Zahájení živé relace odezvy
Živá odezva poskytuje provozním týmům zabezpečení okamžitý přístup k zařízení pomocí připojení ke vzdálenému prostředí. Živá odpověď vám poskytuje možnost provádět hloubkové šetření a provádět akce okamžité reakce, které okamžitě obsahují identifikované hrozby.
Živá odpověď je navržená tak, aby zlepšila vyšetřování tím, že vašemu provoznímu týmu zabezpečení umožní shromažďovat forenzní data, spouštět skripty, odesílat podezřelé entity pro analýzu, opravovat hrozby a aktivně vyhledávat vznikající hrozby.
Díky živé reakci můžou analytici provádět všechny následující úlohy:
Spuštěním základních a pokročilých příkazů proveďte šetření práce na zařízení.
Stáhněte si soubory, jako jsou ukázky malwaru a výsledky skriptů PowerShellu.
Stáhněte si soubory na pozadí (nový!).
Nahrajte skript PowerShellu nebo spustitelný soubor do knihovny a spusťte ho na zařízení z úrovně tenanta.
Proveďte nebo vraťte nápravné akce.
Předpoklady
Před zahájením relace na zařízení se ujistěte, že splňujete následující požadavky:
Ověřte, že používáte podporovanou verzi Windows 10 nebo novější.
Povolte živou odpověď ze stránky nastavení. Funkci živé odpovědi budete muset povolit na stránce Nastavení rozšířených funkcí.
Tato nastavení můžou upravovat jenom uživatelé s rolí zabezpečení nebo globálního správce.
Ujistěte se, že má zařízení přiřazenou úroveň nápravy služby Automation.
Pro danou skupinu zařízení budete muset alespoň povolit minimální úroveň nápravy. V opačném případě nemůžete vytvořit relaci živé odpovědi pro člena této skupiny.
Povolení spuštění nepodepsaného skriptu živé odpovědi (volitelné)
Povolení použití nepodepsaných skriptů může zvýšit riziko ohrožení. Spouštění nepodepsaných skriptů se nedoporučuje, protože může zvýšit riziko ohrožení. Pokud je ale musíte použít, musíte toto nastavení povolit na stránce Nastavení rozšířených funkcí.
Ujistěte se, že máte příslušná oprávnění.
Relaci můžou zahájit jenom uživatelé, kteří jsou zřízeni s příslušnými oprávněními. Možnost nahrát soubor do knihovny je dostupná jenom uživatelům s příslušnými oprávněními řízení přístupu na základě role (RBAC). Tlačítko je pro uživatele s delegovanými oprávněními neaktivní. V závislosti na tom, jaká role vám byla udělena, můžete spustit základní nebo pokročilé příkazy živé odpovědi. Oprávnění uživatelů se řídí vlastní rolí RBAC.
Přehled řídicího panelu živé odpovědi
Když na zařízení zahájíte živou relaci odezvy, otevře se řídicí panel. Řídicí panel poskytuje informace o relaci, například:
Kdo vytvoření relace
Po spuštění relace
Doba trvání relace
Řídicí panel také poskytuje přístup k:
Odpojit relaci
Nahrání souborů do knihovny
Konzola příkazů
Protokol příkazů
Příkazy živé odpovědi
V závislosti na tom, jaká role vám byla udělena, můžete spustit základní nebo pokročilé příkazy živé odpovědi. Uživatelská oprávnění se řídí vlastními rolemi RBAC. Živá odpověď je cloudové interaktivní prostředí. Konkrétní prostředí příkazů se proto může lišit v době odezvy v závislosti na kvalitě sítě a zatížení systému mezi koncovým uživatelem a cílovým zařízením.
Základní příkazy
Následující příkazy jsou k dispozici pro role uživatelů, kterým je udělena možnost spouštět základní živé příkazy odpovědi.
| Příkaz | Popis |
|---|---|
| [cd] | Změní aktuální adresář. |
| [cls] | Vymaže obrazovku konzoly. |
| [connect] | Spustí živou relaci odezvy na zařízení. |
| [připojení] | Zobrazí všechna aktivní připojení. |
| [dir] | Zobrazuje seznam souborů a podadresářů v adresáři. |
| [getfile] <file_path> | Stáhne soubor na pozadí. |
| [obchodní faktory] | Zobrazuje všechny ovladače nainstalované na zařízení. |
| [fg] <ID příkazu> | Vrátí stažení souboru do popředí. |
| [fileinfo] | Načtení informací o souboru |
| [findfile] | Vyhledá soubory podle daného názvu v zařízení. |
| [nápověda] | Poskytuje informace nápovědy pro příkazy živé odpovědi. |
| [trvalost] | Zobrazuje všechny známé metody trvalosti v zařízení. |
| [procesy] | Zobrazuje všechny procesy spuštěné na zařízení. |
| [registr] | Zobrazuje hodnoty registru. |
| [scheduledtasks] | Zobrazí všechny naplánované úlohy na zařízení. |
| [služby] | Zobrazuje všechny služby na zařízení. |
| [trasování] | Nastaví režim protokolování terminálu tak, aby se ladil. |
Pokročilé příkazy
Následující příkazy jsou k dispozici pro role uživatelů, kterým je udělena možnost spouštět pokročilé příkazy živé odpovědi.
| Příkaz | Popis |
|---|---|
| Analyzovat | Analyzuje entitu s různými inkriminačními moduly, aby dosáhla verdiktu. |
| getfile | Získá soubor ze zařízení. Tento příkaz má požadovaný příkaz. K automatickému spuštění požadovaného příkazu můžete použít příkaz -auto se souborem getfile. |
| příkaz Run | Spustí skript PowerShellu z knihovny na zařízení. |
| knihovna | Zobrazí seznam souborů, které byly odeslány do živé knihovny odpovědí. |
| putfile | Vloží soubor z knihovny do zařízení. Soubory se ukládají do pracovní složky a odstraní se, když se zařízení ve výchozím nastavení restartuje. |
| náprava | Opraví entitu v zařízení. Akce nápravy se bude lišit v závislosti na typu entity. Tento příkaz má požadovaný příkaz. Příkaz -auto s nápravou můžete použít k automatickému spuštění požadovaného příkazu. |
| Vrátit zpět | Obnoví entitu, která byla remediatována. |
Použití příkazů živé odpovědi
Příkazy, které můžete použít v konzole, se řídí podobnými principy jako příkazy systému Windows. Pokročilé příkazy nabízejí rozšířené možnosti, které umožňují provádět výkonnější akce. Mezi pokročilé akce patří stažení nebo nahrání souboru, spouštění skriptů na zařízení a provádění nápravných akcí u entity.
Získání souboru ze zařízení
V situacích, kdy chcete získat soubor ze zařízení, které prošetřujete, můžete použít příkaz [getfile]. Příkaz [getfile] umožňuje uložit soubor ze zařízení pro další šetření.
Platí následující omezení velikosti souborů:
getfile limit: 3 GB
limit fileinfo: 10 GB
limit knihovny: 250 MB
Stažení souboru na pozadí
Pokud chcete týmu pro operace zabezpečení umožnit pokračovat v vyšetřování ovlivněného zařízení, můžete si soubory stáhnout na pozadí.
Pokud chcete stáhnout soubor na pozadí, zadejte v konzole příkazového řádku živé odpovědi soubor getfile <file_path>.
Pokud čekáte na stažení souboru, můžete ho přesunout na pozadí pomocí Ctrl+Z.
Chcete-li přenést soubor ke stažení do popředí, zadejte v konzole příkazů dynamické odpovědi command_id> fg<.
Zde je uvedeno několik příkladů:
| Příkaz | Jak funguje |
|---|---|
| getfile "C:\windows\some_file.exe" | Začne stahovat soubor s názvem some_file.exe na pozadí. |
| fg 1234 | Vrátí stažení s ID příkazu 1234 do popředí. |
Vložení souboru do knihovny
Živá odpověď obsahuje knihovnu, do které můžete vložit soubory. Knihovna ukládá soubory (například skripty), které je možné spustit v živé relaci odezvy na úrovni tenanta. Živá odpověď umožňuje spouštění skriptů PowerShellu. Než je ale budete moct spustit, musíte je nejdřív vložit do knihovny. Můžete mít kolekci skriptů PowerShellu, které se dají spustit na zařízeních, se kterými zahájíte živé relace odpovědí.
Nahrání souboru v knihovně:
Vyberte Nahrát soubor do knihovny.
Vyberte Procházet a vyberte soubor.
Zadejte stručný popis.
Zadejte, jestli chcete přepsat soubor se stejným názvem.
Pokud chcete, víte, jaké parametry jsou pro skript potřeba, zaškrtněte políčko Parametry skriptu. Do textového pole zadejte příklad a popis.
Vyberte Potvrdit.
(Volitelné) Pokud chcete ověřit, že se soubor nahrál do knihovny, spusťte příkaz knihovny.
Zrušení příkazu
Kdykoli během relace můžete příkaz zrušit stisknutím kombinace kláves CTRL+C.
Automatické spouštění požadovaných příkazů
Některé příkazy mají požadované příkazy ke spuštění. Pokud nespusíte požadovaný příkaz, zobrazí se chyba. Například spuštění příkazu ke stažení bez informací o souborech vrátí chybu. Pomocí automatického příznaku můžete automaticky spouštět požadované příkazy, například:
getfile c:\Users\user\Desktop\work.txt -auto
Spuštění skriptu PowerShellu
Než budete moct spustit skript PowerShellu, musíte ho nejdřív nahrát do knihovny. Po nahrání skriptu do knihovny spusťte skript spuštěním příkazu. Pokud máte v relaci v úmyslu použít nepodepsaný skript, budete muset povolit nastavení na stránce Nastavení rozšířených funkcí.
Použití parametrů příkazu
Informace o parametrech příkazů najdete v nápovědě ke konzole. Informace o jednotlivých příkazech získáte spuštěním následujícího příkazu:
help <command name>
Při použití parametrů na příkazy se parametry zpracovávají na základě pevného pořadí:
<command name> param1 param2
Při zadávání parametrů mimo pevné pořadí před zadáním hodnoty zadejte název parametru s pomlčkou:
<command name> -param2_name param2
Při použití příkazů, které mají požadované příkazy, můžete použít příznaky:
<command name> -type file -id <file path> - auto or remediate file <file path> - auto.
Podporované typy výstupu
Živá odpověď podporuje výstupní typy formátu table a JSON. Pro každý příkaz existuje výchozí chování výstupu. Výstup v upřednostňovaném výstupním formátu můžete upravit pomocí následujících příkazů:
-output json
-output table
Podporované výstupní kanály
Živá odpověď podporuje výstupní piping do rozhraní příkazového řádku a souboru. Rozhraní příkazového řádku je výchozí chování výstupu. Výstup můžete do souboru přeskakovat pomocí následujícího příkazu: [command] > [název_souboru].txt.
Zobrazení protokolu příkazů
Výběrem karty Protokol příkazů zobrazíte příkazy použité v zařízení během relace. Každý příkaz se sleduje s úplnými podrobnostmi, například:
ID
Příkazový řádek
Doba trvání
Stav a vstupní nebo výstupní boční panel
Příklady příkazů
Další příkazy jsou příklady, které demonstrují použití příkazů živé odpovědi.
Analyzovat
# Analyze the file malware.txt
analyze file c:\Users\user\Desktop\malware.txt
# Analyze the process by PID
analyze process 1234
Omezení
Živá odpověď má následující omezení:
Živé relace odpovědí jsou omezené na 10 živých relací odpovědí najednou.
Provádění příkazů ve velkém měřítku se nepodporuje.
Aktivní hodnota časového limitu relace živé odpovědi je 5 minut.
Uživatel může zahájit pouze jednu relaci najednou.
Zařízení může být současně pouze v jedné relaci.
Platí následující omezení velikosti souborů:
Limit getfile: 3 GB
Limit pro informace o souborech: 10 GB
Limit knihovny: 250 MB