Investigación de entidades en dispositivos mediante respuesta dinámica

Se aplica a:

• Microsoft Defender para punto de conexión Plan 2
• Microsoft Defender XDR

¿Quiere experimentar Defender para punto de conexión? Regístrese para obtener una prueba gratuita.

La respuesta dinámica proporciona a los equipos de operaciones de seguridad acceso instantáneo a un dispositivo (también conocido como máquina) mediante una conexión de shell remoto. La respuesta en vivo le ofrece la capacidad de realizar un trabajo de investigación en profundidad y tomar medidas de respuesta inmediatas para contener rápidamente amenazas identificadas en tiempo real.

La respuesta dinámica está diseñada para mejorar las investigaciones al permitir que el equipo de operaciones de seguridad recopile datos forenses, ejecute scripts, envíe entidades sospechosas para su análisis, corrija las amenazas y busque amenazas emergentes de forma proactiva.

Con la respuesta en vivo, los analistas pueden realizar todas las tareas siguientes:

• Ejecute comandos básicos y avanzados para realizar un trabajo de investigación en un dispositivo.
• Descargue archivos como ejemplos de malware y resultados de scripts de PowerShell.
• Descargar archivos en segundo plano (¡nuevo!).
• Cargue un script o ejecutable de PowerShell en la biblioteca y ejecútelo en un dispositivo desde un nivel de inquilino.
• Realizar o deshacer acciones de corrección.

Antes de empezar

Antes de iniciar una sesión en un dispositivo, asegúrese de cumplir los siguientes requisitos:

• Compruebe que está ejecutando una versión compatible de Windows.

  Los dispositivos deben ejecutar una de las siguientes versiones de Windows

  • Windows 10 & 11

    • Versión 1909 o posterior
    • Versión 1903 con KB4515384
    • Versión 1809 (RS 5) con KB4537818
    • Versión 1803 (RS 4) con KB4537795
    • Versión 1709 (RS 3) con KB4537816

  • macOS : versión mínima necesaria: 101.43.84. Compatible con dispositivos macOS basados en Intel y ARM.

  • Linux : versión mínima necesaria: 101.45.13

  • Windows Server 2012 R2: con KB5005292

  • Windows Server 2016: con KB5005292

    Nota:

    Para Windows Server 2012R2 o 2016, debe tener instalado el Agente unificado y se recomienda aplicar revisiones a la versión más reciente del sensor con KB5005292.

  • Windows Server 2019

    • Versión 1903 o (con KB4515384) posterior
    • Versión 1809 (con KB4537818)

  • Windows Server 2022

• Habilite la respuesta en directo desde la página de configuración avanzada.

  Debe habilitar la funcionalidad de respuesta en vivo en la página Configuración de características avanzadas .

  Nota:

  Solo los administradores y los usuarios que tienen permisos de "Administrar configuración del portal" pueden habilitar la respuesta en directo.

• Habilite la respuesta en vivo para los servidores desde la página de configuración avanzada (recomendado).

  Nota:

  Solo los administradores y los usuarios que tienen permisos de "Administrar configuración del portal" pueden habilitar la respuesta en directo.

• Habilitar la ejecución de scripts sin signo de respuesta activa (opcional).

  Importante

  La comprobación de firmas solo se aplica a los scripts de PowerShell.

  Advertencia

  Permitir el uso de scripts sin firmar puede aumentar la exposición a amenazas.

  No se recomienda ejecutar scripts sin firmar, ya que puede aumentar la exposición a amenazas. Sin embargo, si debe usarlos, debe habilitar la configuración en la página Configuración avanzada de características .

• Asegúrese de que tiene los permisos adecuados.

  Solo los usuarios que se aprovisionan con los permisos adecuados pueden iniciar una sesión. Para obtener más información sobre las asignaciones de roles, consulte Create y administrar roles.

  Importante

  La opción para cargar un archivo en la biblioteca solo está disponible para los usuarios con el permiso "Administrar configuración de seguridad". El botón está atenuado para los usuarios con solo permisos delegados.

  En función del rol que se le haya concedido, puede ejecutar comandos de respuesta en directo básicos o avanzados. Los permisos de los usuarios se controlan mediante el rol personalizado de RBAC.

Introducción al panel de respuesta en directo

Al iniciar una sesión de respuesta dinámica en un dispositivo, se abre un panel. El panel proporciona información sobre la sesión, como la siguiente:

• Quién creó la sesión
• Cuando se inició la sesión
• Duración de la sesión

El panel también le proporciona acceso a:

• Desconectar sesión
• Carga de archivos en la biblioteca
• Consola de comandos
• Registro de comandos

Inicio de una sesión de respuesta activa en un dispositivo

Nota:

Las acciones de respuesta dinámica iniciadas desde la página Dispositivo no están disponibles en la API machineactions.

1. Inicie sesión en Microsoft Defender portal.

2. Vaya a Inventario de dispositivos de puntos de conexión > y seleccione un dispositivo para investigar. Se abre la página dispositivos.

3. Inicie la sesión de respuesta en directo seleccionando Iniciar sesión de respuesta activa. Se muestra una consola de comandos. Espere mientras la sesión se conecta al dispositivo.

4. Use los comandos integrados para realizar un trabajo de investigación. Para obtener más información, vea Comandos de respuesta dinámica.

5. Después de completar la investigación, seleccione Desconectar sesión y, a continuación, seleccione Confirmar.

Comandos de respuesta dinámica

En función del rol que se le haya concedido, puede ejecutar comandos de respuesta en directo básicos o avanzados. Los permisos de usuario se controlan mediante roles personalizados de RBAC. Para obtener más información sobre las asignaciones de roles, consulte Create y administrar roles.

Nota:

La respuesta dinámica es un shell interactivo basado en la nube, por lo que la experiencia de comandos específica puede variar en el tiempo de respuesta en función de la calidad de red y la carga del sistema entre el usuario final y el dispositivo de destino.

Comandos básicos

Los siguientes comandos están disponibles para los roles de usuario a los que se les concede la capacidad de ejecutar comandos básicos de respuesta dinámica. Para obtener más información sobre las asignaciones de roles, consulte Create y administrar roles.

Comando	Descripción	Windows y Windows Server	macOS	Linux
cd	Cambia el directorio actual.	v	v	v
cls	Borra la pantalla de la consola.	v	v	v
connect	Inicia una sesión de respuesta activa en el dispositivo.	v	v	v
connections	Muestra todas las conexiones activas.	v	N	N
dir	Muestra una lista de archivos y subdirectorios en un directorio.	v	v	v
drivers	Muestra todos los controladores instalados en el dispositivo.	v	N	N
fg <command ID>	Coloque el trabajo especificado en primer plano, convirtiéndolo en el trabajo actual. Tenga en cuenta que fg toma un command ID valor disponible de los trabajos, no de un PID.	v	v	v
fileinfo	Obtener información acerca de un archivo.	v	v	v
findfile	Busca archivos por un nombre determinado en el dispositivo.	v	v	v
getfile <file_path>	Descarga un archivo.	v	v	v
help	Proporciona información de ayuda para los comandos de respuesta dinámica.	v	v	v
jobs	Muestra los trabajos en ejecución, su identificador y estado.	v	v	v
persistence	Muestra todos los métodos de persistencia conocidos en el dispositivo.	v	N	N
processes	Muestra todos los procesos que se ejecutan en el dispositivo.	v	v	v
registry	Muestra los valores del Registro.	v	N	N
scheduledtasks	Muestra todas las tareas programadas en el dispositivo.	v	N	N
services	Muestra todos los servicios del dispositivo.	v	N	N
startupfolders	Muestra todos los archivos conocidos en las carpetas de inicio del dispositivo.	v	N	N
status	Muestra el estado y la salida del comando específico.	v	v	v
trace	Establece el modo de registro del terminal para depurar.	v	v	v

Comandos avanzados

Los siguientes comandos están disponibles para los roles de usuario a los que se les concede la capacidad de ejecutar comandos avanzados de respuesta dinámica. Para obtener más información sobre las asignaciones de roles, consulte Create y administrar roles.

Comando	Descripción	Windows y Windows Server	macOS	Linux
analyze	Analiza la entidad con varios motores de incriminación para llegar a un veredicto.	v	N	N
collect	Recopila el paquete forense del dispositivo.	N	v	v
isolate	Desconecta el dispositivo de la red mientras conserva la conectividad con el servicio Defender para punto de conexión.	N	v	N
release	Libera un dispositivo del aislamiento de red.	N	v	N
run	Ejecuta un script de PowerShell desde la biblioteca del dispositivo.	v	v	v
library	Listas archivos que se cargaron en la biblioteca de respuestas dinámicas.	v	v	v
putfile	Coloca un archivo de la biblioteca en el dispositivo. Los archivos se guardan en una carpeta de trabajo y se eliminan cuando el dispositivo se reinicia de forma predeterminada.	v	v	v
remediate	Corrige una entidad en el dispositivo. La acción de corrección varía en función del tipo de entidad: - Archivo: eliminar - Proceso: detener, eliminar archivo de imagen - Servicio: detener, eliminar archivo de imagen - Entrada del Registro: eliminar - Tarea programada: quitar - Elemento de carpeta de inicio: eliminar archivo Este comando tiene un comando de requisitos previos. Puede usar el -auto comando junto con remediate para ejecutar automáticamente el comando de requisitos previos.	v	v	v
scan	Ejecuta un examen rápido del antivirus para ayudar a identificar y corregir el malware.	N	v	v
undo	Restaura una entidad que se ha corregido.	v	N	N

Uso de comandos de respuesta en directo

Los comandos que puede usar en la consola siguen principios similares a los comandos de Windows.

Los comandos avanzados ofrecen un conjunto más sólido de acciones que le permiten realizar acciones más eficaces, como descargar y cargar un archivo, ejecutar scripts en el dispositivo y realizar acciones de corrección en una entidad.

Obtener un archivo del dispositivo

Para escenarios en los que quiera obtener un archivo de un dispositivo que está investigando, puede usar el getfile comando . Esto le permite guardar el archivo desde el dispositivo para una investigación más detallada.

Nota:

Se aplican los siguientes límites de tamaño de archivo:

• getfile límite: 3 GB
• fileinfo límite: 30 GB
• library límite: 250 MB

Descarga de un archivo en segundo plano

Para permitir que el equipo de operaciones de seguridad continúe investigando un dispositivo afectado, ahora se pueden descargar archivos en segundo plano.

• Para descargar un archivo en segundo plano, en la consola de comandos de respuesta dinámica, escriba download <file_path> &.
• Si está esperando a que se descargue un archivo, puede moverlo al fondo mediante Ctrl + Z.
• Para llevar una descarga de archivos al primer plano, en la consola de comandos de respuesta activa, escriba fg <command_id>.

Estos son algunos ejemplos:

Get-Help	Qué hace
getfile "C:\windows\some_file.exe" &	Comienza a descargar un archivo denominado some_file.exe en segundo plano.
fg 1234	Devuelve una descarga con el identificador de comando 1234 en primer plano.

Colocación de un archivo en la biblioteca

Respuesta dinámica tiene una biblioteca en la que puede colocar archivos. La biblioteca almacena archivos (como scripts) que se pueden ejecutar en una sesión de respuesta dinámica en el nivel de inquilino.

La respuesta dinámica permite ejecutar scripts de PowerShell, pero primero debe colocar los archivos en la biblioteca para poder ejecutarlos.

Puede tener una colección de scripts de PowerShell que se pueden ejecutar en dispositivos con los que inicie sesiones de respuesta en directo.

Para cargar un archivo en la biblioteca

1. Haga clic en Cargar archivo en la biblioteca.

2. Haga clic en Examinar y seleccione el archivo.

3. Proporcione una breve descripción.

4. Especifique si desea sobrescribir un archivo con el mismo nombre.

5. Si quiere hacerlo, sepa qué parámetros se necesitan para el script, active la casilla parámetros de script. En el campo de texto, escriba un ejemplo y una descripción.

6. Haga clic en Confirmar.

7. (Opcional) Para comprobar que el archivo se cargó en la biblioteca, ejecute el library comando .

Cancelar un comando

En cualquier momento durante una sesión, puede cancelar un comando presionando CTRL + C.

Advertencia

El uso de este acceso directo no detendrá el comando en el lado del agente. Solo cancelará el comando en el portal. Por lo tanto, las operaciones de cambio, como "remediate", pueden continuar mientras se cancela el comando.

Ejecutar un script

Para poder ejecutar un script de PowerShell o Bash, primero debe cargarlo en la biblioteca.

Después de cargar el script en la biblioteca, use el run comando para ejecutar el script.

Si tiene previsto usar un script de PowerShell sin firmar en la sesión, deberá habilitar la configuración en la página Configuración avanzada de características .

Advertencia

Permitir el uso de scripts sin firmar puede aumentar la exposición a amenazas.

Aplicar parámetros de comando

• Vea la ayuda de la consola para obtener información sobre los parámetros de comando. Para obtener información sobre un comando individual, ejecute:

  help <command name>
  

• Al aplicar parámetros a comandos, tenga en cuenta que los parámetros se controlan en función de un orden fijo:

  <command name> param1 param2
  

• Al especificar parámetros fuera del orden fijo, especifique el nombre del parámetro con un guion antes de proporcionar el valor:

  <command name> -param2_name param2
  

• Al usar comandos que tienen comandos de requisitos previos, puede usar marcas:

  <command name> -type file -id <file path> - auto
  

  Otra posibilidad:

  remediate file <file path> - auto`
  

Tipos de salida admitidos

La respuesta dinámica admite tipos de salida de formato JSON y tabla. Para cada comando, hay un comportamiento de salida predeterminado. Puede modificar la salida en el formato de salida que prefiera mediante los siguientes comandos:

• -output json
• -output table

Nota:

Se muestran menos campos en formato de tabla debido al espacio limitado. Para ver más detalles en la salida, puede usar el comando de salida JSON para que se muestren más detalles.

Canalizaciones de salida admitidas

La respuesta dinámica admite la canalización de salida a la CLI y al archivo. La CLI es el comportamiento de salida predeterminado. Puede canalizar la salida a un archivo mediante el siguiente comando: [command] > [filename].txt.

Ejemplo:

processes > output.txt

Visualización del registro de comandos

Seleccione la pestaña Registro de comandos para ver los comandos usados en el dispositivo durante una sesión. Se realiza un seguimiento de cada comando con detalles completos, como:

• Id.
• Línea de comandos
• Duración
• Estado y barra lateral de entrada o salida

Limitaciones

• Las sesiones de respuesta en directo están limitadas a 25 sesiones de respuesta en directo a la vez.
• El valor de tiempo de espera inactivo de la sesión de respuesta activa es de 30 minutos.
• Los comandos de respuesta dinámica individual tienen un límite de tiempo de 10 minutos, a excepción de getfile, findfiley run, que tienen un límite de 30 minutos.
• Un usuario puede iniciar hasta 10 sesiones simultáneas.
• Un dispositivo solo puede estar en una sesión a la vez.
• Se aplican los siguientes límites de tamaño de archivo:
  • getfile límite: 3 GB
  • fileinfo límite: 30 GB
  • library límite: 250 MB

Artículo relacionado

• Ejemplos de comandos de respuesta en vivo

Sugerencia

¿Desea obtener más información? Engage con la comunidad de seguridad de Microsoft en nuestra comunidad tecnológica: Microsoft Defender para punto de conexión Tech Community.