Laitteiden entiteettien tutkiminen reaaliaikaisen vastauksen avulla

Koskee seuraavia:

• Microsoft Defender for Endpoint Plan 2
• Microsoft Defender XDR

Haluatko kokeilla Defender for Endpointia? Rekisteröidy maksuttomaan kokeiluversioon.

Reaaliaikainen vastaus antaa suojaustoiminnoille välittömän pääsyn laitteeseen (jota kutsutaan myös koneeksi) etäliittymäyhteyden avulla. Reaaliaikaisen vastauksen avulla voit tehdä perusteellista tutkimustyötä ja ryhtyä välittömiin toimiin tunnistettujen uhkien nopeaan hillitsemiseen reaaliaikaisesti.

Reaaliaikainen reagointi on suunniteltu tehostamaan tutkimuksia antamalla suojaustiimillesi mahdollisuus kerätä rikosteknisiä tietoja, suorittaa komentosarjoja, lähettää epäilyttäviä entiteettejä analysoitaviksi, korjata uhkia ja etsiä ennakoivasti uusia uhkia.

Reaaliaikaisen vastauksen avulla analyytikot voivat tehdä kaikki seuraavat tehtävät:

• Suorita perus- ja lisäkomentoja laitteessa tutkimista varten.
• Lataa tiedostoja, kuten haittaohjelmanäytteitä ja PowerShell-komentosarjojen tuloksia.
• Lataa tiedostot taustalla (uusi!).
• Lataa PowerShell-komentosarja tai suoritettava tiedosto kirjastoon ja suorita se laitteessa vuokraajatasolta.
• Suorita tai kumoa korjaustoimintoja.

Alkuvalmistelut

Ennen kuin voit aloittaa istunnon laitteessa, varmista, että täytät seuraavat vaatimukset:

• Varmista, että käytössäsi on tuettu Windows-versio.

  Laitteissa on oltava käytössä jokin seuraavista Windows-versioista

  • Windows 10 & 11

    • Versio 1909 tai uudempi
    • Versio 1903 ja KB4515384
    • Versio 1809 (RS 5), jossa on KB4537818
    • Versio 1803 (RS 4), jossa on KB4537795
    • Versio 1709 (RS 3), jossa on KB4537816

  • macOS – Vähimmäisversio: 101.43.84. Tuetaan Intel-pohjaisissa ja ARM-pohjaisissa macOS-laitteissa.

  • Linux – Pienin pakollinen versio: 101.45.13

  • Windows Server 2012 R2 – sisältää KB5005292

  • Windows Server 2016 – ja KB5005292

    Huomautus

    Windows Server 2012R2:ssa tai 2016:ssa Unified Agent on oltava asennettuna, ja on suositeltavaa korjata uusimpaan tunnistinversioon KB5005292.

  • Windows Server 2019

    • Versio 1903 tai ( KB4515384) uudempi
    • Versio 1809 ( KB4537818 kanssa)

  • Windows Server 2022

• Ota reaaliaikainen vastaus käyttöön Lisäasetukset-sivulta.

  Sinun on otettava käyttöön reaaliaikainen vastaustoiminto Lisäominaisuudet-asetussivulla .

  Huomautus

  Vain järjestelmänvalvojat ja käyttäjät, joilla on portaaliasetusten hallintaoikeudet, voivat ottaa käyttöön reaaliaikaisen vastauksen.

• Ota reaaliaikainen vastaus käyttöön palvelimille lisäasetusten sivulta (suositus ).

  Huomautus

  Vain järjestelmänvalvojat ja käyttäjät, joilla on portaaliasetusten hallintaoikeudet, voivat ottaa käyttöön reaaliaikaisen vastauksen.

• Ota käyttöön reaaliaikainen vastaus allekirjoittamaton komentosarjan suorittaminen (valinnainen).

  Tärkeää

  Allekirjoituksen tarkistus koskee vain PowerShell-komentosarjoja.

  Varoitus

  Allekirjoittamattomien komentosarjojen käytön salliminen voi lisätä altistumista uhille.

  Allekirjoittamattomien komentosarjojen suorittamista ei suositella, koska se voi lisätä altistumista uhille. Jos sinun on käytettävä niitä, sinun on otettava asetus käyttöön Lisäominaisuudet-asetussivulla .

• Varmista, että sinulla on asianmukaiset käyttöoikeudet.

  Vain käyttäjät, joille on määritetty tarvittavat käyttöoikeudet, voivat aloittaa istunnon. Jos haluat lisätietoja roolien määrittämisestä, katso Create ja roolien hallinta.

  Tärkeää

  Mahdollisuus ladata tiedosto kirjastoon on käytettävissä vain käyttäjille, joilla on suojausasetusten hallintaoikeus. Painike näkyy harmaana käyttäjille, joilla on vain delegoidut käyttöoikeudet.

  Sinulle myönnetystä roolista riippuen voit suorittaa perus- tai edistyneitä live-vastauskomentoja. Käyttäjien käyttöoikeuksia hallitaan mukautetulla RBAC-roolilla.

Reaaliaikaisen vastauksen koontinäytön yleiskatsaus

Kun aloitat reaaliaikaisen vastausistunnon laitteessa, avautuu koontinäyttö. Koontinäyttö sisältää istuntoa koskevia tietoja, kuten seuraavat:

• Istunnon luonut käyttäjä
• Istunnon alkamisajankohdan
• Istunnon kesto

Koontinäytössä voit myös käyttää:

• Katkaise istunnon yhteys
• Tiedostojen lataaminen kirjastoon
• Komentokonsoli
• Komentoloki

Aloita reaaliaikainen vastausistunto laitteessa

Huomautus

Laitteen sivulta aloitetut reaaliaikaiset vastaustoiminnot eivät ole käytettävissä konetoimintojen ohjelmointirajapinnassa.

1. Kirjaudu sisään Microsoft Defender portaaliin.

2. Siirry päätepisteisiin > Laitteen varasto ja valitse laite tutkittavaksi. Laitteiden sivu avautuu.

3. Käynnistä reaaliaikainen vastausistunto valitsemalla Aloita reaaliaikainen vastausistunto. Komentokonsoli tulee näkyviin. Odota, istunto muodostaa yhteyden laitteeseen.

4. Käytä sisäisiä komentoja tutkimustyön tekemiseen. Lisätietoja on artikkelissa Reaaliaikaisen vastauksen komennot.

5. Kun olet suorittanut tutkimuksen, valitse Katkaise istunto ja valitse sitten Vahvista.

Reaaliaikaisen vastauksen komennot

Sinulle myönnetystä roolista riippuen voit suorittaa perus- tai edistyneitä live-vastauskomentoja. Käyttäjien käyttöoikeuksia hallitaan mukautetuilla RBAC-rooleilla. Jos haluat lisätietoja roolien määrittämisestä, katso Create ja roolien hallinta.

Huomautus

Reaaliaikainen vastaus on pilvipohjainen vuorovaikutteinen käyttöliittymä, joten tietty komentokokemus voi vaihdella vasteajan mukaan verkon laadun ja järjestelmän kuormituksen mukaan loppukäyttäjän ja kohdelaitteen välillä.

Peruskomennot

Seuraavat komennot ovat käytettävissä käyttäjärooleille, joille on myönnetty mahdollisuus suorittaa live-perusvastauskomentoja . Jos haluat lisätietoja roolien määrittämisestä, katso Create ja roolien hallinta.

Komento	Kuvaus	Windows ja Windows Server	Macos	Linux
cd	Muuttaa nykyistä hakemistoa.	Y	Y	Y
cls	Tyhjentää konsolinäytön.	Y	Y	Y
connect	Käynnistää laitteelle reaaliaikaisen vastausistunnon.	Y	Y	Y
connections	Näyttää kaikki aktiiviset yhteydet.	Y	N	N
dir	Näyttää luettelon hakemiston tiedostoista ja alihakemistoista.	Y	Y	Y
drivers	Näyttää kaikki laitteeseen asennetut ohjaimet.	Y	N	N
fg <command ID>	Sijoita määritetty työ edustalle ja tee siitä nykyinen työ. Ota huomioon, että käytettävissä fg ovat command ID työt, eivät PID-tunnuksen.	Y	Y	Y
fileinfo	Hae tietoja tiedostosta.	Y	Y	Y
findfile	Paikantaa tiedostot annetulla nimellä laitteessa.	Y	Y	Y
getfile <file_path>	Lataa tiedoston.	Y	Y	Y
help	Tarjoaa ohjeita reaaliaikaisten vastauskomentojen käyttöön.	Y	Y	Y
jobs	Näyttää käynnissä olevat työt sekä niiden tunnuksen ja tilan.	Y	Y	Y
persistence	Näyttää kaikki laitteen tunnetut pysyvyysmenetelmät.	Y	N	N
processes	Näyttää kaikki laitteessa käynnissä olevat prosessit.	Y	Y	Y
registry	Näyttää rekisteriarvot.	Y	N	N
scheduledtasks	Näyttää kaikki laitteen ajoitetut tehtävät.	Y	N	N
services	Näyttää kaikki laitteen palvelut.	Y	N	N
startupfolders	Näyttää kaikki tunnetut tiedostot laitteen käynnistyskansioissa.	Y	N	N
status	Näyttää tietyn komennon tilan ja tuloksen.	Y	Y	Y
trace	Määrittää päätteen kirjaustilan virheenkorjaukseksi.	Y	Y	Y

Lisäkomennot

Seuraavat komennot ovat käytettävissä käyttäjärooleille, joille on myönnetty mahdollisuus suorittaa edistyneitä reaaliaikaisia vastauskomentoja. Jos haluat lisätietoja roolien määrittämisestä, katso Create ja roolien hallinta.

Komento	Kuvaus	Windows ja Windows Server	Macos	Linux
analyze	Analysoi entiteettiä erilaisilla syytösmoottoreilla päätöksen aikaansaamiseksi.	Y	N	N
collect	Kerää rikosteknisen paketin laitteesta.	N	Y	Y
isolate	Katkaisee laitteen yhteyden verkkoon säilyttäen yhteyden Defender for Endpoint -palveluun.	N	Y	N
release	Vapauttaa laitteen verkosta eristyksestä.	N	Y	N
run	Suorittaa PowerShell-komentosarjan laitteen kirjastosta.	Y	Y	Y
library	Lists tiedostot, jotka on ladattu reaaliaikaiseen vastauskirjastoon.	Y	Y	Y
putfile	Siirtää tiedoston kirjastosta laitteeseen. Tiedostot tallennetaan työkansioon, ja ne poistetaan, kun laite käynnistyy oletusarvoisesti uudelleen.	Y	Y	Y
remediate	Korjaa laitteen entiteetin. Korjaustoiminto vaihtelee entiteettityypin mukaan: - Tiedosto: poista - Prosessi: pysäytä, poista kuvatiedosto - Palvelu: lopeta, poista kuvatiedosto - Rekisterimerkintä: poistaminen - Ajoitettu tehtävä: poista - Käynnistyskansion kohde: poista tiedosto Tällä komennolla on edellytyskomento. Voit suorittaa edellytettävän komennon -auto automaattisesti käyttämällä -komentoa yhdessä korjauksen kanssa.	Y	Y	Y
scan	Suorittaa nopean virustentorjuntatarkistuksen haittaohjelmien tunnistamiseksi ja korjaamiseksi.	N	Y	Y
undo	Palauttaa korjatun entiteetin.	Y	N	N

Huomautus

Live-vastauskomentoon sovelletaan seuraavia putfile tiedoston kokorajoituksia:

• Windows: 300 Mt
• Muut ympäristöt: 10 Mt

Reaaliaikaisen vastauksen komentojen käyttäminen

Konsolissa käytettävät komennot noudattavat samanlaisia periaatteita kuin Windows-komennot.

Lisäkomennot tarjoavat entistä vankemman toimintojoukon, jonka avulla voit suorittaa tehokkaampia toimintoja, kuten ladata ja ladata tiedoston, suorittaa komentosarjoja laitteessa ja suorittaa korjaustoimintoja entiteetissä.

Tiedoston noutaminen laitteesta

Jos haluat saada tiedoston tutkimastasi laitteesta, voit käyttää komentoa getfile . Tämän avulla voit tallentaa tiedoston laitteesta lisätutkimuksia varten.

Huomautus

Seuraavat tiedoston kokorajoitukset ovat voimassa:

• getfile raja: 3 Gt
• fileinfo raja: 30 Gt
• library raja: 250 Mt

Lataa tiedosto taustalla

Jotta suojaustoimintaryhmä voi jatkaa vaikutuksen avanneen laitteen tutkimista, tiedostot voidaan nyt ladata taustalla.

• Jos haluat ladata tiedoston taustalla, kirjoita download <file_path> &reaaliaikaisen vastauksen komentokonsoliin .
• Jos odotat tiedoston lataamista, voit siirtää sen taustalle painamalla Ctrl + Z.
• Jos haluat tuoda tiedoston latauksen edustalle, kirjoita fg <command_id>live-vastauskomentokonsoliin .

Seuraavassa on joitakin esimerkkejä:

Komento	Mitä se tekee
getfile "C:\windows\some_file.exe" &	Aloittaa tiedoston lataamisen nimeltä some_file.exe taustalla.
fg 1234	Palauttaa latauksen, jonka komentotunnus on 1234 , edustalle.

Sijoita tiedosto kirjastoon

Reaaliaikaisessa vastauksessa on kirjasto, johon voit sijoittaa tiedostoja. Kirjastoon tallennetaan tiedostoja (kuten komentosarjoja), jotka voidaan suorittaa reaaliaikaisessa vastausistunnossa vuokraajatasolla.

Reaaliaikainen vastaus sallii PowerShell-komentosarjojen suorittamisen, mutta sinun on ensin sijoitava tiedostot kirjastoon, ennen kuin voit suorittaa ne.

Sinulla voi olla kokoelma PowerShell-komentosarjoja, jotka voidaan suorittaa laitteissa, joilla aloitat reaaliaikaisen vastauksen istunnot.

Tiedoston lataaminen kirjastoon

1. Valitse Lataa tiedosto kirjastoon.

2. Valitse Selaa ja valitse tiedosto.

3. Kirjoita lyhyt kuvaus.

4. Määritä, haluatko korvata samannimisen tiedoston.

5. Jos haluat olla, tiedä, mitä parametreja komentosarjaan tarvitaan, valitse komentosarjaparametrit -valintaruutu. Kirjoita tekstikenttään esimerkki ja kuvaus.

6. Valitse Vahvista.

7. (Valinnainen) Voit varmistaa, että tiedosto on ladattu kirjastoon, suorittamalla komennon library .

Peruuta komento

Voit peruuttaa komennon milloin tahansa istunnon aikana painamalla CTRL + C.

Varoitus

Tämän pikakuvakkeen käyttäminen ei pysäytä komentoa agentin puolella. Se peruuttaa komennon vain portaalissa. Toimintojen, kuten korjaaminen, muuttaminen voi siis jatkua, kun komento peruutetaan.

Suorita komentosarja

Ennen kuin voit suorittaa PowerShell/Bash-komentosarjan, sinun on ensin ladattava se kirjastoon.

Kun olet ladannut komentosarjan kirjastoon, suorita komentosarja -komennolla run .

Jos aiot käyttää allekirjoittamatonta PowerShell-komentosarjaa istunnossa, sinun on otettava asetus käyttöön Lisäominaisuudet-asetussivulla .

Varoitus

Allekirjoittamattomien komentosarjojen käytön salliminen voi lisätä altistumista uhille.

Komentoparametrien käyttäminen

• Katso lisätietoja komentoparametreista konsolin ohjeesta. Saat lisätietoja yksittäisestä komennosta suorittamalla:

  help <command name>
  

• Kun käytät parametreja komentoihin, ota huomioon, että parametreja käsitellään kiinteän järjestyksen mukaan:

  <command name> param1 param2
  

• Kun määrität parametreja kiinteän järjestyksen ulkopuolella, määritä parametrin nimi yhdysmerkillä ennen arvon antamista:

  <command name> -param2_name param2
  

• Kun käytät komentoja, joilla on edellytettävät komennot, voit käyttää merkintöjä:

  <command name> -type file -id <file path> - auto
  

  TAI

  remediate file <file path> - auto`
  

Tuetut tulostetyypit

Reaaliaikainen vastaus tukee taulukoiden ja JSON-muotojen tulostetyyppejä. Jokaisella komennolla on oletustulostetoiminta. Voit muokata tulosta haluamassasi tulostusmuodossa seuraavien komentojen avulla:

• -output json
• -output table

Huomautus

Taulukkomuodossa näkyy vähemmän kenttiä rajoitetun tilan vuoksi. Jos haluat lisätietoja tuloksista, voit käyttää JSON-tulostekomentoa, jotta näet lisätietoja.

Tuetut tulosputket

Reaaliaikainen vastaus tukee komentorivikäyttöliittymän ja -tiedoston tulosteputkia. Komentorivikäyttöliittymä on oletusarvoinen tulostetoiminto. Voit putkittaa tulosteen tiedostoon seuraavalla komennolla: [command] > [filename].txt.

Esimerkki:

processes > output.txt

Komentolokin tarkasteleminen

Valitse Komentoloki-välilehti , jos haluat tarkastella laitteessa istunnon aikana käytettyjä komentoja. Kutakin komentoa seurataan käyttäen kaikkia tietoja, kuten:

• ID
• Komentoriviltä
• Kesto
• Tila ja syöttö- tai tulostussivupalkki

Rajoitukset

• Reaaliaikaisen vastauksen istunnot on rajoitettu 25 live-vastausistuntoon kerrallaan.
• Reaaliaikaisen vastauksen istunnon passiivisen aikakatkaisun arvo on 30 minuuttia.
• Yksittäisten reaaliaikaisten vastauskomentojen aikarajoitus on 10 minuuttia, lukuun ottamatta getfile- findfileja run-komentoja, joiden enimmäisraja on 30 minuuttia.
• Käyttäjä voi aloittaa enintään 10 samanaikaista istuntoa.
• Laite voi olla vain yhdessä istunnossa kerrallaan.
• Seuraavat tiedoston kokorajoitukset ovat voimassa:
  • getfile raja: 3 Gt
  • fileinfo raja: 30 Gt
  • library raja: 250 Mt

Aiheeseen liittyvä artikkeli

• Live responsen komentoesimerkkejä

Vihje

Haluatko tietää lisää? Engage Microsoft security -yhteisön kanssa teknologiayhteisössämme: Microsoft Defender for Endpoint Tech Community.