Undersøg enheder på enheder ved hjælp af live-svar

Gælder for:

• Microsoft Defender for Endpoint Plan 2
• Microsoft Defender XDR

Vil du opleve Defender for Endpoint? Tilmeld dig en gratis prøveversion.

Live response giver teams for sikkerhedshandlinger øjeblikkelig adgang til en enhed (også kaldet en maskine) ved hjælp af en ekstern shellforbindelse. Liverespons giver dig mulighed for at udføre dybdegående undersøgelsesarbejde og reagere øjeblikkeligt for straks at indeholde identificerede trusler i realtid.

Liverespons er designet til at forbedre undersøgelser ved at gøre det muligt for dit team af sikkerhedshandlinger at indsamle tekniske data, køre scripts, sende mistænkelige enheder til analyse, afhjælpe trusler og proaktivt jage efter nye trusler.

Med direkte svar kan analytikere udføre alle følgende opgaver:

• Kør grundlæggende og avancerede kommandoer for at udføre undersøgelsesarbejde på en enhed.
• Download filer som malwareeksempler og resultater af PowerShell-scripts.
• Download filer i baggrunden (ny!).
• Upload et PowerShell-script eller en eksekverbar fil til biblioteket, og kør det på en enhed fra et lejerniveau.
• Udfør eller fortryd afhjælpningshandlinger.

Før du begynder

Før du kan starte en session på en enhed, skal du sørge for at opfylde følgende krav:

• Kontrollér, at du kører en understøttet version af Windows.

  Enheder skal køre en af følgende versioner af Windows

  • Windows 10 & 11

    • Version 1909 eller nyere
    • Version 1903 med KB4515384
    • Version 1809 (RS 5) med KB4537818
    • Version 1803 (RS 4) med KB4537795
    • Version 1709 (RS 3) med KB4537816

  • macOS – Minimumkrav til version: 101.43.84. Understøttes til Intel-baserede og ARM-baserede macOS-enheder.

  • Linux – Minimumkrav til version: 101.45.13

  • Windows Server 2012 R2 – med KB5005292

  • Windows Server 2016 – med KB5005292

    Bemærk!

    For Windows Server 2012R2 eller 2016 skal Unified Agent være installeret, og det anbefales at reparere til den nyeste sensorversion med KB5005292.

  • Windows Server 2019

    • Version 1903 eller (med KB4515384) senere
    • Version 1809 (med KB4537818)

  • Windows Server 2022

• Aktivér live-svar fra siden med avancerede indstillinger.

  Du skal aktivere funktionen til direkte svar på siden Avancerede funktioner .

  Bemærk!

  Det er kun administratorer og brugere, der har tilladelsen "Administrer portalindstillinger", der kan aktivere direkte svar.

• Aktivér live-svar for servere fra siden med avancerede indstillinger (anbefales).

  Bemærk!

  Det er kun administratorer og brugere, der har tilladelsen "Administrer portalindstillinger", der kan aktivere direkte svar.

• Aktivér usigneret udførelse af live-svar-script (valgfrit).

  Vigtigt!

  Signaturbekræftelse gælder kun for PowerShell-scripts.

  Advarsel

  Hvis du tillader brugen af usignerede scripts, kan det øge din eksponering over for trusler.

  Kørsel af usignerede scripts anbefales ikke, da det kan øge din eksponering over for trusler. Hvis du skal bruge dem, skal du aktivere indstillingen på siden Avancerede funktioner .

• Sørg for, at du har de nødvendige tilladelser.

  Det er kun brugere, der er klargjort med de relevante tilladelser, der kan starte en session. Du kan få flere oplysninger om rolletildelinger under Create og administrer roller.

  Vigtigt!

  Muligheden for at overføre en fil til biblioteket er kun tilgængelig for brugere med tilladelsen "Administrer sikkerhedsindstillinger". Knappen er nedtonet for brugere, der kun har delegerede tilladelser.

  Afhængigt af den rolle, du har fået tildelt, kan du køre grundlæggende eller avancerede kommandoer til direkte svar. Brugertilladelser styres af den brugerdefinerede rolle RBAC.

Oversigt over dashboard med livebesvaring

Når du starter en live-svarsession på en enhed, åbnes et dashboard. Dashboardet indeholder oplysninger om sessionen, f.eks. følgende:

• Hvem har oprettet sessionen?
• Da sessionen startede
• Sessionens varighed

Dashboardet giver dig også adgang til:

• Afbryd forbindelsen til session
• Overfør filer til biblioteket
• Kommandokonsol
• Kommandolog

Start en live-svarsession på en enhed

Bemærk!

Live response-handlinger, der startes fra enhedssiden, er ikke tilgængelige i machineactions-API'en.

1. Log på Microsoft Defender portal.

2. Gå til Slutpunkter Enhedslager, og vælg en enhed, der skal undersøges>. Siden Enheder åbnes.

3. Start live-svar-sessionen ved at vælge Start live-svar-session. Der vises en kommandokonsol. Vent, mens sessionen opretter forbindelse til enheden.

4. Brug de indbyggede kommandoer til at udføre undersøgelsesarbejde. Du kan få flere oplysninger under Kommandoer til direkte svar.

5. Når du har fuldført din undersøgelse, skal du vælge Afbryd session og derefter vælge Bekræft.

Kommandoer til direkte svar

Afhængigt af den rolle, du har fået tildelt, kan du køre grundlæggende eller avancerede kommandoer til direkte svar. Brugertilladelser styres af brugerdefinerede RBAC-roller. Du kan få flere oplysninger om rolletildelinger under Create og administrer roller.

Bemærk!

Live response er en cloudbaseret interaktiv shell, da en bestemt kommandooplevelse kan variere i svartiden afhængigt af netværkskvalitet og systembelastning mellem slutbrugeren og destinationsenheden.

Grundlæggende kommandoer

Følgende kommandoer er tilgængelige for brugerroller, der har fået mulighed for at køre grundlæggende kommandoer til direkte svar. Du kan få flere oplysninger om rolletildelinger under Create og administrer roller.

Kommando	Beskrivelse	Windows og Windows Server	Macos	Linux
cd	Ændrer den aktuelle mappe.	Y	Y	Y
cls	Rydder konsolskærmen.	Y	Y	Y
connect	Starter en live-svarsession på enheden.	Y	Y	Y
connections	Viser alle de aktive forbindelser.	Y	N	N
dir	Viser en liste over filer og undermapper i en mappe.	Y	Y	Y
drivers	Viser alle de drivere, der er installeret på enheden.	Y	N	N
fg <command ID>	Placer det angivne job i forgrunden, hvilket gør det til det aktuelle job. Bemærk, at tager fg en command ID tilgængelig fra job, ikke et PID.	Y	Y	Y
fileinfo	Hent oplysninger om en fil.	Y	Y	Y
findfile	Angiver filer med et givent navn på enheden.	Y	Y	Y
getfile <file_path>	Downloader en fil.	Y	Y	Y
help	Indeholder hjælp til kommandoer til direkte svar.	Y	Y	Y
jobs	Viser job, der kører i øjeblikket, deres id og status.	Y	Y	Y
persistence	Viser alle kendte persistensmetoder på enheden.	Y	N	N
processes	Viser alle processer, der kører på enheden.	Y	Y	Y
registry	Viser registreringsdatabaseværdier.	Y	N	N
scheduledtasks	Viser alle planlagte opgaver på enheden.	Y	N	N
services	Viser alle tjenester på enheden.	Y	N	N
startupfolders	Viser alle kendte filer i startmapper på enheden.	Y	N	N
status	Viser status og output for en bestemt kommando.	Y	Y	Y
trace	Angiver terminalens logføringstilstand til fejlfinding.	Y	Y	Y

Avancerede kommandoer

Følgende kommandoer er tilgængelige for brugerroller, der har mulighed for at køre avancerede kommandoer til direkte svar. Du kan få flere oplysninger om rolletildelinger under Create og administrer roller.

Kommando	Beskrivelse	Windows og Windows Server	Macos	Linux
analyze	Analyserer enheden med forskellige incriminationsmotorer for at nå frem til en dom.	Y	N	N
collect	Indsamler kriminaltekniske pakker fra enheden.	N	Y	Y
isolate	Afbryder forbindelsen mellem enheden og netværket, samtidig med at forbindelsen til Defender for Endpoint-tjenesten bevares.	N	Y	N
release	Frigiver en enhed fra netværksisolation.	N	Y	N
run	Kører et PowerShell-script fra biblioteket på enheden.	Y	Y	Y
library	Lister filer, der blev overført til biblioteket med live-svar.	Y	Y	Y
putfile	Placerer en fil fra biblioteket på enheden. Filer gemmes i en arbejdsmappe og slettes som standard, når enheden genstartes.	Y	Y	Y
remediate	Afhjælper en enhed på enheden. Afhjælpningshandlingen varierer afhængigt af objekttypen: - Fil: slet - Proces: stop, slet billedfilen - Tjeneste: stop, slet billedfilen - Registreringsdatabasepost: slet - Planlagt opgave: fjern - Mappeelementet Start: Slet fil Denne kommando har en forudsætningskommando. Du kan bruge kommandoen -auto sammen med remediate til automatisk at køre den påkrævede kommando.	Y	Y	Y
scan	Kører en hurtig antivirusscanning for at hjælpe med at identificere og afhjælpe malware.	N	Y	Y
undo	Gendanner en enhed, der blev afhjælpet.	Y	N	N

Bemærk!

Følgende grænser for filstørrelsen gælder for kommandoen live putfile response:

• Windows: 300 MB
• Andre platforme: 10 MB

Brug direkte svar-kommandoer

De kommandoer, du kan bruge i konsollen, følger de samme principper som Windows-kommandoer.

De avancerede kommandoer giver dig et mere robust sæt handlinger, der giver dig mulighed for at udføre mere effektive handlinger, f.eks. downloade og uploade en fil, køre scripts på enheden og udføre afhjælpningshandlinger på en enhed.

Hent en fil fra enheden

I forbindelse med scenarier, hvor du gerne vil hente en fil fra en enhed, du undersøger, kan du bruge kommandoen getfile . Dette giver dig mulighed for at gemme filen fra enheden til yderligere undersøgelse.

Bemærk!

Der gælder følgende grænser for filstørrelsen:

• getfile grænse: 3 GB
• fileinfo grænse: 30 GB
• library grænse: 250 MB

Download en fil i baggrunden

Hvis du vil gøre det muligt for dit team af sikkerhedshandlinger at fortsætte med at undersøge en påvirket enhed, kan filer nu downloades i baggrunden.

• Hvis du vil downloade en fil i baggrunden, skal du skrive download <file_path> &i kommandokonsollen med live-svar.
• Hvis du venter på, at en fil hentes, kan du flytte den til baggrunden ved hjælp af Ctrl + Z.
• Hvis du vil hente en fil til forgrunden, skal du skrive fg <command_id>i kommandokonsollen med live-svar.

Her er nogle eksempler:

Kommando	Hvad gør den?
getfile "C:\windows\some_file.exe" &	Starter download af en fil med navnet some_file.exe i baggrunden.
fg 1234	Returnerer en download med kommando-id 1234 til forgrunden.

Placer en fil i biblioteket

Live response har et bibliotek, hvor du kan placere filer i. Biblioteket gemmer filer (f.eks. scripts), der kan køres i en live-svarsession på lejerniveau.

Direkte svar gør det muligt at køre PowerShell-scripts, men du skal først placere filerne i biblioteket, før du kan køre dem.

Du kan have en samling PowerShell-scripts, der kan køre på enheder, som du starter live-svarsessioner med.

Sådan overfører du en fil i biblioteket

1. Klik på Overfør fil til bibliotek.

2. Klik på Gennemse , og vælg filen.

3. Angiv en kort beskrivelse.

4. Angiv, om du vil overskrive en fil med det samme navn.

5. Hvis du gerne vil være, skal du vide, hvilke parametre der er nødvendige for scriptet, og markere afkrydsningsfeltet scriptparametre. Angiv et eksempel og en beskrivelse i tekstfeltet.

6. Klik på Bekræft.

7. (Valgfrit) Kør kommandoen for at bekræfte, at filen blev overført til biblioteket library .

Annuller en kommando

Når som helst under en session kan du annullere en kommando ved at trykke på Ctrl + C.

Advarsel

Hvis du bruger denne genvej, stopper kommandoen ikke på agentsiden. Kommandoen i portalen annulleres kun. Derfor kan du fortsætte med at ændre handlinger, f.eks. "remediate", mens kommandoen annulleres.

Kør et script

Før du kan køre et PowerShell/Bash-script, skal du først uploade det til biblioteket.

Når du har overført scriptet til biblioteket, skal du bruge run kommandoen til at køre scriptet.

Hvis du planlægger at bruge et PowerShell-script uden fortegn i sessionen, skal du aktivere indstillingen på siden Avancerede funktioner .

Advarsel

Hvis du tillader brugen af usignerede scripts, kan det øge din eksponering over for trusler.

Anvend kommandoparametre

• Få vist hjælp til konsollen for at få mere at vide om kommandoparametre. Hvis du vil vide mere om en enkelt kommando, skal du køre:

  help <command name>
  

• Når du anvender parametre på kommandoer, skal du være opmærksom på, at parametre håndteres baseret på en fast rækkefølge:

  <command name> param1 param2
  

• Når du angiver parametre uden for den faste rækkefølge, skal du angive navnet på parameteren med en bindestreg, før du angiver værdien:

  <command name> -param2_name param2
  

• Når du bruger kommandoer, der har forudsætningskommandoer, kan du bruge flag:

  <command name> -type file -id <file path> - auto
  

  Eller

  remediate file <file path> - auto`
  

Understøttede outputtyper

Live response understøtter outputtyper i tabel- og JSON-format. Der er en standardfunktionsmåde for output for hver kommando. Du kan ændre outputtet i dit foretrukne outputformat ved hjælp af følgende kommandoer:

• -output json
• -output table

Bemærk!

Der vises færre felter i tabelformat pga. den begrænsede plads. Hvis du vil se flere oplysninger i outputtet, kan du bruge kommandoen JSON-output, så der vises flere oplysninger.

Understøttede outputpiber

Direkte svar understøtter outputrør til kommandolinjegrænsefladen og filen. Kommandolinjegrænsefladen er standardfunktionsmåden for output. Du kan sende outputtet til en fil ved hjælp af følgende kommando: [command] > [filnavn].txt.

Eksempel:

processes > output.txt

Vis kommandologgen

Vælg fanen Kommandolog for at se de kommandoer, der bruges på enheden under en session. Hver kommando spores med komplette oplysninger, f.eks.:

• ID
• Kommandolinjen
• Varighed
• Sidelinje for status og input eller output

Begrænsninger

• Live-svar-sessioner er begrænset til 25 live-svarsessioner ad gangen.
• Inaktiv timeoutværdi for live-svarsession er 30 minutter.
• Individuelle direkte svar-kommandoer har en tidsgrænse på 10 minutter med undtagelse af getfile, findfileog run, som har en grænse på 30 minutter.
• En bruger kan starte op til 10 samtidige sessioner.
• En enhed kan kun være i én session ad gangen.
• Der gælder følgende grænser for filstørrelsen:
  • getfile grænse: 3 GB
  • fileinfo grænse: 30 GB
  • library grænse: 250 MB

Relateret artikel

• Eksempler på kommandoen Direkte svar

Tip

Vil du vide mere? Engage med Microsoft Security-community'et i vores tech-community: Microsoft Defender for Endpoint Tech Community.