Undersøg enheder på enheder ved hjælp af live-svar

Gælder for:

Vil du opleve Defender for Endpoint? Tilmeld dig en gratis prøveversion.

Live response giver teams for sikkerhedshandlinger øjeblikkelig adgang til en enhed (også kaldet en maskine) ved hjælp af en ekstern shellforbindelse. Liverespons giver dig mulighed for at udføre dybdegående undersøgelsesarbejde og reagere øjeblikkeligt for straks at indeholde identificerede trusler i realtid.

Liverespons er designet til at forbedre undersøgelser ved at gøre det muligt for dit team af sikkerhedshandlinger at indsamle tekniske data, køre scripts, sende mistænkelige enheder til analyse, afhjælpe trusler og proaktivt jage efter nye trusler.

Med direkte svar kan analytikere udføre alle følgende opgaver:

  • Kør grundlæggende og avancerede kommandoer for at udføre undersøgelsesarbejde på en enhed.
  • Download filer som malwareeksempler og resultater af PowerShell-scripts.
  • Download filer i baggrunden (ny!).
  • Upload et PowerShell-script eller en eksekverbar fil til biblioteket, og kør det på en enhed fra et lejerniveau.
  • Udfør eller fortryd afhjælpningshandlinger.

Før du begynder

Før du kan starte en session på en enhed, skal du sørge for at opfylde følgende krav:

  • Kontrollér, at du kører en understøttet version af Windows.

    Enheder skal køre en af følgende versioner af Windows

  • Aktivér live-svar fra siden med avancerede indstillinger.

    Du skal aktivere funktionen til direkte svar på siden Avancerede funktioner .

    Bemærk

    Det er kun administratorer og brugere, der har tilladelsen "Administrer portalindstillinger", der kan aktivere direkte svar.

  • Aktivér live-svar for servere fra siden med avancerede indstillinger (anbefales).

    Bemærk

    Det er kun administratorer og brugere, der har tilladelsen "Administrer portalindstillinger", der kan aktivere direkte svar.

  • Aktivér usigneret udførelse af live-svar-script (valgfrit).

    Vigtigt

    Signaturbekræftelse gælder kun for PowerShell-scripts.

    Advarsel!

    Hvis du tillader brugen af usignerede scripts, kan det øge din eksponering over for trusler.

    Kørsel af usignerede scripts anbefales ikke, da det kan øge din eksponering over for trusler. Hvis du skal bruge dem, skal du aktivere indstillingen på siden Avancerede funktioner .

  • Sørg for, at du har de nødvendige tilladelser.

    Det er kun brugere, der er klargjort med de relevante tilladelser, der kan starte en session. Du kan få flere oplysninger om rolletildelinger under Create og administrer roller.

    Vigtigt

    Muligheden for at overføre en fil til biblioteket er kun tilgængelig for brugere med tilladelsen "Administrer sikkerhedsindstillinger". Knappen er nedtonet for brugere, der kun har delegerede tilladelser.

    Afhængigt af den rolle, du har fået tildelt, kan du køre grundlæggende eller avancerede kommandoer til direkte svar. Brugertilladelser styres af den brugerdefinerede rolle RBAC.

Oversigt over dashboard med livebesvaring

Når du starter en live-svarsession på en enhed, åbnes et dashboard. Dashboardet indeholder oplysninger om sessionen, f.eks. følgende:

  • Hvem har oprettet sessionen?
  • Da sessionen startede
  • Sessionens varighed

Dashboardet giver dig også adgang til:

  • Afbryd forbindelsen til session
  • Overfør filer til biblioteket
  • Kommandokonsol
  • Kommandolog

Start en live-svarsession på en enhed

Bemærk

Live response-handlinger, der startes fra enhedssiden, er ikke tilgængelige i machineactions-API'en.

  1. Log på Microsoft Defender portal.

  2. Gå til Slutpunkter Enhedslager, og vælg en enhed, der skal undersøges>. Siden Enheder åbnes.

  3. Start live-svar-sessionen ved at vælge Start live-svar-session. Der vises en kommandokonsol. Vent, mens sessionen opretter forbindelse til enheden.

  4. Brug de indbyggede kommandoer til at udføre undersøgelsesarbejde. Du kan få flere oplysninger under Kommandoer til direkte svar.

  5. Når du har fuldført din undersøgelse, skal du vælge Afbryd session og derefter vælge Bekræft.

Kommandoer til direkte svar

Afhængigt af den rolle, du har fået tildelt, kan du køre grundlæggende eller avancerede kommandoer til direkte svar. Brugertilladelser styres af brugerdefinerede RBAC-roller. Du kan få flere oplysninger om rolletildelinger under Create og administrer roller.

Bemærk

Live response er en cloudbaseret interaktiv shell, da en bestemt kommandooplevelse kan variere i svartiden afhængigt af netværkskvalitet og systembelastning mellem slutbrugeren og destinationsenheden.

Grundlæggende kommandoer

Følgende kommandoer er tilgængelige for brugerroller, der har fået mulighed for at køre grundlæggende kommandoer til direkte svar. Du kan få flere oplysninger om rolletildelinger under Create og administrer roller.

Kommando Beskrivelse Windows og Windows Server Macos Linux
cd Ændrer den aktuelle mappe. Y Y Y
cls Rydder konsolskærmen. Y Y Y
connect Starter en live-svarsession på enheden. Y Y Y
connections Viser alle de aktive forbindelser. Y N N
dir Viser en liste over filer og undermapper i en mappe. Y Y Y
drivers Viser alle de drivere, der er installeret på enheden. Y N N
fg <command ID> Placer det angivne job i forgrunden, hvilket gør det til det aktuelle job. Bemærk, at tager fg en command ID tilgængelig fra job, ikke et PID. Y Y Y
fileinfo Hent oplysninger om en fil. Y Y Y
findfile Angiver filer med et givent navn på enheden. Y Y Y
getfile <file_path> Downloader en fil. Y Y Y
help Indeholder hjælp til kommandoer til direkte svar. Y Y Y
jobs Viser job, der kører i øjeblikket, deres id og status. Y Y Y
persistence Viser alle kendte persistensmetoder på enheden. Y N N
processes Viser alle processer, der kører på enheden. Y Y Y
registry Viser registreringsdatabaseværdier. Y N N
scheduledtasks Viser alle planlagte opgaver på enheden. Y N N
services Viser alle tjenester på enheden. Y N N
startupfolders Viser alle kendte filer i startmapper på enheden. Y N N
status Viser status og output for en bestemt kommando. Y Y Y
trace Angiver terminalens logføringstilstand til fejlfinding. Y Y Y

Avancerede kommandoer

Følgende kommandoer er tilgængelige for brugerroller, der har mulighed for at køre avancerede kommandoer til direkte svar. Du kan få flere oplysninger om rolletildelinger under Create og administrer roller.

Kommando Beskrivelse Windows og Windows Server Macos Linux
analyze Analyserer enheden med forskellige incriminationsmotorer for at nå frem til en dom. Y N N
collect Indsamler kriminaltekniske pakker fra enheden. N Y Y
isolate Afbryder forbindelsen mellem enheden og netværket, samtidig med at forbindelsen til Defender for Endpoint-tjenesten bevares. N Y N
release Frigiver en enhed fra netværksisolation. N Y N
run Kører et PowerShell-script fra biblioteket på enheden. Y Y Y
library Lister filer, der blev overført til biblioteket med live-svar. Y Y Y
putfile Placerer en fil fra biblioteket på enheden. Filer gemmes i en arbejdsmappe og slettes som standard, når enheden genstartes. Y Y Y
remediate Afhjælper en enhed på enheden. Afhjælpningshandlingen varierer afhængigt af objekttypen:
- Fil: slet
- Proces: stop, slet billedfilen
- Tjeneste: stop, slet billedfilen
- Registreringsdatabasepost: slet
- Planlagt opgave: fjern
- Mappeelementet Start: Slet fil

Denne kommando har en forudsætningskommando. Du kan bruge kommandoen -auto sammen med remediate til automatisk at køre den påkrævede kommando.
Y Y Y
scan Kører en hurtig antivirusscanning for at hjælpe med at identificere og afhjælpe malware. N Y Y
undo Gendanner en enhed, der blev afhjælpet. Y N N

Bemærk

Følgende grænser for filstørrelsen gælder for kommandoen live putfile response:

  • Windows: 300 MB
  • Andre platforme: 10 MB

Brug direkte svar-kommandoer

De kommandoer, du kan bruge i konsollen, følger de samme principper som Windows-kommandoer.

De avancerede kommandoer giver dig et mere robust sæt handlinger, der giver dig mulighed for at udføre mere effektive handlinger, f.eks. downloade og uploade en fil, køre scripts på enheden og udføre afhjælpningshandlinger på en enhed.

Hent en fil fra enheden

I forbindelse med scenarier, hvor du gerne vil hente en fil fra en enhed, du undersøger, kan du bruge kommandoen getfile . Dette giver dig mulighed for at gemme filen fra enheden til yderligere undersøgelse.

Bemærk

Der gælder følgende grænser for filstørrelsen:

  • getfile grænse: 3 GB
  • fileinfo grænse: 30 GB
  • library grænse: 250 MB

Download en fil i baggrunden

Hvis du vil gøre det muligt for dit team af sikkerhedshandlinger at fortsætte med at undersøge en påvirket enhed, kan filer nu downloades i baggrunden.

  • Hvis du vil downloade en fil i baggrunden, skal du skrive download <file_path> &i kommandokonsollen med live-svar.
  • Hvis du venter på, at en fil hentes, kan du flytte den til baggrunden ved hjælp af Ctrl + Z.
  • Hvis du vil hente en fil til forgrunden, skal du skrive fg <command_id>i kommandokonsollen med live-svar.

Her er nogle eksempler:

Kommando Hvad gør den?
getfile "C:\windows\some_file.exe" & Starter download af en fil med navnet some_file.exe i baggrunden.
fg 1234 Returnerer en download med kommando-id 1234 til forgrunden.

Placer en fil i biblioteket

Live response har et bibliotek, hvor du kan placere filer i. Biblioteket gemmer filer (f.eks. scripts), der kan køres i en live-svarsession på lejerniveau.

Direkte svar gør det muligt at køre PowerShell-scripts, men du skal først placere filerne i biblioteket, før du kan køre dem.

Du kan have en samling PowerShell-scripts, der kan køre på enheder, som du starter live-svarsessioner med.

Sådan overfører du en fil i biblioteket

  1. Klik på Overfør fil til bibliotek.

  2. Klik på Gennemse , og vælg filen.

  3. Angiv en kort beskrivelse.

  4. Angiv, om du vil overskrive en fil med det samme navn.

  5. Hvis du gerne vil være, skal du vide, hvilke parametre der er nødvendige for scriptet, og markere afkrydsningsfeltet scriptparametre. Angiv et eksempel og en beskrivelse i tekstfeltet.

  6. Klik på Bekræft.

  7. (Valgfrit) Kør kommandoen for at bekræfte, at filen blev overført til biblioteket library .

Annuller en kommando

Når som helst under en session kan du annullere en kommando ved at trykke på Ctrl + C.

Advarsel!

Hvis du bruger denne genvej, stopper kommandoen ikke på agentsiden. Kommandoen i portalen annulleres kun. Derfor kan du fortsætte med at ændre handlinger, f.eks. "remediate", mens kommandoen annulleres.

Kør et script

Før du kan køre et PowerShell/Bash-script, skal du først uploade det til biblioteket.

Når du har overført scriptet til biblioteket, skal du bruge run kommandoen til at køre scriptet.

Hvis du planlægger at bruge et PowerShell-script uden fortegn i sessionen, skal du aktivere indstillingen på siden Avancerede funktioner .

Advarsel!

Hvis du tillader brugen af usignerede scripts, kan det øge din eksponering over for trusler.

Anvend kommandoparametre

  • Få vist hjælp til konsollen for at få mere at vide om kommandoparametre. Hvis du vil vide mere om en enkelt kommando, skal du køre:

    help <command name>
    
  • Når du anvender parametre på kommandoer, skal du være opmærksom på, at parametre håndteres baseret på en fast rækkefølge:

    <command name> param1 param2
    
  • Når du angiver parametre uden for den faste rækkefølge, skal du angive navnet på parameteren med en bindestreg, før du angiver værdien:

    <command name> -param2_name param2
    
  • Når du bruger kommandoer, der har forudsætningskommandoer, kan du bruge flag:

    <command name> -type file -id <file path> - auto
    

    Eller

    remediate file <file path> - auto`
    

Understøttede outputtyper

Live response understøtter outputtyper i tabel- og JSON-format. Der er en standardfunktionsmåde for output for hver kommando. Du kan ændre outputtet i dit foretrukne outputformat ved hjælp af følgende kommandoer:

  • -output json
  • -output table

Bemærk

Der vises færre felter i tabelformat pga. den begrænsede plads. Hvis du vil se flere oplysninger i outputtet, kan du bruge kommandoen JSON-output, så der vises flere oplysninger.

Understøttede outputpiber

Direkte svar understøtter outputrør til kommandolinjegrænsefladen og filen. Kommandolinjegrænsefladen er standardfunktionsmåden for output. Du kan sende outputtet til en fil ved hjælp af følgende kommando: [command] > [filnavn].txt.

Eksempel:

processes > output.txt

Vis kommandologgen

Vælg fanen Kommandolog for at se de kommandoer, der bruges på enheden under en session. Hver kommando spores med komplette oplysninger, f.eks.:

  • ID
  • Kommandolinjen
  • Varighed
  • Sidelinje for status og input eller output

Begrænsninger

  • Live-svar-sessioner er begrænset til 25 live-svarsessioner ad gangen.
  • Inaktiv timeoutværdi for live-svarsession er 30 minutter.
  • Individuelle direkte svar-kommandoer har en tidsgrænse på 10 minutter med undtagelse af getfile, findfileog run, som har en grænse på 30 minutter.
  • En bruger kan starte op til 10 samtidige sessioner.
  • En enhed kan kun være i én session ad gangen.
  • Der gælder følgende grænser for filstørrelsen:
    • getfile grænse: 3 GB
    • fileinfo grænse: 30 GB
    • library grænse: 250 MB

Relateret artikel

Tip

Vil du vide mere? Engage med Microsoft Security-community'et i vores tech-community: Microsoft Defender for Endpoint Tech Community.