Exemples de commande Live response

S’applique à :

• Microsoft Defender pour point de terminaison Plan 2
• Microsoft Defender XDR

Vous voulez découvrir Defender pour point de terminaison ? Inscrivez-vous pour bénéficier d’un essai gratuit.

Découvrez les commandes courantes utilisées dans la réponse en direct et consultez des exemples sur la façon dont elles sont généralement utilisées.

Selon le rôle dont vous disposez, vous pouvez exécuter des commandes de réponse en direct de base ou avancées. Pour plus d’informations sur les commandes de base et avancées, consultez Examiner les entités sur les appareils à l’aide de la réponse en direct.

analyze

# Analyze the file malware.txt
analyze file c:\Users\user\Desktop\malware.txt

# Analyze the process by PID
analyze process 1234

connections

# List active connections in json format using parameter name
connections -output json

# List active connections in json format without parameter name
connections json

dir

# List files and sub-folders in the current folder (by default it will show relative paths [-relative_path])
dir

# List files and sub-folders in the current folder, with their full path
dir -full_path

# List files and sub-folders in a specific folder
dir C:\Users\user\Desktop\

# List files and subfolders in the current folder in json format
dir -output json

fileinfo

# Display information about a file
fileinfo C:\Windows\notepad.exe

findfile

# Find file by name
findfile test.txt

getfile

# Download a file from a machine
getfile c:\Users\user\Desktop\work.txt

# Download a file from a machine, automatically run prerequisite commands
getfile c:\Users\user\Desktop\work.txt -auto

Remarque

Les types de fichiers suivants ne peuvent pas être téléchargés à l’aide de cette commande à partir de Live Response :

• Répare des fichiers de point
• Fichiers partiellement alloués
• Fichiers vides
• Fichiers virtuels ou fichiers qui ne sont pas entièrement présents localement

Ces types de fichiers sont pris en charge par PowerShell.

Utilisez PowerShell comme alternative si vous rencontrez des problèmes lors de l’utilisation de cette commande à partir de Live Response.

library

# List files in the library
library

# Delete a file from the library
library delete script.ps1

processes

# Show all processes
processes

# Get process by pid
processes 123

# Get process by pid with argument name
processes -pid 123

# Get process by name
processes -name notepad.exe

putfile

# Upload file from library
putfile get-process-by-name.ps1

# Upload file from library, overwrite file if it exists
putfile get-process-by-name.ps1 -overwrite

# Upload file from library, keep it on the machine after a restart
putfile get-process-by-name.ps1 -keep

registry

# Show information about the values in a registry key
registry HKEY_CURRENT_USER\Console

# Show information about a specific registry value (the double backslash \\ indicates a registry value versus key)
registry HKEY_CURRENT_USER\Console\\ScreenBufferSize

remediate

# Remediate file in specific path
remediate file c:\Users\user\Desktop\malware.exe

# Remediate process with specific PID
remediate process 7960

# See list of all remediated entities
remediate list

run

# Run PowerShell script from the library without arguments
run script.ps1

# Run PowerShell script from the library with arguments
run get-process-by-name.ps1 -parameters "-processName Registry"

Remarque

Pour les commandes longues telles que « run » ou « getfile », vous pouvez utiliser le symbole «&» à la fin de la commande pour effectuer cette action en arrière-plan. Cela vous permet de continuer à examiner l’ordinateur et de revenir à la commande en arrière-plan lorsque vous avez terminé à l’aide de la commande de base « fg ».

Lorsque vous passez des paramètres à un script de réponse en direct, n’incluez pas les caractères interdits suivants : « ;», « &», « | »,« ! » et « $ ».

scheduledtask

# Get all scheduled tasks
scheduledtasks

# Get specific scheduled task by location and name
scheduledtasks Microsoft\Windows\Subscription\LicenseAcquisition

# Get specific scheduled task by location and name with spacing
scheduledtasks "Microsoft\Configuration Manager\Configuration Manager Health Evaluation"

undo

# Restore remediated registry
undo registry HKEY_CURRENT_USER\Console\ScreenBufferSize

# Restore remediated scheduledtask
undo scheduledtask Microsoft\Windows\Subscription\LicenseAcquisition

# Restore remediated file
undo file c:\Users\user\Desktop\malware.exe

Conseil

Voulez-vous en savoir plus ? Engage avec la communauté Microsoft Security dans notre communauté technique : Microsoft Defender pour point de terminaison Tech Community.