Zkoumání entit na zařízeních pomocí živé odezvy
Platí pro:
Chcete používat Defender pro Endpoint? Zaregistrujte se a získejte bezplatnou zkušební verzi,
Živá reakce poskytuje týmům operací zabezpečení okamžitý přístup k zařízení (označovaným také jako počítač) pomocí vzdáleného připojení prostředí. Živá odpověď vám dává možnost provádět hloubkovou šetření a okamžitě reagovat na akce, které okamžitě obsahují identifikované hrozby v reálném čase.
Živá odpověď je navržená tak, aby zlepšila šetření tím, že umožňuje týmu pro operace zabezpečení shromažďovat forenzní data, spouštět skripty, odesílat podezřelé entity k analýze, opravovat hrozby a proaktivně vyhledávat nově vznikající hrozby.
Díky živé odezvě můžou analytici provádět všechny následující úlohy:
- Spuštěním základních a pokročilých příkazů můžete provádět šetření na zařízení.
- Stáhněte si soubory, jako jsou ukázky malwaru a výsledky skriptů PowerShellu.
- Stáhněte si soubory na pozadí (nové!).
- Nahrajte do knihovny skript PowerShellu nebo spustitelný soubor a spusťte ho na zařízení z úrovně tenanta.
- Proveďte nebo vraťte nápravné akce.
Než budete moct zahájit relaci na zařízení, ujistěte se, že splňujete následující požadavky:
Ověřte, že používáte podporovanou verzi Windows.
Na zařízeních musí běžet jedna z následujících verzí Windows.
Windows 10 & 11
- Verze 1909 nebo novější
- Verze 1903 s KB4515384
- Verze 1809 (RS 5) s KB4537818
- Verze 1803 (RS 4) s KB4537795
- Verze 1709 (RS 3) s KB4537816
macOS – minimální požadovaná verze: 101.43.84. Podporováno pro zařízení s macOS založených na procesorech Intel a ARM.
Linux – minimální požadovaná verze: 101.45.13
Windows Server 2012 R2 – s KB5005292
Windows Server 2016 – s KB5005292
Poznámka
Pro Windows Server 2012R2 nebo 2016 musíte mít nainstalovaného sjednoceného agenta a doporučujeme provést opravu na nejnovější verzi senzoru pomocí KB5005292.
Windows Server 2019
Windows Server 2022
Povolte živou odpověď ze stránky upřesňujícího nastavení.
Na stránce Nastavení rozšířených funkcí je potřeba povolit funkci živé odezvy.
Poznámka
Živé odpovědi můžou povolit jenom správci a uživatelé, kteří mají oprávnění Spravovat nastavení portálu.
Povolte živou odpověď pro servery na stránce upřesňujícího nastavení (doporučeno).
Poznámka
Živé odpovědi můžou povolit jenom správci a uživatelé, kteří mají oprávnění Spravovat nastavení portálu.
Povolte spuštění nepodepsaného skriptu živé odpovědi (volitelné).
Důležité
Ověření podpisu se vztahuje jenom na skripty PowerShellu.
Upozornění
Povolení použití nepodepsaných skriptů může zvýšit vaši expozici hrozbám.
Spouštění nepodepsaných skriptů se nedoporučuje, protože to může zvýšit vaši expozici hrozbám. Pokud je ale musíte použít, musíte toto nastavení povolit na stránce Nastavení rozšířených funkcí .
Ujistěte se, že máte příslušná oprávnění.
Relaci můžou zahájit jenom uživatelé, kteří mají příslušná oprávnění. Další informace o přiřazení rolí najdete v tématu Create a správa rolí.
Důležité
Možnost nahrát soubor do knihovny je dostupná jenom uživatelům s oprávněním Spravovat nastavení zabezpečení. Pro uživatele, kteří mají jenom delegovaná oprávnění, je tlačítko neaktivní.
V závislosti na roli, která vám byla udělena, můžete spouštět základní nebo pokročilé příkazy živé odpovědi. Oprávnění uživatelů se řídí vlastní rolí RBAC.
Když na zařízení zahájíte živou relaci odpovědí, otevře se řídicí panel. Řídicí panel poskytuje informace o relaci, například následující:
- Kdo relaci vytvořil
- Kdy se relace spustila
- Doba trvání relace
Řídicí panel také poskytuje přístup k:
- Odpojit relaci
- Nahrání souborů do knihovny
- Konzola příkazů
- Protokol příkazů
Poznámka
Akce živé odpovědi zahájené ze stránky Zařízení nejsou v rozhraní API machineactions k dispozici.
Přihlaste se k portálu Microsoft Defender.
Přejděte na Koncové body > Inventář zařízení a vyberte zařízení, které chcete prozkoumat. Otevře se stránka zařízení.
Spusťte živou relaci odpovědí tak, že vyberete Možnost Zahájit relaci živé odpovědi. Zobrazí se konzola příkazového řádku. Počkejte, než se relace připojí k zařízení.
Pomocí předdefinovaných příkazů můžete provádět šetření. Další informace najdete v tématu Živé příkazy odpovědi.
Po dokončení šetření vyberte Odpojit relaci a pak vyberte Potvrdit.
V závislosti na roli, která vám byla udělena, můžete spouštět základní nebo pokročilé příkazy živé odpovědi. Uživatelská oprávnění se řídí vlastními rolemi RBAC. Další informace o přiřazení rolí najdete v tématu Create a správa rolí.
Poznámka
Živá odpověď je cloudové interaktivní prostředí. Konkrétní prostředí příkazů se proto může lišit v době odezvy v závislosti na kvalitě sítě a zatížení systému mezi koncovým uživatelem a cílovým zařízením.
Následující příkazy jsou k dispozici pro role uživatelů, kterým je udělena možnost spouštět základní příkazy živé odpovědi. Další informace o přiřazení rolí najdete v tématu Create a správa rolí.
Příkaz | Popis | Windows a Windows Server | macOS | Linux |
---|---|---|---|---|
cd |
Změní aktuální adresář. | A | A | A |
cls |
Vymaže obrazovku konzoly. | A | A | A |
connect |
Inicializuje živou relaci odpovědi na zařízení. | A | A | A |
connections |
Zobrazí všechna aktivní připojení. | A | N | N |
dir |
Zobrazuje seznam souborů a podadresářů v adresáři. | A | A | A |
drivers |
Zobrazuje všechny ovladače nainstalované na zařízení. | A | N | N |
fg <command ID> |
Umístěte zadanou úlohu do popředí, aby se z ní udělala aktuální úloha. Všimněte si, že fg k dispozici je command ID z úloh, nikoli PID. |
A | A | A |
fileinfo |
Získejte informace o souboru. | A | A | A |
findfile |
Vyhledá v zařízení soubory podle zadaného názvu. | A | A | A |
getfile <file_path> |
Stáhne soubor. | A | A | A |
help |
Poskytuje informace o nápovědě pro živé příkazy odpovědi. | A | A | A |
jobs |
Zobrazuje aktuálně spuštěné úlohy, jejich ID a stav. | A | A | A |
persistence |
Zobrazí všechny známé metody trvalosti na zařízení. | A | N | N |
processes |
Zobrazuje všechny procesy spuštěné na zařízení. | A | A | A |
registry |
Zobrazuje hodnoty registru. | A | N | N |
scheduledtasks |
Zobrazí všechny naplánované úlohy na zařízení. | A | N | N |
services |
Zobrazí všechny služby na zařízení. | A | N | N |
startupfolders |
Zobrazí všechny známé soubory ve složkách při spuštění na zařízení. | A | N | N |
status |
Zobrazuje stav a výstup konkrétního příkazu. | A | A | A |
trace |
Nastaví režim protokolování terminálu pro ladění. | A | A | A |
Následující příkazy jsou k dispozici pro role uživatelů, kterým je udělena možnost spouštět pokročilé příkazy živé odpovědi. Další informace o přiřazení rolí najdete v tématu Create a správa rolí.
Příkaz | Popis | Windows a Windows Server | macOS | Linux |
---|---|---|---|---|
analyze |
Analyzuje entitu pomocí různých inkriminačních modulů, aby bylo možné dosáhnout verdiktu. | A | N | N |
collect |
Shromažďuje forenzní balíčky ze zařízení. | N | A | A |
isolate |
Odpojí zařízení od sítě a zachová připojení ke službě Defender for Endpoint. | N | A | N |
release |
Uvolní zařízení z izolace sítě. | N | A | N |
run |
Spustí skript PowerShellu z knihovny na zařízení. | A | A | A |
library |
Seznamy soubory, které se nahrály do živé knihovny odpovědí. | A | A | A |
putfile |
Vloží soubor z knihovny do zařízení. Soubory se ukládají do pracovní složky a ve výchozím nastavení se při restartování zařízení odstraní. | A | A | A |
remediate |
Opraví entitu v zařízení. Nápravná akce se liší v závislosti na typu entity: - Soubor: odstranit - Proces: zastavit, odstranit soubor obrázku - Služba: zastavit, odstranit soubor obrázku - Položka registru: delete - Naplánovaný úkol: odebrat - Položka spouštěcí složky: odstranit soubor Tento příkaz má požadovaný příkaz. Pomocí příkazu remediate můžete -auto automaticky spustit požadovaný příkaz. |
A | A | A |
scan |
Spustí rychlou antivirovou kontrolu, která vám pomůže identifikovat a napravit malware. | N | A | A |
undo |
Obnoví entitu, která byla napravena. | A | N | N |
Poznámka
Pro příkaz živé odpovědi platí putfile
následující omezení velikosti souboru:
- Windows: 300 MB
- Ostatní platformy: 10 MB
Příkazy, které můžete použít v konzole, se řídí podobnými principy jako příkazy systému Windows.
Pokročilé příkazy nabízejí robustnější sadu akcí, které umožňují provádět výkonnější akce, jako je stažení a nahrání souboru, spouštění skriptů na zařízení a provádění nápravných akcí u entity.
Ve scénářích, kdy chcete získat soubor ze zařízení, které zkoumáte, můžete použít getfile
příkaz . To vám umožní uložit soubor ze zařízení pro účely dalšího šetření.
Poznámka
Platí následující omezení velikosti souboru:
getfile
limit: 3 GBfileinfo
limit: 30 GBlibrary
limit: 250 MB
Aby váš tým pro operace zabezpečení mohl pokračovat ve vyšetřování ovlivněného zařízení, můžou se teď soubory stahovat na pozadí.
- Pokud chcete stáhnout soubor na pozadí, zadejte v konzole příkazového řádku živé odpovědi příkaz
download <file_path> &
. - Pokud čekáte na stažení souboru, můžete ho přesunout na pozadí pomocí ctrl + Z.
- Chcete-li přenést soubor stažený do popředí, zadejte v příkazové konzole živé odpovědi příkaz
fg <command_id>
.
Tady je pár příkladů:
Příkaz | Co to dělá |
---|---|
getfile "C:\windows\some_file.exe" & |
Spustí stahování souboru s názvem some_file.exe na pozadí. |
fg 1234 |
Vrátí soubor ke stažení s ID příkazu 1234 do popředí. |
Živá odpověď má knihovnu, do které můžete vkládat soubory. Knihovna ukládá soubory (například skripty), které je možné spustit v živé relaci odpovědí na úrovni tenanta.
Živá odpověď umožňuje spuštění skriptů PowerShellu, ale než je budete moct spustit, musíte soubory nejdřív vložit do knihovny.
Můžete mít kolekci skriptů PowerShellu, které se dají spustit na zařízeních, se kterými zahájíte živé relace odpovědí.
Klikněte na Nahrát soubor do knihovny.
Klikněte na Procházet a vyberte soubor.
Zadejte stručný popis.
Zadejte, jestli chcete přepsat soubor se stejným názvem.
Pokud chcete vědět, jaké parametry skript potřebuje, zaškrtněte políčko Parametry skriptu. Do textového pole zadejte příklad a popis.
Klikněte na Potvrdit.
(Volitelné) Spuštěním příkazu ověřte,
library
že se soubor nahrál do knihovny.
Kdykoli během relace můžete příkaz zrušit stisknutím kombinace kláves CTRL + C.
Upozornění
Použití této zkratky nezastaví příkaz na straně agenta. Zruší se jenom příkaz na portálu. Takže změny operací, jako je například "náprava", mohou pokračovat, zatímco je příkaz zrušen.
Než budete moct spustit skript PowerShellu nebo Bash, musíte ho nejdřív nahrát do knihovny.
Po nahrání skriptu do knihovny spusťte skript příkazem run
.
Pokud plánujete v relaci použít nepodepsaný skript PowerShellu, budete muset povolit nastavení na stránce Nastavení rozšířených funkcí .
Upozornění
Povolení použití nepodepsaných skriptů může zvýšit vaši expozici hrozbám.
Informace o parametrech příkazů najdete v nápovědě ke konzole. Pokud chcete získat další informace o jednotlivých příkazech, spusťte:
help <command name>
Při použití parametrů na příkazy mějte na paměti, že parametry se zpracovávají na základě pevného pořadí:
<command name> param1 param2
Při zadávání parametrů mimo pevné pořadí zadejte název parametru se spojovníkem před zadáním hodnoty:
<command name> -param2_name param2
Pokud používáte příkazy s požadovanými příkazy, můžete použít příznaky:
<command name> -type file -id <file path> - auto
nebo
remediate file <file path> - auto`
Živá odpověď podporuje výstupní typy formátu tabulky a formátu JSON. Pro každý příkaz je k dispozici výchozí chování výstupu. Výstup můžete upravit v upřednostňovaném výstupním formátu pomocí následujících příkazů:
-output json
-output table
Poznámka
Kvůli omezenému prostoru se ve formátu tabulky zobrazuje méně polí. Pokud chcete ve výstupu zobrazit další podrobnosti, můžete použít výstupní příkaz JSON, aby se zobrazily další podrobnosti.
Živá odpověď podporuje propojení výstupu do rozhraní příkazového řádku a souboru. Rozhraní příkazového řádku je výchozí chování výstupu. Výstup můžete přesměrovat do souboru pomocí následujícího příkazu: [command] > [název_souboru].txt.
Příklad:
processes > output.txt
Vyberte kartu Protokol příkazů a zobrazte příkazy použité v zařízení během relace. Každý příkaz se sleduje s úplnými podrobnostmi, například:
- ID
- Příkazový řádek
- Doba trvání
- Stavový a vstupní nebo výstupní boční panel
- Živé relace odpovědí jsou omezené na 25 živých relací odpovědí najednou.
- Hodnota časového limitu neaktivní relace živé odpovědi je 30 minut.
- Jednotlivé příkazy živé odpovědi mají časový limit 10 minut, s výjimkou
getfile
,findfile
arun
, které mají limit 30 minut. - Uživatel může zahájit až 10 souběžných relací.
- Zařízení může být současně pouze v jedné relaci.
- Platí následující omezení velikosti souboru:
getfile
limit: 3 GBfileinfo
limit: 30 GBlibrary
limit: 250 MB
Tip
Chcete se dozvědět více? Engage s komunitou Microsoft Security v naší technické komunitě: Microsoft Defender for Endpoint Tech Community.