Untersuchen von Entitäten auf Geräten mithilfe einer Liveantwort
Gilt für:
Möchten Sie Defender für Endpunkt erfahren? Registrieren Sie sich für eine kostenlose Testversion
Live Response bietet Sicherheitsteams über eine Remoteshellverbindung sofortigen Zugriff auf ein Gerät (auch als Computer bezeichnet). Live Response bietet Ihnen die Möglichkeit, eingehende Untersuchungen durchzuführen und sofortige Reaktionsaktionen zu ergreifen, um identifizierte Bedrohungen in Echtzeit sofort einzudämmen.
Live Response wurde entwickelt, um Untersuchungen zu verbessern, indem Ihr Sicherheitsteam forensische Daten sammeln, Skripts ausführen, verdächtige Entitäten zur Analyse senden, Bedrohungen beseitigen und proaktiv nach neuen Bedrohungen suchen kann.
Mit live response können Analysten alle folgenden Aufgaben ausführen:
- Führen Sie grundlegende und erweiterte Befehle aus, um Ermittlungsarbeiten auf einem Gerät auszuführen.
- Laden Sie Dateien wie Schadsoftwarebeispiele und Ergebnisse von PowerShell-Skripts herunter.
- Laden Sie Dateien im Hintergrund herunter (neu!).
- Laden Sie ein PowerShell-Skript oder eine ausführbare Datei in die Bibliothek hoch, und führen Sie es auf einem Gerät auf Mandantenebene aus.
- Ausführen oder Rückgängigmachen von Korrekturaktionen.
Bevor Sie eine Sitzung auf einem Gerät initiieren können, stellen Sie sicher, dass Sie die folgenden Anforderungen erfüllen:
Vergewissern Sie sich, dass Sie eine unterstützte Version von Windows ausführen.
Auf Geräten muss eine der folgenden Versionen von Windows ausgeführt werden
Windows 10 & 11
- Version 1909 oder höher
- Version 1903 mit KB4515384
- Version 1809 (RS 5) mit KB4537818
- Version 1803 (RS 4) mit KB4537795
- Version 1709 (RS 3) mit KB4537816
macOS : Erforderliche Mindestversion: 101.43.84. Unterstützt für Intel- und ARM-basierte macOS-Geräte.
Linux – Erforderliche Mindestversion: 101.45.13
Windows Server 2012 R2 mit KB5005292
Windows Server 2016 - mit KB5005292
Hinweis
Für Windows Server 2012R2 oder 2016 muss der Einheitliche Agent installiert sein, und es wird empfohlen, auf die neueste Sensorversion mit KB5005292 zu patchen.
Windows Server 2019
Windows Server 2022
Aktivieren Sie die Liveantwort auf der Seite mit den erweiterten Einstellungen.
Sie müssen die Liveantwortfunktion auf der Einstellungsseite Erweiterte Features aktivieren.
Hinweis
Nur Administratoren und Benutzer, die über die Berechtigungen "Portaleinstellungen verwalten" verfügen, können Liveantworten aktivieren.
Aktivieren Sie die Liveantwort für Server über die Seite mit den erweiterten Einstellungen (empfohlen).
Hinweis
Nur Administratoren und Benutzer, die über die Berechtigungen "Portaleinstellungen verwalten" verfügen, können Liveantworten aktivieren.
Aktivieren Sie die Ausführung von Liveantwortskripts ohne Vorzeichen (optional).
Wichtig
Die Signaturüberprüfung gilt nur für PowerShell-Skripts.
Warnung
Wenn Sie die Verwendung von nicht signierten Skripts zulassen, kann dies ihre Bedrohungen erhöhen.
Das Ausführen von nicht signierten Skripts wird nicht empfohlen, da dies die Bedrohungsgefährdung erhöhen kann. Wenn Sie sie jedoch verwenden müssen, müssen Sie die Einstellung auf der Seite Erweiterte Featureseinstellungen aktivieren.
Stellen Sie sicher, dass Sie über die entsprechenden Berechtigungen verfügen.
Nur Benutzer, die mit den entsprechenden Berechtigungen bereitgestellt wurden, können eine Sitzung initiieren. Weitere Informationen zu Rollenzuweisungen finden Sie unter Create und Verwalten von Rollen.
Wichtig
Die Option zum Hochladen einer Datei in die Bibliothek ist nur für Benutzer mit der Berechtigung "Sicherheitseinstellungen verwalten" verfügbar. Die Schaltfläche ist für Benutzer mit nur delegierten Berechtigungen abgeblendet.
Abhängig von der Ihnen zugewiesenen Rolle können Sie grundlegende oder erweiterte Liveantwortbefehle ausführen. Benutzerberechtigungen werden von der benutzerdefinierten RBAC-Rolle gesteuert.
Wenn Sie eine Liveantwortsitzung auf einem Gerät initiieren, wird eine Dashboard geöffnet. Die Dashboard enthält Informationen zur Sitzung, z. B. die folgenden:
- Wer hat die Sitzung erstellt?
- Zeitpunkt des Sitzungsstarts
- Die Dauer der Sitzung
Die Dashboard bietet Ihnen außerdem Zugriff auf:
- Trennen einer Sitzung
- Hochladen von Dateien in die Bibliothek
- Befehlskonsole
- Befehlsprotokoll
Hinweis
Über die Seite Gerät initiierte Liveantwortaktionen sind in der machineactions-API nicht verfügbar.
Melden Sie sich beim Microsoft Defender-Portal an.
Navigieren Sie zu Endpunkte > Gerätebestand, und wählen Sie ein Gerät aus, das Untersucht werden soll. Die Seite "Geräte" wird geöffnet.
Starten Sie die Liveantwortsitzung, indem Sie Liveantwortsitzung initiieren auswählen. Eine Befehlskonsole wird angezeigt. Warten Sie, während die Sitzung eine Verbindung mit dem Gerät herstellt.
Verwenden Sie die integrierten Befehle, um Ermittlungen auszuführen. Weitere Informationen finden Sie unter Liveantwortbefehle.
Wählen Sie nach Abschluss der Untersuchung Sitzung trennen und dann Bestätigen aus.
Abhängig von der Ihnen zugewiesenen Rolle können Sie grundlegende oder erweiterte Liveantwortbefehle ausführen. Benutzerberechtigungen werden durch benutzerdefinierte RBAC-Rollen gesteuert. Weitere Informationen zu Rollenzuweisungen finden Sie unter Create und Verwalten von Rollen.
Hinweis
Die Liveantwort ist eine cloudbasierte interaktive Shell. Daher kann eine bestimmte Befehlserfahrung je nach Netzwerkqualität und Systemauslastung zwischen dem Endbenutzer und dem Zielgerät in der Antwortzeit variieren.
Die folgenden Befehle sind für Benutzerrollen verfügbar, denen die Möglichkeit gewährt wird, grundlegende Live-Antwortbefehle auszuführen. Weitere Informationen zu Rollenzuweisungen finden Sie unter Create und Verwalten von Rollen.
Befehl | Beschreibung | Windows und Windows Server | macOS | Linux |
---|---|---|---|---|
cd |
Ändert das aktuelle Verzeichnis. | v | v | v |
cls |
Löscht den Konsolenbildschirm. | v | v | v |
connect |
Initiiert eine Liveantwortsitzung für das Gerät. | v | v | v |
connections |
Zeigt alle aktiven Verbindungen an. | J | N | N |
dir |
Zeigt eine Liste der Dateien und Unterverzeichnisse in einem Verzeichnis an. | v | v | v |
drivers |
Zeigt alle auf dem Gerät installierten Treiber an. | J | N | N |
fg <command ID> |
Platzieren Sie den angegebenen Auftrag im Vordergrund, sodass er der aktuelle Auftrag ist. Beachten Sie, dass fg eine command ID verfügbare aus Aufträgen akzeptiert, keine PID. |
v | v | v |
fileinfo |
Abrufen von Informationen zu einer Datei. | v | v | v |
findfile |
Sucht Dateien mit einem bestimmten Namen auf dem Gerät. | v | v | v |
getfile <file_path> |
Lädt eine Datei herunter. | v | v | v |
help |
Stellt Hilfeinformationen für Liveantwortbefehle bereit. | v | v | v |
jobs |
Zeigt derzeit ausgeführte Aufträge, deren ID und status an. | v | v | v |
persistence |
Zeigt alle bekannten Persistenzmethoden auf dem Gerät an. | J | N | N |
processes |
Zeigt alle Prozesse an, die auf dem Gerät ausgeführt werden. | v | v | v |
registry |
Zeigt Registrierungswerte an. | J | N | N |
scheduledtasks |
Zeigt alle geplanten Aufgaben auf dem Gerät an. | J | N | N |
services |
Zeigt alle Dienste auf dem Gerät an. | J | N | N |
startupfolders |
Zeigt alle bekannten Dateien in Startordnern auf dem Gerät an. | J | N | N |
status |
Zeigt den status und die Ausgabe eines bestimmten Befehls an. | v | v | v |
trace |
Legt den Protokollierungsmodus des Terminals auf debuggen fest. | v | v | v |
Die folgenden Befehle sind für Benutzerrollen verfügbar, denen die Möglichkeit gewährt wird , erweiterte Liveantwortbefehle auszuführen. Weitere Informationen zu Rollenzuweisungen finden Sie unter Create und Verwalten von Rollen.
Befehl | Beschreibung | Windows und Windows Server | macOS | Linux |
---|---|---|---|---|
analyze |
Analysiert die Entität mit verschiedenen Inkriminations-Engines, um zu einem Urteil zu gelangen. | J | N | N |
collect |
Sammelt forensische Pakete vom Gerät. | N | J | v |
isolate |
Trennt das Gerät vom Netzwerk, während die Konnektivität mit dem Defender für Endpunkt-Dienst beibehalten wird. | N | J | N |
release |
Gibt ein Gerät aus der Netzwerkisolation frei. | N | J | N |
run |
Führt ein PowerShell-Skript aus der Bibliothek auf dem Gerät aus. | v | v | v |
library |
Listen Dateien, die in die Liveantwortbibliothek hochgeladen wurden. | v | v | v |
putfile |
Fügt eine Datei aus der Bibliothek auf dem Gerät ab. Dateien werden in einem Arbeitsordner gespeichert und gelöscht, wenn das Gerät standardmäßig neu gestartet wird. | v | v | v |
remediate |
Bereinigt eine Entität auf dem Gerät. Die Wartungsaktion variiert je nach Entitätstyp: - Datei: löschen - Prozess: Beenden, Löschen der Bilddatei - Dienst: Beenden, Löschen der Bilddatei - Registrierungseintrag: löschen - Geplante Aufgabe: entfernen - Startordnerelement: Datei löschen Dieser Befehl verfügt über einen erforderlichen Befehl. Sie können den -auto Befehl in Verbindung mit remediate verwenden, um den erforderlichen Befehl automatisch auszuführen. |
v | v | v |
scan |
Führt eine schnelle Antivirenüberprüfung aus, um Schadsoftware zu identifizieren und zu beheben. | N | J | v |
undo |
Stellt eine Entität wieder her, die wiederhergestellt wurde. | J | N | N |
Hinweis
Die folgenden Dateigrößenbeschränkungen gelten für putfile
Liveantwortbefehle:
- Windows: 300 MB
- Andere Plattformen: 10 MB
Die Befehle, die Sie in der Konsole verwenden können, folgen ähnlichen Prinzipien wie Windows-Befehle.
Die erweiterten Befehle bieten einen stabileren Satz von Aktionen, mit denen Sie leistungsfähigere Aktionen ausführen können, z. B. das Herunterladen und Hochladen einer Datei, das Ausführen von Skripts auf dem Gerät und das Ausführen von Korrekturmaßnahmen für eine Entität.
Für Szenarien, in dem Sie eine Datei von einem Gerät abrufen möchten, das Sie untersuchen, können Sie den getfile
Befehl verwenden. Auf diese Weise können Sie die Datei zur weiteren Untersuchung vom Gerät speichern.
Hinweis
Es gelten die folgenden Dateigrößenbeschränkungen:
getfile
Limit: 3 GBfileinfo
Limit: 30 GBlibrary
Limit: 250 MB
Damit Ihr Sicherheitsteam weiterhin ein betroffenes Gerät untersuchen kann, können Dateien jetzt im Hintergrund heruntergeladen werden.
- Um eine Datei im Hintergrund herunterzuladen, geben Sie in der Liveantwortbefehlskonsole ein
download <file_path> &
. - Wenn Sie darauf warten, dass eine Datei heruntergeladen wird, können Sie sie mit STRG+Z in den Hintergrund verschieben.
- Um einen Dateidownload in den Vordergrund zu bringen, geben Sie in der Liveantwortbefehlskonsole ein
fg <command_id>
.
Hier sind einige Beispiele:
Befehl | Funktion der Einstellung |
---|---|
getfile "C:\windows\some_file.exe" & |
Startet das Herunterladen einer Datei namens some_file.exe im Hintergrund. |
fg 1234 |
Gibt einen Download mit der Befehls-ID 1234 im Vordergrund zurück. |
Die Liveantwort verfügt über eine Bibliothek, in die Sie Dateien einfügen können. Die Bibliothek speichert Dateien (z. B. Skripts), die in einer Liveantwortsitzung auf Mandantenebene ausgeführt werden können.
Die Liveantwort ermöglicht die Ausführung von PowerShell-Skripts. Sie müssen die Dateien jedoch zuerst in die Bibliothek einfügen, bevor Sie sie ausführen können.
Sie können über eine Sammlung von PowerShell-Skripts verfügen, die auf Geräten ausgeführt werden können, mit denen Sie Liveantwortsitzungen initiieren.
Klicken Sie auf Datei in Bibliothek hochladen.
Klicken Sie auf Durchsuchen , und wählen Sie die Datei aus.
Geben Sie eine kurze Beschreibung an.
Geben Sie an, ob Sie eine Datei mit demselben Namen überschreiben möchten.
Wenn Sie wissen möchten, welche Parameter für das Skript erforderlich sind, aktivieren Sie das Kontrollkästchen Skriptparameter. Geben Sie im Textfeld ein Beispiel und eine Beschreibung ein.
Klicken Sie auf Bestätigen.
(Optional) Führen Sie den Befehl aus, um zu überprüfen, ob die
library
Datei in die Bibliothek hochgeladen wurde.
Sie können einen Befehl jederzeit während einer Sitzung abbrechen, indem Sie STRG+C drücken.
Warnung
Wenn Sie diese Verknüpfung verwenden, wird der Befehl auf der Agent-Seite nicht beendet. Es wird nur der Befehl im Portal abgebrochen. Daher können Änderungsvorgänge wie "remediate" fortgesetzt werden, während der Befehl abgebrochen wird.
Bevor Sie ein PowerShell-/Bash-Skript ausführen können, müssen Sie es zuerst in die Bibliothek hochladen.
Verwenden Sie nach dem Hochladen des Skripts in die Bibliothek den run
Befehl, um das Skript auszuführen.
Wenn Sie planen, ein nicht signiertes PowerShell-Skript in der Sitzung zu verwenden, müssen Sie die Einstellung auf der Seite Erweiterte Featureseinstellungen aktivieren.
Warnung
Wenn Sie die Verwendung von nicht signierten Skripts zulassen, kann dies ihre Bedrohungen erhöhen.
Informationen zu Befehlsparametern finden Sie in der Konsolenhilfe. Um mehr über einen einzelnen Befehl zu erfahren, führen Sie Folgendes aus:
help <command name>
Beachten Sie beim Anwenden von Parametern auf Befehle, dass Parameter basierend auf einer festen Reihenfolge behandelt werden:
<command name> param1 param2
Geben Sie beim Angeben von Parametern außerhalb der festen Reihenfolge den Namen des Parameters mit einem Bindestrich an, bevor Sie den Wert angeben:
<command name> -param2_name param2
Wenn Sie Befehle verwenden, die über erforderliche Befehle verfügen, können Sie Flags verwenden:
<command name> -type file -id <file path> - auto
oder
remediate file <file path> - auto`
Die Liveantwort unterstützt Ausgabetypen im Tabellen- und JSON-Format. Für jeden Befehl gibt es ein Standardausgabeverhalten. Sie können die Ausgabe in Ihrem bevorzugten Ausgabeformat mit den folgenden Befehlen ändern:
-output json
-output table
Hinweis
Aufgrund des begrenzten Platzes werden weniger Felder im Tabellenformat angezeigt. Um weitere Details in der Ausgabe anzuzeigen, können Sie den JSON-Ausgabebefehl verwenden, damit weitere Details angezeigt werden.
Die Liveantwort unterstützt die Ausgabepipeline an die CLI und die Datei. Die CLI ist das Standardausgabeverhalten. Sie können die Ausgabe mit dem folgenden Befehl an eine Datei übergeben: [Befehl] > [Dateiname].txt.
Beispiel:
processes > output.txt
Wählen Sie die Registerkarte Befehlsprotokoll aus, um die Befehle anzuzeigen, die während einer Sitzung auf dem Gerät verwendet werden. Jeder Befehl wird mit vollständigen Details nachverfolgt, z. B.:
- ID
- Befehlszeile
- Dauer
- Status- und Eingabe- oder Ausgabeseitenleiste
- Live-Antwortsitzungen sind auf 25 Liveantwortsitzungen gleichzeitig beschränkt.
- Der Inaktive Timeoutwert der Liveantwortsitzung beträgt 30 Minuten.
- Für einzelne Live-Antwortbefehle gilt ein Zeitlimit von 10 Minuten, mit Ausnahme von
getfile
,findfile
undrun
, für die ein Limit von 30 Minuten gilt. - Ein Benutzer kann bis zu 10 gleichzeitige Sitzungen initiieren.
- Ein Gerät kann sich jeweils nur in einer Sitzung befinden.
- Es gelten die folgenden Dateigrößenbeschränkungen:
getfile
Limit: 3 GBfileinfo
Limit: 30 GBlibrary
Limit: 250 MB
Tipp
Möchten Sie mehr erfahren? Engage mit der Microsoft-Sicherheitscommunity in unserer Tech Community: Microsoft Defender for Endpoint Tech Community.