Untersuchen von Entitäten auf Geräten mithilfe einer Liveantwort

Gilt für:

• Microsoft Defender für Endpunkt Plan 2
• Microsoft Defender XDR

Möchten Sie Defender für Endpunkt erfahren? Registrieren Sie sich für eine kostenlose Testversion

Live Response bietet Sicherheitsteams über eine Remoteshellverbindung sofortigen Zugriff auf ein Gerät (auch als Computer bezeichnet). Live Response bietet Ihnen die Möglichkeit, eingehende Untersuchungen durchzuführen und sofortige Reaktionsaktionen zu ergreifen, um identifizierte Bedrohungen in Echtzeit sofort einzudämmen.

Live Response wurde entwickelt, um Untersuchungen zu verbessern, indem Ihr Sicherheitsteam forensische Daten sammeln, Skripts ausführen, verdächtige Entitäten zur Analyse senden, Bedrohungen beseitigen und proaktiv nach neuen Bedrohungen suchen kann.

Mit live response können Analysten alle folgenden Aufgaben ausführen:

• Führen Sie grundlegende und erweiterte Befehle aus, um Ermittlungsarbeiten auf einem Gerät auszuführen.
• Laden Sie Dateien wie Schadsoftwarebeispiele und Ergebnisse von PowerShell-Skripts herunter.
• Laden Sie Dateien im Hintergrund herunter (neu!).
• Laden Sie ein PowerShell-Skript oder eine ausführbare Datei in die Bibliothek hoch, und führen Sie es auf einem Gerät auf Mandantenebene aus.
• Ausführen oder Rückgängigmachen von Korrekturaktionen.

Bevor Sie beginnen:

Bevor Sie eine Sitzung auf einem Gerät initiieren können, stellen Sie sicher, dass Sie die folgenden Anforderungen erfüllen:

• Vergewissern Sie sich, dass Sie eine unterstützte Version von Windows ausführen.

  Auf Geräten muss eine der folgenden Versionen von Windows ausgeführt werden

  • Windows 10 & 11

    • Version 1909 oder höher
    • Version 1903 mit KB4515384
    • Version 1809 (RS 5) mit KB4537818
    • Version 1803 (RS 4) mit KB4537795
    • Version 1709 (RS 3) mit KB4537816

  • macOS : Erforderliche Mindestversion: 101.43.84. Unterstützt für Intel- und ARM-basierte macOS-Geräte.

  • Linux – Erforderliche Mindestversion: 101.45.13

  • Windows Server 2012 R2 mit KB5005292

  • Windows Server 2016 - mit KB5005292

    Hinweis

    Für Windows Server 2012R2 oder 2016 muss der Einheitliche Agent installiert sein, und es wird empfohlen, auf die neueste Sensorversion mit KB5005292 zu patchen.

  • Windows Server 2019

    • Version 1903 oder (mit KB4515384) höher
    • Version 1809 (mit KB4537818)

  • Windows Server 2022

• Aktivieren Sie die Liveantwort auf der Seite mit den erweiterten Einstellungen.

  Sie müssen die Liveantwortfunktion auf der Einstellungsseite Erweiterte Features aktivieren.

  Hinweis

  Nur Administratoren und Benutzer, die über die Berechtigungen "Portaleinstellungen verwalten" verfügen, können Liveantworten aktivieren.

• Aktivieren Sie die Liveantwort für Server über die Seite mit den erweiterten Einstellungen (empfohlen).

  Hinweis

  Nur Administratoren und Benutzer, die über die Berechtigungen "Portaleinstellungen verwalten" verfügen, können Liveantworten aktivieren.

• Aktivieren Sie die Ausführung von Liveantwortskripts ohne Vorzeichen (optional).

  Wichtig

  Die Signaturüberprüfung gilt nur für PowerShell-Skripts.

  Warnung

  Wenn Sie die Verwendung von nicht signierten Skripts zulassen, kann dies ihre Bedrohungen erhöhen.

  Das Ausführen von nicht signierten Skripts wird nicht empfohlen, da dies die Bedrohungsgefährdung erhöhen kann. Wenn Sie sie jedoch verwenden müssen, müssen Sie die Einstellung auf der Seite Erweiterte Featureseinstellungen aktivieren.

• Stellen Sie sicher, dass Sie über die entsprechenden Berechtigungen verfügen.

  Nur Benutzer, die mit den entsprechenden Berechtigungen bereitgestellt wurden, können eine Sitzung initiieren. Weitere Informationen zu Rollenzuweisungen finden Sie unter Create und Verwalten von Rollen.

  Wichtig

  Die Option zum Hochladen einer Datei in die Bibliothek ist nur für Benutzer mit der Berechtigung "Sicherheitseinstellungen verwalten" verfügbar. Die Schaltfläche ist für Benutzer mit nur delegierten Berechtigungen abgeblendet.

  Abhängig von der Ihnen zugewiesenen Rolle können Sie grundlegende oder erweiterte Liveantwortbefehle ausführen. Benutzerberechtigungen werden von der benutzerdefinierten RBAC-Rolle gesteuert.

Übersicht über live response Dashboard

Wenn Sie eine Liveantwortsitzung auf einem Gerät initiieren, wird eine Dashboard geöffnet. Die Dashboard enthält Informationen zur Sitzung, z. B. die folgenden:

• Wer hat die Sitzung erstellt?
• Zeitpunkt des Sitzungsstarts
• Die Dauer der Sitzung

Die Dashboard bietet Ihnen außerdem Zugriff auf:

• Trennen einer Sitzung
• Hochladen von Dateien in die Bibliothek
• Befehlskonsole
• Befehlsprotokoll

Initiieren einer Liveantwortsitzung auf einem Gerät

Hinweis

Über die Seite Gerät initiierte Liveantwortaktionen sind in der machineactions-API nicht verfügbar.

1. Melden Sie sich beim Microsoft Defender-Portal an.

2. Navigieren Sie zu Endpunkte > Gerätebestand, und wählen Sie ein Gerät aus, das Untersucht werden soll. Die Seite "Geräte" wird geöffnet.

3. Starten Sie die Liveantwortsitzung, indem Sie Liveantwortsitzung initiieren auswählen. Eine Befehlskonsole wird angezeigt. Warten Sie, während die Sitzung eine Verbindung mit dem Gerät herstellt.

4. Verwenden Sie die integrierten Befehle, um Ermittlungen auszuführen. Weitere Informationen finden Sie unter Liveantwortbefehle.

5. Wählen Sie nach Abschluss der Untersuchung Sitzung trennen und dann Bestätigen aus.

Live-Antwortbefehle

Abhängig von der Ihnen zugewiesenen Rolle können Sie grundlegende oder erweiterte Liveantwortbefehle ausführen. Benutzerberechtigungen werden durch benutzerdefinierte RBAC-Rollen gesteuert. Weitere Informationen zu Rollenzuweisungen finden Sie unter Create und Verwalten von Rollen.

Hinweis

Die Liveantwort ist eine cloudbasierte interaktive Shell. Daher kann eine bestimmte Befehlserfahrung je nach Netzwerkqualität und Systemauslastung zwischen dem Endbenutzer und dem Zielgerät in der Antwortzeit variieren.

Grundlegende Befehle

Die folgenden Befehle sind für Benutzerrollen verfügbar, denen die Möglichkeit gewährt wird, grundlegende Live-Antwortbefehle auszuführen. Weitere Informationen zu Rollenzuweisungen finden Sie unter Create und Verwalten von Rollen.

Befehl	Beschreibung	Windows und Windows Server	macOS	Linux
cd	Ändert das aktuelle Verzeichnis.	v	v	v
cls	Löscht den Konsolenbildschirm.	v	v	v
connect	Initiiert eine Liveantwortsitzung für das Gerät.	v	v	v
connections	Zeigt alle aktiven Verbindungen an.	J	N	N
dir	Zeigt eine Liste der Dateien und Unterverzeichnisse in einem Verzeichnis an.	v	v	v
drivers	Zeigt alle auf dem Gerät installierten Treiber an.	J	N	N
fg <command ID>	Platzieren Sie den angegebenen Auftrag im Vordergrund, sodass er der aktuelle Auftrag ist. Beachten Sie, dass fg eine command ID verfügbare aus Aufträgen akzeptiert, keine PID.	v	v	v
fileinfo	Abrufen von Informationen zu einer Datei.	v	v	v
findfile	Sucht Dateien mit einem bestimmten Namen auf dem Gerät.	v	v	v
getfile <file_path>	Lädt eine Datei herunter.	v	v	v
help	Stellt Hilfeinformationen für Liveantwortbefehle bereit.	v	v	v
jobs	Zeigt derzeit ausgeführte Aufträge, deren ID und status an.	v	v	v
persistence	Zeigt alle bekannten Persistenzmethoden auf dem Gerät an.	J	N	N
processes	Zeigt alle Prozesse an, die auf dem Gerät ausgeführt werden.	v	v	v
registry	Zeigt Registrierungswerte an.	J	N	N
scheduledtasks	Zeigt alle geplanten Aufgaben auf dem Gerät an.	J	N	N
services	Zeigt alle Dienste auf dem Gerät an.	J	N	N
startupfolders	Zeigt alle bekannten Dateien in Startordnern auf dem Gerät an.	J	N	N
status	Zeigt den status und die Ausgabe eines bestimmten Befehls an.	v	v	v
trace	Legt den Protokollierungsmodus des Terminals auf debuggen fest.	v	v	v

Erweiterte Befehle

Die folgenden Befehle sind für Benutzerrollen verfügbar, denen die Möglichkeit gewährt wird , erweiterte Liveantwortbefehle auszuführen. Weitere Informationen zu Rollenzuweisungen finden Sie unter Create und Verwalten von Rollen.

Befehl	Beschreibung	Windows und Windows Server	macOS	Linux
analyze	Analysiert die Entität mit verschiedenen Inkriminations-Engines, um zu einem Urteil zu gelangen.	J	N	N
collect	Sammelt forensische Pakete vom Gerät.	N	J	v
isolate	Trennt das Gerät vom Netzwerk, während die Konnektivität mit dem Defender für Endpunkt-Dienst beibehalten wird.	N	J	N
release	Gibt ein Gerät aus der Netzwerkisolation frei.	N	J	N
run	Führt ein PowerShell-Skript aus der Bibliothek auf dem Gerät aus.	v	v	v
library	Listen Dateien, die in die Liveantwortbibliothek hochgeladen wurden.	v	v	v
putfile	Fügt eine Datei aus der Bibliothek auf dem Gerät ab. Dateien werden in einem Arbeitsordner gespeichert und gelöscht, wenn das Gerät standardmäßig neu gestartet wird.	v	v	v
remediate	Bereinigt eine Entität auf dem Gerät. Die Wartungsaktion variiert je nach Entitätstyp: - Datei: löschen - Prozess: Beenden, Löschen der Bilddatei - Dienst: Beenden, Löschen der Bilddatei - Registrierungseintrag: löschen - Geplante Aufgabe: entfernen - Startordnerelement: Datei löschen Dieser Befehl verfügt über einen erforderlichen Befehl. Sie können den -auto Befehl in Verbindung mit remediate verwenden, um den erforderlichen Befehl automatisch auszuführen.	v	v	v
scan	Führt eine schnelle Antivirenüberprüfung aus, um Schadsoftware zu identifizieren und zu beheben.	N	J	v
undo	Stellt eine Entität wieder her, die wiederhergestellt wurde.	J	N	N

Hinweis

Die folgenden Dateigrößenbeschränkungen gelten für putfile Liveantwortbefehle:

• Windows: 300 MB
• Andere Plattformen: 10 MB

Verwenden von Liveantwortbefehlen

Die Befehle, die Sie in der Konsole verwenden können, folgen ähnlichen Prinzipien wie Windows-Befehle.

Die erweiterten Befehle bieten einen stabileren Satz von Aktionen, mit denen Sie leistungsfähigere Aktionen ausführen können, z. B. das Herunterladen und Hochladen einer Datei, das Ausführen von Skripts auf dem Gerät und das Ausführen von Korrekturmaßnahmen für eine Entität.

Abrufen einer Datei vom Gerät

Für Szenarien, in dem Sie eine Datei von einem Gerät abrufen möchten, das Sie untersuchen, können Sie den getfile Befehl verwenden. Auf diese Weise können Sie die Datei zur weiteren Untersuchung vom Gerät speichern.

Hinweis

Es gelten die folgenden Dateigrößenbeschränkungen:

• getfile Limit: 3 GB
• fileinfo Limit: 30 GB
• library Limit: 250 MB

Herunterladen einer Datei im Hintergrund

Damit Ihr Sicherheitsteam weiterhin ein betroffenes Gerät untersuchen kann, können Dateien jetzt im Hintergrund heruntergeladen werden.

• Um eine Datei im Hintergrund herunterzuladen, geben Sie in der Liveantwortbefehlskonsole ein download <file_path> &.
• Wenn Sie darauf warten, dass eine Datei heruntergeladen wird, können Sie sie mit STRG+Z in den Hintergrund verschieben.
• Um einen Dateidownload in den Vordergrund zu bringen, geben Sie in der Liveantwortbefehlskonsole ein fg <command_id>.

Hier sind einige Beispiele:

Befehl	Funktion der Einstellung
getfile "C:\windows\some_file.exe" &	Startet das Herunterladen einer Datei namens some_file.exe im Hintergrund.
fg 1234	Gibt einen Download mit der Befehls-ID 1234 im Vordergrund zurück.

Speichern einer Datei in der Bibliothek

Die Liveantwort verfügt über eine Bibliothek, in die Sie Dateien einfügen können. Die Bibliothek speichert Dateien (z. B. Skripts), die in einer Liveantwortsitzung auf Mandantenebene ausgeführt werden können.

Die Liveantwort ermöglicht die Ausführung von PowerShell-Skripts. Sie müssen die Dateien jedoch zuerst in die Bibliothek einfügen, bevor Sie sie ausführen können.

Sie können über eine Sammlung von PowerShell-Skripts verfügen, die auf Geräten ausgeführt werden können, mit denen Sie Liveantwortsitzungen initiieren.

So laden Sie eine Datei in die Bibliothek hoch

1. Klicken Sie auf Datei in Bibliothek hochladen.

2. Klicken Sie auf Durchsuchen , und wählen Sie die Datei aus.

3. Geben Sie eine kurze Beschreibung an.

4. Geben Sie an, ob Sie eine Datei mit demselben Namen überschreiben möchten.

5. Wenn Sie wissen möchten, welche Parameter für das Skript erforderlich sind, aktivieren Sie das Kontrollkästchen Skriptparameter. Geben Sie im Textfeld ein Beispiel und eine Beschreibung ein.

6. Klicken Sie auf Bestätigen.

7. (Optional) Führen Sie den Befehl aus, um zu überprüfen, ob die library Datei in die Bibliothek hochgeladen wurde.

Abbrechen eines Befehls

Sie können einen Befehl jederzeit während einer Sitzung abbrechen, indem Sie STRG+C drücken.

Warnung

Wenn Sie diese Verknüpfung verwenden, wird der Befehl auf der Agent-Seite nicht beendet. Es wird nur der Befehl im Portal abgebrochen. Daher können Änderungsvorgänge wie "remediate" fortgesetzt werden, während der Befehl abgebrochen wird.

Ausführen eines Skripts

Bevor Sie ein PowerShell-/Bash-Skript ausführen können, müssen Sie es zuerst in die Bibliothek hochladen.

Verwenden Sie nach dem Hochladen des Skripts in die Bibliothek den run Befehl, um das Skript auszuführen.

Wenn Sie planen, ein nicht signiertes PowerShell-Skript in der Sitzung zu verwenden, müssen Sie die Einstellung auf der Seite Erweiterte Featureseinstellungen aktivieren.

Warnung

Wenn Sie die Verwendung von nicht signierten Skripts zulassen, kann dies ihre Bedrohungen erhöhen.

Anwenden von Befehlsparametern

• Informationen zu Befehlsparametern finden Sie in der Konsolenhilfe. Um mehr über einen einzelnen Befehl zu erfahren, führen Sie Folgendes aus:

  help <command name>
  

• Beachten Sie beim Anwenden von Parametern auf Befehle, dass Parameter basierend auf einer festen Reihenfolge behandelt werden:

  <command name> param1 param2
  

• Geben Sie beim Angeben von Parametern außerhalb der festen Reihenfolge den Namen des Parameters mit einem Bindestrich an, bevor Sie den Wert angeben:

  <command name> -param2_name param2
  

• Wenn Sie Befehle verwenden, die über erforderliche Befehle verfügen, können Sie Flags verwenden:

  <command name> -type file -id <file path> - auto
  

  oder

  remediate file <file path> - auto`
  

Unterstützte Ausgabetypen

Die Liveantwort unterstützt Ausgabetypen im Tabellen- und JSON-Format. Für jeden Befehl gibt es ein Standardausgabeverhalten. Sie können die Ausgabe in Ihrem bevorzugten Ausgabeformat mit den folgenden Befehlen ändern:

• -output json
• -output table

Hinweis

Aufgrund des begrenzten Platzes werden weniger Felder im Tabellenformat angezeigt. Um weitere Details in der Ausgabe anzuzeigen, können Sie den JSON-Ausgabebefehl verwenden, damit weitere Details angezeigt werden.

Unterstützte Ausgabepipes

Die Liveantwort unterstützt die Ausgabepipeline an die CLI und die Datei. Die CLI ist das Standardausgabeverhalten. Sie können die Ausgabe mit dem folgenden Befehl an eine Datei übergeben: [Befehl] > [Dateiname].txt.

Beispiel:

processes > output.txt

Anzeigen des Befehlsprotokolls

Wählen Sie die Registerkarte Befehlsprotokoll aus, um die Befehle anzuzeigen, die während einer Sitzung auf dem Gerät verwendet werden. Jeder Befehl wird mit vollständigen Details nachverfolgt, z. B.:

• ID
• Befehlszeile
• Dauer
• Status- und Eingabe- oder Ausgabeseitenleiste

Begrenzungen

• Live-Antwortsitzungen sind auf 25 Liveantwortsitzungen gleichzeitig beschränkt.
• Der Inaktive Timeoutwert der Liveantwortsitzung beträgt 30 Minuten.
• Für einzelne Live-Antwortbefehle gilt ein Zeitlimit von 10 Minuten, mit Ausnahme von getfile, findfileund run, für die ein Limit von 30 Minuten gilt.
• Ein Benutzer kann bis zu 10 gleichzeitige Sitzungen initiieren.
• Ein Gerät kann sich jeweils nur in einer Sitzung befinden.
• Es gelten die folgenden Dateigrößenbeschränkungen:
  • getfile Limit: 3 GB
  • fileinfo Limit: 30 GB
  • library Limit: 250 MB

Verwandter Artikel

• Kommandobeispiele für Liveantworten

Tipp

Möchten Sie mehr erfahren? Engage mit der Microsoft-Sicherheitscommunity in unserer Tech Community: Microsoft Defender for Endpoint Tech Community.