Kommandobeispiele für Liveantworten
Gilt für:
Möchten Sie Defender für Endpunkt erfahren? Registrieren Sie sich für eine kostenlose Testversion
Erfahren Sie mehr über allgemeine Befehle, die in Liveantworten verwendet werden, und sehen Sie sich Beispiele dafür an, wie sie in der Regel verwendet werden.
Abhängig von der Rolle, die Sie besitzen, können Sie grundlegende oder erweiterte Liveantwortbefehle ausführen. Weitere Informationen zu grundlegenden und erweiterten Befehlen finden Sie unter Untersuchen von Entitäten auf Geräten mithilfe von Liveantworten.
analyze
# Analyze the file malware.txt
analyze file c:\Users\user\Desktop\malware.txt
# Analyze the process by PID
analyze process 1234
connections
# List active connections in json format using parameter name
connections -output json
# List active connections in json format without parameter name
connections json
dir
# List files and sub-folders in the current folder (by default it will show relative paths [-relative_path])
dir
# List files and sub-folders in the current folder, with their full path
dir -full_path
# List files and sub-folders in a specific folder
dir C:\Users\user\Desktop\
# List files and subfolders in the current folder in json format
dir -output json
fileinfo
# Display information about a file
fileinfo C:\Windows\notepad.exe
findfile
# Find file by name
findfile test.txt
getfile
# Download a file from a machine
getfile c:\Users\user\Desktop\work.txt
# Download a file from a machine, automatically run prerequisite commands
getfile c:\Users\user\Desktop\work.txt -auto
Hinweis
Die folgenden Dateitypen können nicht mit diesem Befehl aus live response heruntergeladen werden:
- Analysieren von Punktdateien
- Sparsedateien
- Leere Dateien
- Virtuelle Dateien oder Dateien, die lokal nicht vollständig vorhanden sind
Diese Dateitypen werden von PowerShell unterstützt.
Verwenden Sie PowerShell als Alternative, wenn Bei der Verwendung dieses Befehls in Live Response Probleme auftreten.
library
# List files in the library
library
# Delete a file from the library
library delete script.ps1
processes
# Show all processes
processes
# Get process by pid
processes 123
# Get process by pid with argument name
processes -pid 123
# Get process by name
processes -name notepad.exe
putfile
# Upload file from library
putfile get-process-by-name.ps1
# Upload file from library, overwrite file if it exists
putfile get-process-by-name.ps1 -overwrite
# Upload file from library, keep it on the machine after a restart
putfile get-process-by-name.ps1 -keep
registry
# Show information about the values in a registry key
registry HKEY_CURRENT_USER\Console
# Show information about a specific registry value (the double backslash \\ indicates a registry value versus key)
registry HKEY_CURRENT_USER\Console\\ScreenBufferSize
remediate
# Remediate file in specific path
remediate file c:\Users\user\Desktop\malware.exe
# Remediate process with specific PID
remediate process 7960
# See list of all remediated entities
remediate list
run
# Run PowerShell script from the library without arguments
run script.ps1
# Run PowerShell script from the library with arguments
run get-process-by-name.ps1 -parameters "-processName Registry"
Hinweis
Für Befehle mit langer Ausführungsdauer wie "run" oder "getfile" empfiehlt es sich, das Symbol "&" am Ende des Befehls zu verwenden, um diese Aktion im Hintergrund auszuführen. Auf diese Weise können Sie den Computer weiter untersuchen und zum Hintergrundbefehl zurückkehren, wenn Sie den Basic-Befehl "fg" verwenden.
Wenn Sie Parameter an ein Liveantwortskript übergeben, dürfen Sie die folgenden unzulässigen Zeichen nicht einschließen: ';', '&', '|', '!' und '$'.
scheduledtask
# Get all scheduled tasks
scheduledtasks
# Get specific scheduled task by location and name
scheduledtasks Microsoft\Windows\Subscription\LicenseAcquisition
# Get specific scheduled task by location and name with spacing
scheduledtasks "Microsoft\Configuration Manager\Configuration Manager Health Evaluation"
undo
# Restore remediated registry
undo registry HKEY_CURRENT_USER\Console\ScreenBufferSize
# Restore remediated scheduledtask
undo scheduledtask Microsoft\Windows\Subscription\LicenseAcquisition
# Restore remediated file
undo file c:\Users\user\Desktop\malware.exe
Tipp
Möchten Sie mehr erfahren? Engage mit der Microsoft-Sicherheitscommunity in unserer Tech Community: Microsoft Defender for Endpoint Tech Community.
Feedback
Bald verfügbar: Im Laufe des Jahres 2024 werden wir GitHub-Issues stufenweise als Feedbackmechanismus für Inhalte abbauen und durch ein neues Feedbacksystem ersetzen. Weitere Informationen finden Sie unter https://aka.ms/ContentUserFeedback.
Feedback senden und anzeigen für