Y	N
release	إصدار جهاز من عزل الشبكة.	N	Y	N
run	تشغيل برنامج نصي PowerShell من المكتبة على الجهاز.	Y	Y	Y
library	القوائم الملفات التي تم تحميلها إلى مكتبة الاستجابة المباشرة.	Y	Y	Y
putfile	يضع ملفا من المكتبة إلى الجهاز. يتم حفظ الملفات في مجلد عمل ويتم حذفها عند إعادة تشغيل الجهاز بشكل افتراضي.	Y	Y	Y
remediate	معالجة كيان على الجهاز. يختلف إجراء المعالجة، اعتمادا على نوع الكيان: - ملف: حذف - العملية: إيقاف ملف الصورة وحذفه - الخدمة: إيقاف ملف الصورة وحذفه - إدخال السجل: حذف - مهمة مجدولة: إزالة - عنصر مجلد بدء التشغيل: حذف الملف يحتوي هذا الأمر على أمر المتطلبات الأساسية. يمكنك استخدام -auto الأمر بالاقتران مع المعالجة لتشغيل الأمر المتطلبات الأساسية تلقائيا.	Y	Y	Y
scan	يقوم بتشغيل فحص سريع للحماية من الفيروسات للمساعدة في تحديد البرامج الضارة ومعالجتها.	N	Y	Y
undo	استعادة كيان تمت معالجته.	Y	N	N

ملاحظة

تنطبق حدود حجم الملف التالية لأمر putfile الاستجابة المباشرة:

• Windows: 300 ميغابايت
• الأنظمة الأساسية الأخرى: 10 ميغابايت

استخدام أوامر الاستجابة المباشرة

تتبع الأوامر التي يمكنك استخدامها في وحدة التحكم مبادئ مماثلة لأوامر Windows.

توفر الأوامر المتقدمة مجموعة أكثر قوة من الإجراءات التي تسمح لك باتخاذ إجراءات أكثر قوة مثل تنزيل ملف وتحميله، وتشغيل البرامج النصية على الجهاز، واتخاذ إجراءات المعالجة على كيان ما.

الحصول على ملف من الجهاز

بالنسبة للسيناريوهات التي ترغب فيها في الحصول على ملف من جهاز تحقق فيه، يمكنك استخدام getfile الأمر . يسمح لك هذا بحفظ الملف من الجهاز لمزيد من التحقيق.

ملاحظة

تنطبق حدود حجم الملف التالية:

• getfile الحد: 3 غيغابايت
• fileinfo الحد: 30 غيغابايت
• library الحد: 250 ميغابايت

تنزيل ملف في الخلفية

لتمكين فريق عمليات الأمان من متابعة التحقيق في جهاز متأثر، يمكن الآن تنزيل الملفات في الخلفية.

• لتنزيل ملف في الخلفية، في وحدة تحكم أوامر الاستجابة المباشرة، اكتب download <file_path> &.
• إذا كنت تنتظر تنزيل ملف، يمكنك نقله إلى الخلفية باستخدام Ctrl + Z.
• لإحضار تنزيل ملف إلى المقدمة، في وحدة تحكم أوامر الاستجابة المباشرة، اكتب fg <command_id>.

فيما يلي بعض الأمثلة:

الامر	ما الذي يفعله
getfile "C:\windows\some_file.exe" &	يبدأ تنزيل ملف يسمى some_file.exe في الخلفية.
fg 1234	إرجاع تنزيل بمعرف الأمر 1234 إلى المقدمة.

وضع ملف في المكتبة

تحتوي الاستجابة المباشرة على مكتبة حيث يمكنك وضع الملفات فيها. تخزن المكتبة الملفات (مثل البرامج النصية) التي يمكن تشغيلها في جلسة استجابة مباشرة على مستوى المستأجر.

تسمح الاستجابة المباشرة بتشغيل البرامج النصية PowerShell، ولكن يجب أولا وضع الملفات في المكتبة قبل أن تتمكن من تشغيلها.

يمكنك الحصول على مجموعة من البرامج النصية PowerShell التي يمكن تشغيلها على الأجهزة التي تبدأ جلسات الاستجابة المباشرة معها.

لتحميل ملف في المكتبة

1. انقر فوق تحميل الملف إلى المكتبة.

2. انقر فوق استعراض وحدد الملف.

3. قدم وصفا موجزا.

4. حدد ما إذا كنت تريد الكتابة فوق ملف بنفس الاسم.

5. إذا كنت ترغب في أن تكون، فتعرف على المعلمات المطلوبة للبرنامج النصي، حدد خانة الاختيار معلمات البرنامج النصي. في حقل النص، أدخل مثالا ووصفا.

6. انقر فوق تأكيد.

7. (اختياري) للتحقق من تحميل الملف إلى المكتبة، قم بتشغيل library الأمر .

إلغاء أمر

في أي وقت أثناء جلسة العمل، يمكنك إلغاء أمر بالضغط على CTRL + C.

تحذير

لن يؤدي استخدام هذا الاختصار إلى إيقاف الأمر في جانب العامل. سيؤدي ذلك إلى إلغاء الأمر في المدخل فقط. لذلك، قد يستمر تغيير العمليات مثل "المعالجة"، أثناء إلغاء الأمر.

تشغيل برنامج نصي

قبل أن تتمكن من تشغيل برنامج نصي PowerShell/Bash، يجب أولا تحميله إلى المكتبة.

بعد تحميل البرنامج النصي إلى المكتبة، استخدم run الأمر لتشغيل البرنامج النصي.

إذا كنت تخطط لاستخدام برنامج نصي PowerShell غير موقع في جلسة العمل، فستحتاج إلى تمكين الإعداد في صفحة إعدادات الميزات المتقدمة .

تحذير

قد يؤدي السماح باستخدام البرامج النصية غير الموقعة إلى زيادة تعرضك للتهديدات.

تطبيق معلمات الأمر

• عرض تعليمات وحدة التحكم للتعرف على معلمات الأمر. للتعرف على أمر فردي، قم بتشغيل:

  help <command name>
  

• عند تطبيق المعلمات على الأوامر، لاحظ أنه يتم التعامل مع المعلمات استنادا إلى ترتيب ثابت:

  <command name> param1 param2
  

• عند تحديد معلمات خارج الترتيب الثابت، حدد اسم المعلمة بواصلة قبل توفير القيمة:

  <command name> -param2_name param2
  

• عند استخدام الأوامر التي تحتوي على أوامر المتطلبات الأساسية، يمكنك استخدام العلامات:

  <command name> -type file -id <file path> - auto
  

  او

  remediate file <file path> - auto`
  

أنواع الإخراج المدعومة

تدعم الاستجابة المباشرة أنواع إخراج تنسيق الجدول وJSON. لكل أمر، هناك سلوك إخراج افتراضي. يمكنك تعديل الإخراج بتنسيق الإخراج المفضل لديك باستخدام الأوامر التالية:

• -output json
• -output table

ملاحظة

يتم عرض عدد أقل من الحقول بتنسيق الجدول بسبب المساحة المحدودة. للاطلاع على مزيد من التفاصيل في الإخراج، يمكنك استخدام أمر إخراج JSON بحيث يتم عرض المزيد من التفاصيل.

أنابيب الإخراج المدعومة

تدعم الاستجابة المباشرة تدفق الإخراج إلى CLI والملف. CLI هو سلوك الإخراج الافتراضي. يمكنك توجيه الإخراج إلى ملف باستخدام الأمر التالي: [command] > [filename].txt.

على سبيل المثال:

processes > output.txt

عرض سجل الأوامر

حدد علامة التبويب Command log لمشاهدة الأوامر المستخدمة على الجهاز أثناء جلسة العمل. يتم تعقب كل أمر بتفاصيل كاملة مثل:

• المعرّف
• سطر الأوامر
• مده
• شريط جانبي للحالة والإدخل أو الإخراج

القيود

• تقتصر جلسات الاستجابة المباشرة على 25 جلسة استجابة مباشرة في كل مرة.
• قيمة مهلة جلسة الاستجابة المباشرة غير النشطة هي 30 دقيقة.
• أوامر الاستجابة المباشرة الفردية لها حد زمني يبلغ 10 دقائق، باستثناء getfileو findfileو runالتي لها حد 30 دقيقة.
• يمكن للمستخدم بدء ما يصل إلى 10 جلسات عمل متزامنة.
• يمكن أن يكون الجهاز في جلسة واحدة فقط في كل مرة.
• تنطبق حدود حجم الملف التالية:
  • getfile الحد: 3 غيغابايت
  • fileinfo الحد: 30 غيغابايت
  • library الحد: 250 ميغابايت

مقالة ذات صلة

• أمثلة أوامر الاستجابة المباشرة

تلميح

هل تريد معرفة المزيد؟ Engage مع مجتمع أمان Microsoft في مجتمعنا التقني: Microsoft Defender لنقطة النهاية Tech Community.