Zkoumání entit na zařízeních pomocí živé odezvy

Platí pro:

Chcete používat Defender pro Endpoint? Zaregistrujte se a získejte bezplatnou zkušební verzi,

Živá reakce poskytuje týmům operací zabezpečení okamžitý přístup k zařízení (označovaným také jako počítač) pomocí vzdáleného připojení prostředí. Živá odpověď vám dává možnost provádět hloubkovou šetření a okamžitě reagovat na akce, které okamžitě obsahují identifikované hrozby v reálném čase.

Živá odpověď je navržená tak, aby zlepšila šetření tím, že umožňuje týmu pro operace zabezpečení shromažďovat forenzní data, spouštět skripty, odesílat podezřelé entity k analýze, opravovat hrozby a proaktivně vyhledávat nově vznikající hrozby.

Díky živé odezvě můžou analytici provádět všechny následující úlohy:

  • Spuštěním základních a pokročilých příkazů můžete provádět šetření na zařízení.
  • Stáhněte si soubory, jako jsou ukázky malwaru a výsledky skriptů PowerShellu.
  • Stáhněte si soubory na pozadí (nové!).
  • Nahrajte do knihovny skript PowerShellu nebo spustitelný soubor a spusťte ho na zařízení z úrovně tenanta.
  • Proveďte nebo vraťte nápravné akce.

Než začnete

Než budete moct zahájit relaci na zařízení, ujistěte se, že splňujete následující požadavky:

  • Ověřte, že používáte podporovanou verzi Windows.

    Na zařízeních musí běžet jedna z následujících verzí Windows.

  • Povolte živou odpověď ze stránky upřesňujícího nastavení.

    Na stránce Nastavení rozšířených funkcí je potřeba povolit funkci živé odezvy.

    Poznámka

    Živé odpovědi můžou povolit jenom správci a uživatelé, kteří mají oprávnění Spravovat nastavení portálu.

  • Povolte živou odpověď pro servery na stránce upřesňujícího nastavení (doporučeno).

    Poznámka

    Živé odpovědi můžou povolit jenom správci a uživatelé, kteří mají oprávnění Spravovat nastavení portálu.

  • Povolte spuštění nepodepsaného skriptu živé odpovědi (volitelné).

    Důležité

    Ověření podpisu se vztahuje jenom na skripty PowerShellu.

    Upozornění

    Povolení použití nepodepsaných skriptů může zvýšit vaši expozici hrozbám.

    Spouštění nepodepsaných skriptů se nedoporučuje, protože to může zvýšit vaši expozici hrozbám. Pokud je ale musíte použít, musíte toto nastavení povolit na stránce Nastavení rozšířených funkcí .

  • Ujistěte se, že máte příslušná oprávnění.

    Relaci můžou zahájit jenom uživatelé, kteří mají příslušná oprávnění. Další informace o přiřazení rolí najdete v tématu Create a správa rolí.

    Důležité

    Možnost nahrát soubor do knihovny je dostupná jenom uživatelům s oprávněním Spravovat nastavení zabezpečení. Pro uživatele, kteří mají jenom delegovaná oprávnění, je tlačítko neaktivní.

    V závislosti na roli, která vám byla udělena, můžete spouštět základní nebo pokročilé příkazy živé odpovědi. Oprávnění uživatelů se řídí vlastní rolí RBAC.

Přehled řídicího panelu živých odpovědí

Když na zařízení zahájíte živou relaci odpovědí, otevře se řídicí panel. Řídicí panel poskytuje informace o relaci, například následující:

  • Kdo relaci vytvořil
  • Kdy se relace spustila
  • Doba trvání relace

Řídicí panel také poskytuje přístup k:

  • Odpojit relaci
  • Nahrání souborů do knihovny
  • Konzola příkazů
  • Protokol příkazů

Zahájení živé relace odpovědi na zařízení

Poznámka

Akce živé odpovědi zahájené ze stránky Zařízení nejsou v rozhraní API machineactions k dispozici.

  1. Přihlaste se k portálu Microsoft Defender.

  2. Přejděte na Koncové body > Inventář zařízení a vyberte zařízení, které chcete prozkoumat. Otevře se stránka zařízení.

  3. Spusťte živou relaci odpovědí tak, že vyberete Možnost Zahájit relaci živé odpovědi. Zobrazí se konzola příkazového řádku. Počkejte, než se relace připojí k zařízení.

  4. Pomocí předdefinovaných příkazů můžete provádět šetření. Další informace najdete v tématu Živé příkazy odpovědi.

  5. Po dokončení šetření vyberte Odpojit relaci a pak vyberte Potvrdit.

Příkazy živé odpovědi

V závislosti na roli, která vám byla udělena, můžete spouštět základní nebo pokročilé příkazy živé odpovědi. Uživatelská oprávnění se řídí vlastními rolemi RBAC. Další informace o přiřazení rolí najdete v tématu Create a správa rolí.

Poznámka

Živá odpověď je cloudové interaktivní prostředí. Konkrétní prostředí příkazů se proto může lišit v době odezvy v závislosti na kvalitě sítě a zatížení systému mezi koncovým uživatelem a cílovým zařízením.

Základní příkazy

Následující příkazy jsou k dispozici pro role uživatelů, kterým je udělena možnost spouštět základní příkazy živé odpovědi. Další informace o přiřazení rolí najdete v tématu Create a správa rolí.

Příkaz Popis Windows a Windows Server macOS Linux
cd Změní aktuální adresář. A A A
cls Vymaže obrazovku konzoly. A A A
connect Inicializuje živou relaci odpovědi na zařízení. A A A
connections Zobrazí všechna aktivní připojení. A N N
dir Zobrazuje seznam souborů a podadresářů v adresáři. A A A
drivers Zobrazuje všechny ovladače nainstalované na zařízení. A N N
fg <command ID> Umístěte zadanou úlohu do popředí, aby se z ní udělala aktuální úloha. Všimněte si, že fg k dispozici je command ID z úloh, nikoli PID. A A A
fileinfo Získejte informace o souboru. A A A
findfile Vyhledá v zařízení soubory podle zadaného názvu. A A A
getfile <file_path> Stáhne soubor. A A A
help Poskytuje informace o nápovědě pro živé příkazy odpovědi. A A A
jobs Zobrazuje aktuálně spuštěné úlohy, jejich ID a stav. A A A
persistence Zobrazí všechny známé metody trvalosti na zařízení. A N N
processes Zobrazuje všechny procesy spuštěné na zařízení. A A A
registry Zobrazuje hodnoty registru. A N N
scheduledtasks Zobrazí všechny naplánované úlohy na zařízení. A N N
services Zobrazí všechny služby na zařízení. A N N
startupfolders Zobrazí všechny známé soubory ve složkách při spuštění na zařízení. A N N
status Zobrazuje stav a výstup konkrétního příkazu. A A A
trace Nastaví režim protokolování terminálu pro ladění. A A A

Rozšířené příkazy

Následující příkazy jsou k dispozici pro role uživatelů, kterým je udělena možnost spouštět pokročilé příkazy živé odpovědi. Další informace o přiřazení rolí najdete v tématu Create a správa rolí.

Příkaz Popis Windows a Windows Server macOS Linux
analyze Analyzuje entitu pomocí různých inkriminačních modulů, aby bylo možné dosáhnout verdiktu. A N N
collect Shromažďuje forenzní balíčky ze zařízení. N A A
isolate Odpojí zařízení od sítě a zachová připojení ke službě Defender for Endpoint. N A N
release Uvolní zařízení z izolace sítě. N A N
run Spustí skript PowerShellu z knihovny na zařízení. A A A
library Seznamy soubory, které se nahrály do živé knihovny odpovědí. A A A
putfile Vloží soubor z knihovny do zařízení. Soubory se ukládají do pracovní složky a ve výchozím nastavení se při restartování zařízení odstraní. A A A
remediate Opraví entitu v zařízení. Nápravná akce se liší v závislosti na typu entity:
- Soubor: odstranit
- Proces: zastavit, odstranit soubor obrázku
- Služba: zastavit, odstranit soubor obrázku
- Položka registru: delete
- Naplánovaný úkol: odebrat
- Položka spouštěcí složky: odstranit soubor

Tento příkaz má požadovaný příkaz. Pomocí příkazu remediate můžete -auto automaticky spustit požadovaný příkaz.
A A A
scan Spustí rychlou antivirovou kontrolu, která vám pomůže identifikovat a napravit malware. N A A
undo Obnoví entitu, která byla napravena. A N N

Poznámka

Pro příkaz živé odpovědi platí putfile následující omezení velikosti souboru:

  • Windows: 300 MB
  • Ostatní platformy: 10 MB

Použití příkazů živé odpovědi

Příkazy, které můžete použít v konzole, se řídí podobnými principy jako příkazy systému Windows.

Pokročilé příkazy nabízejí robustnější sadu akcí, které umožňují provádět výkonnější akce, jako je stažení a nahrání souboru, spouštění skriptů na zařízení a provádění nápravných akcí u entity.

Získání souboru ze zařízení

Ve scénářích, kdy chcete získat soubor ze zařízení, které zkoumáte, můžete použít getfile příkaz . To vám umožní uložit soubor ze zařízení pro účely dalšího šetření.

Poznámka

Platí následující omezení velikosti souboru:

  • getfile limit: 3 GB
  • fileinfo limit: 30 GB
  • library limit: 250 MB

Stažení souboru na pozadí

Aby váš tým pro operace zabezpečení mohl pokračovat ve vyšetřování ovlivněného zařízení, můžou se teď soubory stahovat na pozadí.

  • Pokud chcete stáhnout soubor na pozadí, zadejte v konzole příkazového řádku živé odpovědi příkaz download <file_path> &.
  • Pokud čekáte na stažení souboru, můžete ho přesunout na pozadí pomocí ctrl + Z.
  • Chcete-li přenést soubor stažený do popředí, zadejte v příkazové konzole živé odpovědi příkaz fg <command_id>.

Tady je pár příkladů:

Příkaz Co to dělá
getfile "C:\windows\some_file.exe" & Spustí stahování souboru s názvem some_file.exe na pozadí.
fg 1234 Vrátí soubor ke stažení s ID příkazu 1234 do popředí.

Vložení souboru do knihovny

Živá odpověď má knihovnu, do které můžete vkládat soubory. Knihovna ukládá soubory (například skripty), které je možné spustit v živé relaci odpovědí na úrovni tenanta.

Živá odpověď umožňuje spuštění skriptů PowerShellu, ale než je budete moct spustit, musíte soubory nejdřív vložit do knihovny.

Můžete mít kolekci skriptů PowerShellu, které se dají spustit na zařízeních, se kterými zahájíte živé relace odpovědí.

Nahrání souboru do knihovny

  1. Klikněte na Nahrát soubor do knihovny.

  2. Klikněte na Procházet a vyberte soubor.

  3. Zadejte stručný popis.

  4. Zadejte, jestli chcete přepsat soubor se stejným názvem.

  5. Pokud chcete vědět, jaké parametry skript potřebuje, zaškrtněte políčko Parametry skriptu. Do textového pole zadejte příklad a popis.

  6. Klikněte na Potvrdit.

  7. (Volitelné) Spuštěním příkazu ověřte, library že se soubor nahrál do knihovny.

Zrušení příkazu

Kdykoli během relace můžete příkaz zrušit stisknutím kombinace kláves CTRL + C.

Upozornění

Použití této zkratky nezastaví příkaz na straně agenta. Zruší se jenom příkaz na portálu. Takže změny operací, jako je například "náprava", mohou pokračovat, zatímco je příkaz zrušen.

Spuštění skriptu

Než budete moct spustit skript PowerShellu nebo Bash, musíte ho nejdřív nahrát do knihovny.

Po nahrání skriptu do knihovny spusťte skript příkazem run .

Pokud plánujete v relaci použít nepodepsaný skript PowerShellu, budete muset povolit nastavení na stránce Nastavení rozšířených funkcí .

Upozornění

Povolení použití nepodepsaných skriptů může zvýšit vaši expozici hrozbám.

Použití parametrů příkazu

  • Informace o parametrech příkazů najdete v nápovědě ke konzole. Pokud chcete získat další informace o jednotlivých příkazech, spusťte:

    help <command name>
    
  • Při použití parametrů na příkazy mějte na paměti, že parametry se zpracovávají na základě pevného pořadí:

    <command name> param1 param2
    
  • Při zadávání parametrů mimo pevné pořadí zadejte název parametru se spojovníkem před zadáním hodnoty:

    <command name> -param2_name param2
    
  • Pokud používáte příkazy s požadovanými příkazy, můžete použít příznaky:

    <command name> -type file -id <file path> - auto
    

    nebo

    remediate file <file path> - auto`
    

Podporované typy výstupu

Živá odpověď podporuje výstupní typy formátu tabulky a formátu JSON. Pro každý příkaz je k dispozici výchozí chování výstupu. Výstup můžete upravit v upřednostňovaném výstupním formátu pomocí následujících příkazů:

  • -output json
  • -output table

Poznámka

Kvůli omezenému prostoru se ve formátu tabulky zobrazuje méně polí. Pokud chcete ve výstupu zobrazit další podrobnosti, můžete použít výstupní příkaz JSON, aby se zobrazily další podrobnosti.

Podporované výstupní kanály

Živá odpověď podporuje propojení výstupu do rozhraní příkazového řádku a souboru. Rozhraní příkazového řádku je výchozí chování výstupu. Výstup můžete přesměrovat do souboru pomocí následujícího příkazu: [command] > [název_souboru].txt.

Příklad:

processes > output.txt

Zobrazení protokolu příkazů

Vyberte kartu Protokol příkazů a zobrazte příkazy použité v zařízení během relace. Každý příkaz se sleduje s úplnými podrobnostmi, například:

  • ID
  • Příkazový řádek
  • Doba trvání
  • Stavový a vstupní nebo výstupní boční panel

Omezení

  • Živé relace odpovědí jsou omezené na 25 živých relací odpovědí najednou.
  • Hodnota časového limitu neaktivní relace živé odpovědi je 30 minut.
  • Jednotlivé příkazy živé odpovědi mají časový limit 10 minut, s výjimkou getfile, findfilea run, které mají limit 30 minut.
  • Uživatel může zahájit až 10 souběžných relací.
  • Zařízení může být současně pouze v jedné relaci.
  • Platí následující omezení velikosti souboru:
    • getfile limit: 3 GB
    • fileinfo limit: 30 GB
    • library limit: 250 MB

Související článek

Tip

Chcete se dozvědět více? Engage s komunitou Microsoft Security v naší technické komunitě: Microsoft Defender for Endpoint Tech Community.