Undersøg enheder på enheder ved hjælp af live-svar
Gælder for:
Vil du opleve Defender for Endpoint? Tilmeld dig en gratis prøveversion.
Live response giver teams for sikkerhedshandlinger øjeblikkelig adgang til en enhed (også kaldet en maskine) ved hjælp af en ekstern shellforbindelse. Liverespons giver dig mulighed for at udføre dybdegående undersøgelsesarbejde og reagere øjeblikkeligt for straks at indeholde identificerede trusler i realtid.
Liverespons er designet til at forbedre undersøgelser ved at gøre det muligt for dit team af sikkerhedshandlinger at indsamle tekniske data, køre scripts, sende mistænkelige enheder til analyse, afhjælpe trusler og proaktivt jage efter nye trusler.
Med direkte svar kan analytikere udføre alle følgende opgaver:
- Kør grundlæggende og avancerede kommandoer for at udføre undersøgelsesarbejde på en enhed.
- Download filer som malwareeksempler og resultater af PowerShell-scripts.
- Download filer i baggrunden (ny!).
- Upload et PowerShell-script eller en eksekverbar fil til biblioteket, og kør det på en enhed fra et lejerniveau.
- Udfør eller fortryd afhjælpningshandlinger.
Før du kan starte en session på en enhed, skal du sørge for at opfylde følgende krav:
Kontrollér, at du kører en understøttet version af Windows.
Enheder skal køre en af følgende versioner af Windows
Windows 10 & 11
- Version 1909 eller nyere
- Version 1903 med KB4515384
- Version 1809 (RS 5) med KB4537818
- Version 1803 (RS 4) med KB4537795
- Version 1709 (RS 3) med KB4537816
macOS – Minimumkrav til version: 101.43.84. Understøttes til Intel-baserede og ARM-baserede macOS-enheder.
Linux – Minimumkrav til version: 101.45.13
Windows Server 2012 R2 – med KB5005292
Windows Server 2016 – med KB5005292
Bemærk
For Windows Server 2012R2 eller 2016 skal Unified Agent være installeret, og det anbefales at reparere til den nyeste sensorversion med KB5005292.
Windows Server 2019
Windows Server 2022
Aktivér live-svar fra siden med avancerede indstillinger.
Du skal aktivere funktionen til direkte svar på siden Avancerede funktioner .
Bemærk
Det er kun administratorer og brugere, der har tilladelsen "Administrer portalindstillinger", der kan aktivere direkte svar.
Aktivér live-svar for servere fra siden med avancerede indstillinger (anbefales).
Bemærk
Det er kun administratorer og brugere, der har tilladelsen "Administrer portalindstillinger", der kan aktivere direkte svar.
Aktivér usigneret udførelse af live-svar-script (valgfrit).
Vigtigt
Signaturbekræftelse gælder kun for PowerShell-scripts.
Advarsel!
Hvis du tillader brugen af usignerede scripts, kan det øge din eksponering over for trusler.
Kørsel af usignerede scripts anbefales ikke, da det kan øge din eksponering over for trusler. Hvis du skal bruge dem, skal du aktivere indstillingen på siden Avancerede funktioner .
Sørg for, at du har de nødvendige tilladelser.
Det er kun brugere, der er klargjort med de relevante tilladelser, der kan starte en session. Du kan få flere oplysninger om rolletildelinger under Create og administrer roller.
Vigtigt
Muligheden for at overføre en fil til biblioteket er kun tilgængelig for brugere med tilladelsen "Administrer sikkerhedsindstillinger". Knappen er nedtonet for brugere, der kun har delegerede tilladelser.
Afhængigt af den rolle, du har fået tildelt, kan du køre grundlæggende eller avancerede kommandoer til direkte svar. Brugertilladelser styres af den brugerdefinerede rolle RBAC.
Når du starter en live-svarsession på en enhed, åbnes et dashboard. Dashboardet indeholder oplysninger om sessionen, f.eks. følgende:
- Hvem har oprettet sessionen?
- Da sessionen startede
- Sessionens varighed
Dashboardet giver dig også adgang til:
- Afbryd forbindelsen til session
- Overfør filer til biblioteket
- Kommandokonsol
- Kommandolog
Bemærk
Live response-handlinger, der startes fra enhedssiden, er ikke tilgængelige i machineactions-API'en.
Log på Microsoft Defender portal.
Gå til Slutpunkter Enhedslager, og vælg en enhed, der skal undersøges>. Siden Enheder åbnes.
Start live-svar-sessionen ved at vælge Start live-svar-session. Der vises en kommandokonsol. Vent, mens sessionen opretter forbindelse til enheden.
Brug de indbyggede kommandoer til at udføre undersøgelsesarbejde. Du kan få flere oplysninger under Kommandoer til direkte svar.
Når du har fuldført din undersøgelse, skal du vælge Afbryd session og derefter vælge Bekræft.
Afhængigt af den rolle, du har fået tildelt, kan du køre grundlæggende eller avancerede kommandoer til direkte svar. Brugertilladelser styres af brugerdefinerede RBAC-roller. Du kan få flere oplysninger om rolletildelinger under Create og administrer roller.
Bemærk
Live response er en cloudbaseret interaktiv shell, da en bestemt kommandooplevelse kan variere i svartiden afhængigt af netværkskvalitet og systembelastning mellem slutbrugeren og destinationsenheden.
Følgende kommandoer er tilgængelige for brugerroller, der har fået mulighed for at køre grundlæggende kommandoer til direkte svar. Du kan få flere oplysninger om rolletildelinger under Create og administrer roller.
Kommando | Beskrivelse | Windows og Windows Server | Macos | Linux |
---|---|---|---|---|
cd |
Ændrer den aktuelle mappe. | Y | Y | Y |
cls |
Rydder konsolskærmen. | Y | Y | Y |
connect |
Starter en live-svarsession på enheden. | Y | Y | Y |
connections |
Viser alle de aktive forbindelser. | Y | N | N |
dir |
Viser en liste over filer og undermapper i en mappe. | Y | Y | Y |
drivers |
Viser alle de drivere, der er installeret på enheden. | Y | N | N |
fg <command ID> |
Placer det angivne job i forgrunden, hvilket gør det til det aktuelle job. Bemærk, at tager fg en command ID tilgængelig fra job, ikke et PID. |
Y | Y | Y |
fileinfo |
Hent oplysninger om en fil. | Y | Y | Y |
findfile |
Angiver filer med et givent navn på enheden. | Y | Y | Y |
getfile <file_path> |
Downloader en fil. | Y | Y | Y |
help |
Indeholder hjælp til kommandoer til direkte svar. | Y | Y | Y |
jobs |
Viser job, der kører i øjeblikket, deres id og status. | Y | Y | Y |
persistence |
Viser alle kendte persistensmetoder på enheden. | Y | N | N |
processes |
Viser alle processer, der kører på enheden. | Y | Y | Y |
registry |
Viser registreringsdatabaseværdier. | Y | N | N |
scheduledtasks |
Viser alle planlagte opgaver på enheden. | Y | N | N |
services |
Viser alle tjenester på enheden. | Y | N | N |
startupfolders |
Viser alle kendte filer i startmapper på enheden. | Y | N | N |
status |
Viser status og output for en bestemt kommando. | Y | Y | Y |
trace |
Angiver terminalens logføringstilstand til fejlfinding. | Y | Y | Y |
Følgende kommandoer er tilgængelige for brugerroller, der har mulighed for at køre avancerede kommandoer til direkte svar. Du kan få flere oplysninger om rolletildelinger under Create og administrer roller.
Kommando | Beskrivelse | Windows og Windows Server | Macos | Linux |
---|---|---|---|---|
analyze |
Analyserer enheden med forskellige incriminationsmotorer for at nå frem til en dom. | Y | N | N |
collect |
Indsamler kriminaltekniske pakker fra enheden. | N | Y | Y |
isolate |
Afbryder forbindelsen mellem enheden og netværket, samtidig med at forbindelsen til Defender for Endpoint-tjenesten bevares. | N | Y | N |
release |
Frigiver en enhed fra netværksisolation. | N | Y | N |
run |
Kører et PowerShell-script fra biblioteket på enheden. | Y | Y | Y |
library |
Lister filer, der blev overført til biblioteket med live-svar. | Y | Y | Y |
putfile |
Placerer en fil fra biblioteket på enheden. Filer gemmes i en arbejdsmappe og slettes som standard, når enheden genstartes. | Y | Y | Y |
remediate |
Afhjælper en enhed på enheden. Afhjælpningshandlingen varierer afhængigt af objekttypen: - Fil: slet - Proces: stop, slet billedfilen - Tjeneste: stop, slet billedfilen - Registreringsdatabasepost: slet - Planlagt opgave: fjern - Mappeelementet Start: Slet fil Denne kommando har en forudsætningskommando. Du kan bruge kommandoen -auto sammen med remediate til automatisk at køre den påkrævede kommando. |
Y | Y | Y |
scan |
Kører en hurtig antivirusscanning for at hjælpe med at identificere og afhjælpe malware. | N | Y | Y |
undo |
Gendanner en enhed, der blev afhjælpet. | Y | N | N |
Bemærk
Følgende grænser for filstørrelsen gælder for kommandoen live putfile
response:
- Windows: 300 MB
- Andre platforme: 10 MB
De kommandoer, du kan bruge i konsollen, følger de samme principper som Windows-kommandoer.
De avancerede kommandoer giver dig et mere robust sæt handlinger, der giver dig mulighed for at udføre mere effektive handlinger, f.eks. downloade og uploade en fil, køre scripts på enheden og udføre afhjælpningshandlinger på en enhed.
I forbindelse med scenarier, hvor du gerne vil hente en fil fra en enhed, du undersøger, kan du bruge kommandoen getfile
. Dette giver dig mulighed for at gemme filen fra enheden til yderligere undersøgelse.
Bemærk
Der gælder følgende grænser for filstørrelsen:
getfile
grænse: 3 GBfileinfo
grænse: 30 GBlibrary
grænse: 250 MB
Hvis du vil gøre det muligt for dit team af sikkerhedshandlinger at fortsætte med at undersøge en påvirket enhed, kan filer nu downloades i baggrunden.
- Hvis du vil downloade en fil i baggrunden, skal du skrive
download <file_path> &
i kommandokonsollen med live-svar. - Hvis du venter på, at en fil hentes, kan du flytte den til baggrunden ved hjælp af Ctrl + Z.
- Hvis du vil hente en fil til forgrunden, skal du skrive
fg <command_id>
i kommandokonsollen med live-svar.
Her er nogle eksempler:
Kommando | Hvad gør den? |
---|---|
getfile "C:\windows\some_file.exe" & |
Starter download af en fil med navnet some_file.exe i baggrunden. |
fg 1234 |
Returnerer en download med kommando-id 1234 til forgrunden. |
Live response har et bibliotek, hvor du kan placere filer i. Biblioteket gemmer filer (f.eks. scripts), der kan køres i en live-svarsession på lejerniveau.
Direkte svar gør det muligt at køre PowerShell-scripts, men du skal først placere filerne i biblioteket, før du kan køre dem.
Du kan have en samling PowerShell-scripts, der kan køre på enheder, som du starter live-svarsessioner med.
Klik på Overfør fil til bibliotek.
Klik på Gennemse , og vælg filen.
Angiv en kort beskrivelse.
Angiv, om du vil overskrive en fil med det samme navn.
Hvis du gerne vil være, skal du vide, hvilke parametre der er nødvendige for scriptet, og markere afkrydsningsfeltet scriptparametre. Angiv et eksempel og en beskrivelse i tekstfeltet.
Klik på Bekræft.
(Valgfrit) Kør kommandoen for at bekræfte, at filen blev overført til biblioteket
library
.
Når som helst under en session kan du annullere en kommando ved at trykke på Ctrl + C.
Advarsel!
Hvis du bruger denne genvej, stopper kommandoen ikke på agentsiden. Kommandoen i portalen annulleres kun. Derfor kan du fortsætte med at ændre handlinger, f.eks. "remediate", mens kommandoen annulleres.
Før du kan køre et PowerShell/Bash-script, skal du først uploade det til biblioteket.
Når du har overført scriptet til biblioteket, skal du bruge run
kommandoen til at køre scriptet.
Hvis du planlægger at bruge et PowerShell-script uden fortegn i sessionen, skal du aktivere indstillingen på siden Avancerede funktioner .
Advarsel!
Hvis du tillader brugen af usignerede scripts, kan det øge din eksponering over for trusler.
Få vist hjælp til konsollen for at få mere at vide om kommandoparametre. Hvis du vil vide mere om en enkelt kommando, skal du køre:
help <command name>
Når du anvender parametre på kommandoer, skal du være opmærksom på, at parametre håndteres baseret på en fast rækkefølge:
<command name> param1 param2
Når du angiver parametre uden for den faste rækkefølge, skal du angive navnet på parameteren med en bindestreg, før du angiver værdien:
<command name> -param2_name param2
Når du bruger kommandoer, der har forudsætningskommandoer, kan du bruge flag:
<command name> -type file -id <file path> - auto
Eller
remediate file <file path> - auto`
Live response understøtter outputtyper i tabel- og JSON-format. Der er en standardfunktionsmåde for output for hver kommando. Du kan ændre outputtet i dit foretrukne outputformat ved hjælp af følgende kommandoer:
-output json
-output table
Bemærk
Der vises færre felter i tabelformat pga. den begrænsede plads. Hvis du vil se flere oplysninger i outputtet, kan du bruge kommandoen JSON-output, så der vises flere oplysninger.
Direkte svar understøtter outputrør til kommandolinjegrænsefladen og filen. Kommandolinjegrænsefladen er standardfunktionsmåden for output. Du kan sende outputtet til en fil ved hjælp af følgende kommando: [command] > [filnavn].txt.
Eksempel:
processes > output.txt
Vælg fanen Kommandolog for at se de kommandoer, der bruges på enheden under en session. Hver kommando spores med komplette oplysninger, f.eks.:
- ID
- Kommandolinjen
- Varighed
- Sidelinje for status og input eller output
- Live-svar-sessioner er begrænset til 25 live-svarsessioner ad gangen.
- Inaktiv timeoutværdi for live-svarsession er 30 minutter.
- Individuelle direkte svar-kommandoer har en tidsgrænse på 10 minutter med undtagelse af
getfile
,findfile
ogrun
, som har en grænse på 30 minutter. - En bruger kan starte op til 10 samtidige sessioner.
- En enhed kan kun være i én session ad gangen.
- Der gælder følgende grænser for filstørrelsen:
getfile
grænse: 3 GBfileinfo
grænse: 30 GBlibrary
grænse: 250 MB
Tip
Vil du vide mere? Engage med Microsoft Security-community'et i vores tech-community: Microsoft Defender for Endpoint Tech Community.