Laitteiden entiteettien tutkiminen reaaliaikaisen vastauksen avulla
Koskee seuraavia:
Haluatko kokeilla Defender for Endpointia? Rekisteröidy maksuttomaan kokeiluversioon.
Reaaliaikainen vastaus antaa suojaustoiminnoille välittömän pääsyn laitteeseen (jota kutsutaan myös koneeksi) etäliittymäyhteyden avulla. Reaaliaikaisen vastauksen avulla voit tehdä perusteellista tutkimustyötä ja ryhtyä välittömiin toimiin tunnistettujen uhkien nopeaan hillitsemiseen reaaliaikaisesti.
Reaaliaikainen reagointi on suunniteltu tehostamaan tutkimuksia antamalla suojaustiimillesi mahdollisuus kerätä rikosteknisiä tietoja, suorittaa komentosarjoja, lähettää epäilyttäviä entiteettejä analysoitaviksi, korjata uhkia ja etsiä ennakoivasti uusia uhkia.
Reaaliaikaisen vastauksen avulla analyytikot voivat tehdä kaikki seuraavat tehtävät:
- Suorita perus- ja lisäkomentoja laitteessa tutkimista varten.
- Lataa tiedostoja, kuten haittaohjelmanäytteitä ja PowerShell-komentosarjojen tuloksia.
- Lataa tiedostot taustalla (uusi!).
- Lataa PowerShell-komentosarja tai suoritettava tiedosto kirjastoon ja suorita se laitteessa vuokraajatasolta.
- Suorita tai kumoa korjaustoimintoja.
Ennen kuin voit aloittaa istunnon laitteessa, varmista, että täytät seuraavat vaatimukset:
Varmista, että käytössäsi on tuettu Windows-versio.
Laitteissa on oltava käytössä jokin seuraavista Windows-versioista
Windows 10 & 11
- Versio 1909 tai uudempi
- Versio 1903 ja KB4515384
- Versio 1809 (RS 5), jossa on KB4537818
- Versio 1803 (RS 4), jossa on KB4537795
- Versio 1709 (RS 3), jossa on KB4537816
macOS – Vähimmäisversio: 101.43.84. Tuetaan Intel-pohjaisissa ja ARM-pohjaisissa macOS-laitteissa.
Linux – Pienin pakollinen versio: 101.45.13
Windows Server 2012 R2 – sisältää KB5005292
Windows Server 2016 – ja KB5005292
Huomautus
Windows Server 2012R2:ssa tai 2016:ssa Unified Agent on oltava asennettuna, ja on suositeltavaa korjata uusimpaan tunnistinversioon KB5005292.
Windows Server 2019
Windows Server 2022
Ota reaaliaikainen vastaus käyttöön Lisäasetukset-sivulta.
Sinun on otettava käyttöön reaaliaikainen vastaustoiminto Lisäominaisuudet-asetussivulla .
Huomautus
Vain järjestelmänvalvojat ja käyttäjät, joilla on portaaliasetusten hallintaoikeudet, voivat ottaa käyttöön reaaliaikaisen vastauksen.
Ota reaaliaikainen vastaus käyttöön palvelimille lisäasetusten sivulta (suositus ).
Huomautus
Vain järjestelmänvalvojat ja käyttäjät, joilla on portaaliasetusten hallintaoikeudet, voivat ottaa käyttöön reaaliaikaisen vastauksen.
Ota käyttöön reaaliaikainen vastaus allekirjoittamaton komentosarjan suorittaminen (valinnainen).
Tärkeä
Allekirjoituksen tarkistus koskee vain PowerShell-komentosarjoja.
Varoitus
Allekirjoittamattomien komentosarjojen käytön salliminen voi lisätä altistumista uhille.
Allekirjoittamattomien komentosarjojen suorittamista ei suositella, koska se voi lisätä altistumista uhille. Jos sinun on käytettävä niitä, sinun on otettava asetus käyttöön Lisäominaisuudet-asetussivulla .
Varmista, että sinulla on asianmukaiset käyttöoikeudet.
Vain käyttäjät, joille on määritetty tarvittavat käyttöoikeudet, voivat aloittaa istunnon. Jos haluat lisätietoja roolien määrittämisestä, katso Create ja roolien hallinta.
Tärkeä
Mahdollisuus ladata tiedosto kirjastoon on käytettävissä vain käyttäjille, joilla on suojausasetusten hallintaoikeus. Painike näkyy harmaana käyttäjille, joilla on vain delegoidut käyttöoikeudet.
Sinulle myönnetystä roolista riippuen voit suorittaa perus- tai edistyneitä live-vastauskomentoja. Käyttäjien käyttöoikeuksia hallitaan mukautetulla RBAC-roolilla.
Kun aloitat reaaliaikaisen vastausistunnon laitteessa, avautuu koontinäyttö. Koontinäyttö sisältää istuntoa koskevia tietoja, kuten seuraavat:
- Istunnon luonut käyttäjä
- Istunnon alkamisajankohdan
- Istunnon kesto
Koontinäytössä voit myös käyttää:
- Katkaise istunnon yhteys
- Tiedostojen lataaminen kirjastoon
- Komentokonsoli
- Komentoloki
Huomautus
Laitteen sivulta aloitetut reaaliaikaiset vastaustoiminnot eivät ole käytettävissä konetoimintojen ohjelmointirajapinnassa.
Kirjaudu sisään Microsoft Defender portaaliin.
Siirry päätepisteisiin > Laitteen varasto ja valitse laite tutkittavaksi. Laitteiden sivu avautuu.
Käynnistä reaaliaikainen vastausistunto valitsemalla Aloita reaaliaikainen vastausistunto. Komentokonsoli tulee näkyviin. Odota, istunto muodostaa yhteyden laitteeseen.
Käytä sisäisiä komentoja tutkimustyön tekemiseen. Lisätietoja on artikkelissa Reaaliaikaisen vastauksen komennot.
Kun olet suorittanut tutkimuksen, valitse Katkaise istunto ja valitse sitten Vahvista.
Sinulle myönnetystä roolista riippuen voit suorittaa perus- tai edistyneitä live-vastauskomentoja. Käyttäjien käyttöoikeuksia hallitaan mukautetuilla RBAC-rooleilla. Jos haluat lisätietoja roolien määrittämisestä, katso Create ja roolien hallinta.
Huomautus
Reaaliaikainen vastaus on pilvipohjainen vuorovaikutteinen käyttöliittymä, joten tietty komentokokemus voi vaihdella vasteajan mukaan verkon laadun ja järjestelmän kuormituksen mukaan loppukäyttäjän ja kohdelaitteen välillä.
Seuraavat komennot ovat käytettävissä käyttäjärooleille, joille on myönnetty mahdollisuus suorittaa live-perusvastauskomentoja . Jos haluat lisätietoja roolien määrittämisestä, katso Create ja roolien hallinta.
Komento | Kuvaus | Windows ja Windows Server | Macos | Linux |
---|---|---|---|---|
cd |
Muuttaa nykyistä hakemistoa. | Y | Y | Y |
cls |
Tyhjentää konsolinäytön. | Y | Y | Y |
connect |
Käynnistää laitteelle reaaliaikaisen vastausistunnon. | Y | Y | Y |
connections |
Näyttää kaikki aktiiviset yhteydet. | Y | N | N |
dir |
Näyttää luettelon hakemiston tiedostoista ja alihakemistoista. | Y | Y | Y |
drivers |
Näyttää kaikki laitteeseen asennetut ohjaimet. | Y | N | N |
fg <command ID> |
Sijoita määritetty työ edustalle ja tee siitä nykyinen työ. Ota huomioon, että käytettävissä fg ovat command ID työt, eivät PID-tunnuksen. |
Y | Y | Y |
fileinfo |
Hae tietoja tiedostosta. | Y | Y | Y |
findfile |
Paikantaa tiedostot annetulla nimellä laitteessa. | Y | Y | Y |
getfile <file_path> |
Lataa tiedoston. | Y | Y | Y |
help |
Tarjoaa ohjeita reaaliaikaisten vastauskomentojen käyttöön. | Y | Y | Y |
jobs |
Näyttää käynnissä olevat työt sekä niiden tunnuksen ja tilan. | Y | Y | Y |
persistence |
Näyttää kaikki laitteen tunnetut pysyvyysmenetelmät. | Y | N | N |
processes |
Näyttää kaikki laitteessa käynnissä olevat prosessit. | Y | Y | Y |
registry |
Näyttää rekisteriarvot. | Y | N | N |
scheduledtasks |
Näyttää kaikki laitteen ajoitetut tehtävät. | Y | N | N |
services |
Näyttää kaikki laitteen palvelut. | Y | N | N |
startupfolders |
Näyttää kaikki tunnetut tiedostot laitteen käynnistyskansioissa. | Y | N | N |
status |
Näyttää tietyn komennon tilan ja tuloksen. | Y | Y | Y |
trace |
Määrittää päätteen kirjaustilan virheenkorjaukseksi. | Y | Y | Y |
Seuraavat komennot ovat käytettävissä käyttäjärooleille, joille on myönnetty mahdollisuus suorittaa edistyneitä reaaliaikaisia vastauskomentoja. Jos haluat lisätietoja roolien määrittämisestä, katso Create ja roolien hallinta.
Komento | Kuvaus | Windows ja Windows Server | Macos | Linux |
---|---|---|---|---|
analyze |
Analysoi entiteettiä erilaisilla syytösmoottoreilla päätöksen aikaansaamiseksi. | Y | N | N |
collect |
Kerää rikosteknisen paketin laitteesta. | N | Y | Y |
isolate |
Katkaisee laitteen yhteyden verkkoon säilyttäen yhteyden Defender for Endpoint -palveluun. | N | Y | N |
release |
Vapauttaa laitteen verkosta eristyksestä. | N | Y | N |
run |
Suorittaa PowerShell-komentosarjan laitteen kirjastosta. | Y | Y | Y |
library |
Lists tiedostot, jotka on ladattu reaaliaikaiseen vastauskirjastoon. | Y | Y | Y |
putfile |
Siirtää tiedoston kirjastosta laitteeseen. Tiedostot tallennetaan työkansioon, ja ne poistetaan, kun laite käynnistyy oletusarvoisesti uudelleen. | Y | Y | Y |
remediate |
Korjaa laitteen entiteetin. Korjaustoiminto vaihtelee entiteettityypin mukaan: - Tiedosto: poista - Prosessi: pysäytä, poista kuvatiedosto - Palvelu: lopeta, poista kuvatiedosto - Rekisterimerkintä: poistaminen - Ajoitettu tehtävä: poista - Käynnistyskansion kohde: poista tiedosto Tällä komennolla on edellytyskomento. Voit suorittaa edellytettävän komennon -auto automaattisesti käyttämällä -komentoa yhdessä korjauksen kanssa. |
Y | Y | Y |
scan |
Suorittaa nopean virustentorjuntatarkistuksen haittaohjelmien tunnistamiseksi ja korjaamiseksi. | N | Y | Y |
undo |
Palauttaa korjatun entiteetin. | Y | N | N |
Huomautus
Live-vastauskomentoon sovelletaan seuraavia putfile
tiedoston kokorajoituksia:
- Windows: 300 Mt
- Muut ympäristöt: 10 Mt
Konsolissa käytettävät komennot noudattavat samanlaisia periaatteita kuin Windows-komennot.
Lisäkomennot tarjoavat entistä vankemman toimintojoukon, jonka avulla voit suorittaa tehokkaampia toimintoja, kuten ladata ja ladata tiedoston, suorittaa komentosarjoja laitteessa ja suorittaa korjaustoimintoja entiteetissä.
Jos haluat saada tiedoston tutkimastasi laitteesta, voit käyttää komentoa getfile
. Tämän avulla voit tallentaa tiedoston laitteesta lisätutkimuksia varten.
Huomautus
Seuraavat tiedoston kokorajoitukset ovat voimassa:
getfile
raja: 3 Gtfileinfo
raja: 30 Gtlibrary
raja: 250 Mt
Jotta suojaustoimintaryhmä voi jatkaa vaikutuksen avanneen laitteen tutkimista, tiedostot voidaan nyt ladata taustalla.
- Jos haluat ladata tiedoston taustalla, kirjoita
download <file_path> &
reaaliaikaisen vastauksen komentokonsoliin . - Jos odotat tiedoston lataamista, voit siirtää sen taustalle painamalla Ctrl + Z.
- Jos haluat tuoda tiedoston latauksen edustalle, kirjoita
fg <command_id>
live-vastauskomentokonsoliin .
Seuraavassa on joitakin esimerkkejä:
Komento | Mitä se tekee |
---|---|
getfile "C:\windows\some_file.exe" & |
Aloittaa tiedoston lataamisen nimeltä some_file.exe taustalla. |
fg 1234 |
Palauttaa latauksen, jonka komentotunnus on 1234 , edustalle. |
Reaaliaikaisessa vastauksessa on kirjasto, johon voit sijoittaa tiedostoja. Kirjastoon tallennetaan tiedostoja (kuten komentosarjoja), jotka voidaan suorittaa reaaliaikaisessa vastausistunnossa vuokraajatasolla.
Reaaliaikainen vastaus sallii PowerShell-komentosarjojen suorittamisen, mutta sinun on ensin sijoitava tiedostot kirjastoon, ennen kuin voit suorittaa ne.
Sinulla voi olla kokoelma PowerShell-komentosarjoja, jotka voidaan suorittaa laitteissa, joilla aloitat reaaliaikaisen vastauksen istunnot.
Valitse Lataa tiedosto kirjastoon.
Valitse Selaa ja valitse tiedosto.
Kirjoita lyhyt kuvaus.
Määritä, haluatko korvata samannimisen tiedoston.
Jos haluat olla, tiedä, mitä parametreja komentosarjaan tarvitaan, valitse komentosarjaparametrit -valintaruutu. Kirjoita tekstikenttään esimerkki ja kuvaus.
Valitse Vahvista.
(Valinnainen) Voit varmistaa, että tiedosto on ladattu kirjastoon, suorittamalla komennon
library
.
Voit peruuttaa komennon milloin tahansa istunnon aikana painamalla CTRL + C.
Varoitus
Tämän pikakuvakkeen käyttäminen ei pysäytä komentoa agentin puolella. Se peruuttaa komennon vain portaalissa. Toimintojen, kuten korjaaminen, muuttaminen voi siis jatkua, kun komento peruutetaan.
Ennen kuin voit suorittaa PowerShell/Bash-komentosarjan, sinun on ensin ladattava se kirjastoon.
Kun olet ladannut komentosarjan kirjastoon, suorita komentosarja -komennolla run
.
Jos aiot käyttää allekirjoittamatonta PowerShell-komentosarjaa istunnossa, sinun on otettava asetus käyttöön Lisäominaisuudet-asetussivulla .
Varoitus
Allekirjoittamattomien komentosarjojen käytön salliminen voi lisätä altistumista uhille.
Katso lisätietoja komentoparametreista konsolin ohjeesta. Saat lisätietoja yksittäisestä komennosta suorittamalla:
help <command name>
Kun käytät parametreja komentoihin, ota huomioon, että parametreja käsitellään kiinteän järjestyksen mukaan:
<command name> param1 param2
Kun määrität parametreja kiinteän järjestyksen ulkopuolella, määritä parametrin nimi yhdysmerkillä ennen arvon antamista:
<command name> -param2_name param2
Kun käytät komentoja, joilla on edellytettävät komennot, voit käyttää merkintöjä:
<command name> -type file -id <file path> - auto
TAI
remediate file <file path> - auto`
Reaaliaikainen vastaus tukee taulukoiden ja JSON-muotojen tulostetyyppejä. Jokaisella komennolla on oletustulostetoiminta. Voit muokata tulosta haluamassasi tulostusmuodossa seuraavien komentojen avulla:
-output json
-output table
Huomautus
Taulukkomuodossa näkyy vähemmän kenttiä rajoitetun tilan vuoksi. Jos haluat lisätietoja tuloksista, voit käyttää JSON-tulostekomentoa, jotta näet lisätietoja.
Reaaliaikainen vastaus tukee komentorivikäyttöliittymän ja -tiedoston tulosteputkia. Komentorivikäyttöliittymä on oletusarvoinen tulostetoiminto. Voit putkittaa tulosteen tiedostoon seuraavalla komennolla: [command] > [filename].txt.
Esimerkki:
processes > output.txt
Valitse Komentoloki-välilehti , jos haluat tarkastella laitteessa istunnon aikana käytettyjä komentoja. Kutakin komentoa seurataan käyttäen kaikkia tietoja, kuten:
- ID
- Komentoriviltä
- Kesto
- Tila ja syöttö- tai tulostussivupalkki
- Reaaliaikaisen vastauksen istunnot on rajoitettu 25 live-vastausistuntoon kerrallaan.
- Reaaliaikaisen vastauksen istunnon passiivisen aikakatkaisun arvo on 30 minuuttia.
- Yksittäisten reaaliaikaisten vastauskomentojen aikarajoitus on 10 minuuttia, lukuun ottamatta
getfile
-findfile
jarun
-komentoja, joiden enimmäisraja on 30 minuuttia. - Käyttäjä voi aloittaa enintään 10 samanaikaista istuntoa.
- Laite voi olla vain yhdessä istunnossa kerrallaan.
- Seuraavat tiedoston kokorajoitukset ovat voimassa:
getfile
raja: 3 Gtfileinfo
raja: 30 Gtlibrary
raja: 250 Mt
Vihje
Haluatko tietää lisää? Engage Microsoft security -yhteisön kanssa teknologiayhteisössämme: Microsoft Defender for Endpoint Tech Community.