Teilen über


Untersuchen von Entitäten auf Geräten mithilfe einer Liveantwort

Gilt für:

Möchten Sie Defender für Endpunkt erfahren? Registrieren Sie sich für eine kostenlose Testversion

Live Response bietet Sicherheitsteams über eine Remoteshellverbindung sofortigen Zugriff auf ein Gerät (auch als Computer bezeichnet). Live Response bietet Ihnen die Möglichkeit, eingehende Untersuchungen durchzuführen und sofortige Reaktionsaktionen zu ergreifen, um identifizierte Bedrohungen in Echtzeit sofort einzudämmen.

Live Response wurde entwickelt, um Untersuchungen zu verbessern, indem Ihr Sicherheitsteam forensische Daten sammeln, Skripts ausführen, verdächtige Entitäten zur Analyse senden, Bedrohungen beseitigen und proaktiv nach neuen Bedrohungen suchen kann.

Mit live response können Analysten alle folgenden Aufgaben ausführen:

  • Führen Sie grundlegende und erweiterte Befehle aus, um Ermittlungsarbeiten auf einem Gerät auszuführen.
  • Laden Sie Dateien wie Schadsoftwarebeispiele und Ergebnisse von PowerShell-Skripts herunter.
  • Laden Sie Dateien im Hintergrund herunter (neu!).
  • Laden Sie ein PowerShell-Skript oder eine ausführbare Datei in die Bibliothek hoch, und führen Sie es auf einem Gerät auf Mandantenebene aus.
  • Ausführen oder Rückgängigmachen von Korrekturaktionen.

Bevor Sie beginnen:

Bevor Sie eine Sitzung auf einem Gerät initiieren können, stellen Sie sicher, dass Sie die folgenden Anforderungen erfüllen:

  • Vergewissern Sie sich, dass Sie eine unterstützte Version von Windows ausführen.

    Auf Geräten muss eine der folgenden Versionen von Windows ausgeführt werden

  • Aktivieren Sie die Liveantwort auf der Seite mit den erweiterten Einstellungen.

    Sie müssen die Liveantwortfunktion auf der Einstellungsseite Erweiterte Features aktivieren.

    Hinweis

    Nur Administratoren und Benutzer, die über die Berechtigungen "Portaleinstellungen verwalten" verfügen, können Liveantworten aktivieren.

  • Aktivieren Sie die Liveantwort für Server über die Seite mit den erweiterten Einstellungen (empfohlen).

    Hinweis

    Nur Administratoren und Benutzer, die über die Berechtigungen "Portaleinstellungen verwalten" verfügen, können Liveantworten aktivieren.

  • Aktivieren Sie die Ausführung von Liveantwortskripts ohne Vorzeichen (optional).

    Wichtig

    Die Signaturüberprüfung gilt nur für PowerShell-Skripts.

    Warnung

    Wenn Sie die Verwendung von nicht signierten Skripts zulassen, kann dies ihre Bedrohungen erhöhen.

    Das Ausführen von nicht signierten Skripts wird nicht empfohlen, da dies die Bedrohungsgefährdung erhöhen kann. Wenn Sie sie jedoch verwenden müssen, müssen Sie die Einstellung auf der Seite Erweiterte Featureseinstellungen aktivieren.

  • Stellen Sie sicher, dass Sie über die entsprechenden Berechtigungen verfügen.

    Nur Benutzer, die mit den entsprechenden Berechtigungen bereitgestellt wurden, können eine Sitzung initiieren. Weitere Informationen zu Rollenzuweisungen finden Sie unter Create und Verwalten von Rollen.

    Wichtig

    Die Option zum Hochladen einer Datei in die Bibliothek ist nur für Benutzer mit der Berechtigung "Sicherheitseinstellungen verwalten" verfügbar. Die Schaltfläche ist für Benutzer mit nur delegierten Berechtigungen abgeblendet.

    Abhängig von der Ihnen zugewiesenen Rolle können Sie grundlegende oder erweiterte Liveantwortbefehle ausführen. Benutzerberechtigungen werden von der benutzerdefinierten RBAC-Rolle gesteuert.

Übersicht über live response Dashboard

Wenn Sie eine Liveantwortsitzung auf einem Gerät initiieren, wird eine Dashboard geöffnet. Die Dashboard enthält Informationen zur Sitzung, z. B. die folgenden:

  • Wer hat die Sitzung erstellt?
  • Zeitpunkt des Sitzungsstarts
  • Die Dauer der Sitzung

Die Dashboard bietet Ihnen außerdem Zugriff auf:

  • Trennen einer Sitzung
  • Hochladen von Dateien in die Bibliothek
  • Befehlskonsole
  • Befehlsprotokoll

Initiieren einer Liveantwortsitzung auf einem Gerät

Hinweis

Über die Seite Gerät initiierte Liveantwortaktionen sind in der machineactions-API nicht verfügbar.

  1. Melden Sie sich beim Microsoft Defender-Portal an.

  2. Navigieren Sie zu Endpunkte > Gerätebestand, und wählen Sie ein Gerät aus, das Untersucht werden soll. Die Seite "Geräte" wird geöffnet.

  3. Starten Sie die Liveantwortsitzung, indem Sie Liveantwortsitzung initiieren auswählen. Eine Befehlskonsole wird angezeigt. Warten Sie, während die Sitzung eine Verbindung mit dem Gerät herstellt.

  4. Verwenden Sie die integrierten Befehle, um Ermittlungen auszuführen. Weitere Informationen finden Sie unter Liveantwortbefehle.

  5. Wählen Sie nach Abschluss der Untersuchung Sitzung trennen und dann Bestätigen aus.

Live-Antwortbefehle

Abhängig von der Ihnen zugewiesenen Rolle können Sie grundlegende oder erweiterte Liveantwortbefehle ausführen. Benutzerberechtigungen werden durch benutzerdefinierte RBAC-Rollen gesteuert. Weitere Informationen zu Rollenzuweisungen finden Sie unter Create und Verwalten von Rollen.

Hinweis

Die Liveantwort ist eine cloudbasierte interaktive Shell. Daher kann eine bestimmte Befehlserfahrung je nach Netzwerkqualität und Systemauslastung zwischen dem Endbenutzer und dem Zielgerät in der Antwortzeit variieren.

Grundlegende Befehle

Die folgenden Befehle sind für Benutzerrollen verfügbar, denen die Möglichkeit gewährt wird, grundlegende Live-Antwortbefehle auszuführen. Weitere Informationen zu Rollenzuweisungen finden Sie unter Create und Verwalten von Rollen.

Befehl Beschreibung Windows und Windows Server macOS Linux
cd Ändert das aktuelle Verzeichnis. v v v
cls Löscht den Konsolenbildschirm. v v v
connect Initiiert eine Liveantwortsitzung für das Gerät. v v v
connections Zeigt alle aktiven Verbindungen an. J N N
dir Zeigt eine Liste der Dateien und Unterverzeichnisse in einem Verzeichnis an. v v v
drivers Zeigt alle auf dem Gerät installierten Treiber an. J N N
fg <command ID> Platzieren Sie den angegebenen Auftrag im Vordergrund, sodass er der aktuelle Auftrag ist. Beachten Sie, dass fg eine command ID verfügbare aus Aufträgen akzeptiert, keine PID. v v v
fileinfo Abrufen von Informationen zu einer Datei. v v v
findfile Sucht Dateien mit einem bestimmten Namen auf dem Gerät. v v v
getfile <file_path> Lädt eine Datei herunter. v v v
help Stellt Hilfeinformationen für Liveantwortbefehle bereit. v v v
jobs Zeigt derzeit ausgeführte Aufträge, deren ID und status an. v v v
persistence Zeigt alle bekannten Persistenzmethoden auf dem Gerät an. J N N
processes Zeigt alle Prozesse an, die auf dem Gerät ausgeführt werden. v v v
registry Zeigt Registrierungswerte an. J N N
scheduledtasks Zeigt alle geplanten Aufgaben auf dem Gerät an. J N N
services Zeigt alle Dienste auf dem Gerät an. J N N
startupfolders Zeigt alle bekannten Dateien in Startordnern auf dem Gerät an. J N N
status Zeigt den status und die Ausgabe eines bestimmten Befehls an. v v v
trace Legt den Protokollierungsmodus des Terminals auf debuggen fest. v v v

Erweiterte Befehle

Die folgenden Befehle sind für Benutzerrollen verfügbar, denen die Möglichkeit gewährt wird , erweiterte Liveantwortbefehle auszuführen. Weitere Informationen zu Rollenzuweisungen finden Sie unter Create und Verwalten von Rollen.

Befehl Beschreibung Windows und Windows Server macOS Linux
analyze Analysiert die Entität mit verschiedenen Inkriminations-Engines, um zu einem Urteil zu gelangen. J N N
collect Sammelt forensische Pakete vom Gerät. N J v
isolate Trennt das Gerät vom Netzwerk, während die Konnektivität mit dem Defender für Endpunkt-Dienst beibehalten wird. N J N
release Gibt ein Gerät aus der Netzwerkisolation frei. N J N
run Führt ein PowerShell-Skript aus der Bibliothek auf dem Gerät aus. v v v
library Listen Dateien, die in die Liveantwortbibliothek hochgeladen wurden. v v v
putfile Fügt eine Datei aus der Bibliothek auf dem Gerät ab. Dateien werden in einem Arbeitsordner gespeichert und gelöscht, wenn das Gerät standardmäßig neu gestartet wird. v v v
remediate Bereinigt eine Entität auf dem Gerät. Die Wartungsaktion variiert je nach Entitätstyp:
- Datei: löschen
- Prozess: Beenden, Löschen der Bilddatei
- Dienst: Beenden, Löschen der Bilddatei
- Registrierungseintrag: löschen
- Geplante Aufgabe: entfernen
- Startordnerelement: Datei löschen

Dieser Befehl verfügt über einen erforderlichen Befehl. Sie können den -auto Befehl in Verbindung mit remediate verwenden, um den erforderlichen Befehl automatisch auszuführen.
v v v
scan Führt eine schnelle Antivirenüberprüfung aus, um Schadsoftware zu identifizieren und zu beheben. N J v
undo Stellt eine Entität wieder her, die wiederhergestellt wurde. J N N

Hinweis

Die folgenden Dateigrößenbeschränkungen gelten für putfile Liveantwortbefehle:

  • Windows: 300 MB
  • Andere Plattformen: 10 MB

Verwenden von Liveantwortbefehlen

Die Befehle, die Sie in der Konsole verwenden können, folgen ähnlichen Prinzipien wie Windows-Befehle.

Die erweiterten Befehle bieten einen stabileren Satz von Aktionen, mit denen Sie leistungsfähigere Aktionen ausführen können, z. B. das Herunterladen und Hochladen einer Datei, das Ausführen von Skripts auf dem Gerät und das Ausführen von Korrekturmaßnahmen für eine Entität.

Abrufen einer Datei vom Gerät

Für Szenarien, in dem Sie eine Datei von einem Gerät abrufen möchten, das Sie untersuchen, können Sie den getfile Befehl verwenden. Auf diese Weise können Sie die Datei zur weiteren Untersuchung vom Gerät speichern.

Hinweis

Es gelten die folgenden Dateigrößenbeschränkungen:

  • getfile Limit: 3 GB
  • fileinfo Limit: 30 GB
  • library Limit: 250 MB

Herunterladen einer Datei im Hintergrund

Damit Ihr Sicherheitsteam weiterhin ein betroffenes Gerät untersuchen kann, können Dateien jetzt im Hintergrund heruntergeladen werden.

  • Um eine Datei im Hintergrund herunterzuladen, geben Sie in der Liveantwortbefehlskonsole ein download <file_path> &.
  • Wenn Sie darauf warten, dass eine Datei heruntergeladen wird, können Sie sie mit STRG+Z in den Hintergrund verschieben.
  • Um einen Dateidownload in den Vordergrund zu bringen, geben Sie in der Liveantwortbefehlskonsole ein fg <command_id>.

Hier sind einige Beispiele:

Befehl Funktion der Einstellung
getfile "C:\windows\some_file.exe" & Startet das Herunterladen einer Datei namens some_file.exe im Hintergrund.
fg 1234 Gibt einen Download mit der Befehls-ID 1234 im Vordergrund zurück.

Speichern einer Datei in der Bibliothek

Die Liveantwort verfügt über eine Bibliothek, in die Sie Dateien einfügen können. Die Bibliothek speichert Dateien (z. B. Skripts), die in einer Liveantwortsitzung auf Mandantenebene ausgeführt werden können.

Die Liveantwort ermöglicht die Ausführung von PowerShell-Skripts. Sie müssen die Dateien jedoch zuerst in die Bibliothek einfügen, bevor Sie sie ausführen können.

Sie können über eine Sammlung von PowerShell-Skripts verfügen, die auf Geräten ausgeführt werden können, mit denen Sie Liveantwortsitzungen initiieren.

So laden Sie eine Datei in die Bibliothek hoch

  1. Klicken Sie auf Datei in Bibliothek hochladen.

  2. Klicken Sie auf Durchsuchen , und wählen Sie die Datei aus.

  3. Geben Sie eine kurze Beschreibung an.

  4. Geben Sie an, ob Sie eine Datei mit demselben Namen überschreiben möchten.

  5. Wenn Sie wissen möchten, welche Parameter für das Skript erforderlich sind, aktivieren Sie das Kontrollkästchen Skriptparameter. Geben Sie im Textfeld ein Beispiel und eine Beschreibung ein.

  6. Klicken Sie auf Bestätigen.

  7. (Optional) Führen Sie den Befehl aus, um zu überprüfen, ob die library Datei in die Bibliothek hochgeladen wurde.

Abbrechen eines Befehls

Sie können einen Befehl jederzeit während einer Sitzung abbrechen, indem Sie STRG+C drücken.

Warnung

Wenn Sie diese Verknüpfung verwenden, wird der Befehl auf der Agent-Seite nicht beendet. Es wird nur der Befehl im Portal abgebrochen. Daher können Änderungsvorgänge wie "remediate" fortgesetzt werden, während der Befehl abgebrochen wird.

Ausführen eines Skripts

Bevor Sie ein PowerShell-/Bash-Skript ausführen können, müssen Sie es zuerst in die Bibliothek hochladen.

Verwenden Sie nach dem Hochladen des Skripts in die Bibliothek den run Befehl, um das Skript auszuführen.

Wenn Sie planen, ein nicht signiertes PowerShell-Skript in der Sitzung zu verwenden, müssen Sie die Einstellung auf der Seite Erweiterte Featureseinstellungen aktivieren.

Warnung

Wenn Sie die Verwendung von nicht signierten Skripts zulassen, kann dies ihre Bedrohungen erhöhen.

Anwenden von Befehlsparametern

  • Informationen zu Befehlsparametern finden Sie in der Konsolenhilfe. Um mehr über einen einzelnen Befehl zu erfahren, führen Sie Folgendes aus:

    help <command name>
    
  • Beachten Sie beim Anwenden von Parametern auf Befehle, dass Parameter basierend auf einer festen Reihenfolge behandelt werden:

    <command name> param1 param2
    
  • Geben Sie beim Angeben von Parametern außerhalb der festen Reihenfolge den Namen des Parameters mit einem Bindestrich an, bevor Sie den Wert angeben:

    <command name> -param2_name param2
    
  • Wenn Sie Befehle verwenden, die über erforderliche Befehle verfügen, können Sie Flags verwenden:

    <command name> -type file -id <file path> - auto
    

    oder

    remediate file <file path> - auto`
    

Unterstützte Ausgabetypen

Die Liveantwort unterstützt Ausgabetypen im Tabellen- und JSON-Format. Für jeden Befehl gibt es ein Standardausgabeverhalten. Sie können die Ausgabe in Ihrem bevorzugten Ausgabeformat mit den folgenden Befehlen ändern:

  • -output json
  • -output table

Hinweis

Aufgrund des begrenzten Platzes werden weniger Felder im Tabellenformat angezeigt. Um weitere Details in der Ausgabe anzuzeigen, können Sie den JSON-Ausgabebefehl verwenden, damit weitere Details angezeigt werden.

Unterstützte Ausgabepipes

Die Liveantwort unterstützt die Ausgabepipeline an die CLI und die Datei. Die CLI ist das Standardausgabeverhalten. Sie können die Ausgabe mit dem folgenden Befehl an eine Datei übergeben: [Befehl] > [Dateiname].txt.

Beispiel:

processes > output.txt

Anzeigen des Befehlsprotokolls

Wählen Sie die Registerkarte Befehlsprotokoll aus, um die Befehle anzuzeigen, die während einer Sitzung auf dem Gerät verwendet werden. Jeder Befehl wird mit vollständigen Details nachverfolgt, z. B.:

  • ID
  • Befehlszeile
  • Dauer
  • Status- und Eingabe- oder Ausgabeseitenleiste

Begrenzungen

  • Live-Antwortsitzungen sind auf 25 Liveantwortsitzungen gleichzeitig beschränkt.
  • Der Inaktive Timeoutwert der Liveantwortsitzung beträgt 30 Minuten.
  • Für einzelne Live-Antwortbefehle gilt ein Zeitlimit von 10 Minuten, mit Ausnahme von getfile, findfileund run, für die ein Limit von 30 Minuten gilt.
  • Ein Benutzer kann bis zu 10 gleichzeitige Sitzungen initiieren.
  • Ein Gerät kann sich jeweils nur in einer Sitzung befinden.
  • Es gelten die folgenden Dateigrößenbeschränkungen:
    • getfile Limit: 3 GB
    • fileinfo Limit: 30 GB
    • library Limit: 250 MB

Verwandter Artikel

Tipp

Möchten Sie mehr erfahren? Engage mit der Microsoft-Sicherheitscommunity in unserer Tech Community: Microsoft Defender for Endpoint Tech Community.