La réponse en direct permet aux équipes des opérations de sécurité d’accéder instantanément à un appareil (également appelé machine) à l’aide d’une connexion shell à distance. La réponse en direct vous donne le pouvoir d’effectuer un travail d’investigation approfondi et de prendre des mesures de réponse immédiates pour contenir rapidement les menaces identifiées en temps réel.
La réponse en direct est conçue pour améliorer les enquêtes en permettant à votre équipe des opérations de sécurité de collecter des données d’investigation, d’exécuter des scripts, d’envoyer des entités suspectes à des fins d’analyse, de corriger les menaces et de rechercher de manière proactive les menaces émergentes.
Avec la réponse en direct, les analystes peuvent effectuer toutes les tâches suivantes :
Exécutez des commandes de base et avancées pour effectuer un travail d’investigation sur un appareil.
Téléchargez des fichiers tels que des exemples de programmes malveillants et les résultats des scripts PowerShell.
Téléchargez les fichiers en arrière-plan (nouveau !).
Chargez un script PowerShell ou un exécutable dans la bibliothèque et exécutez-le sur un appareil à partir d’un niveau client.
Effectuer ou annuler des actions de correction.
Avant de commencer
Avant de pouvoir lancer une session sur un appareil, vérifiez que vous remplissez les conditions suivantes :
Vérifiez que vous exécutez une version prise en charge de Windows.
Les appareils doivent exécuter l’une des versions suivantes de Windows
Pour Windows Server 2012R2 ou 2016, l’agent unifié doit être installé et il est recommandé de mettre à jour la dernière version du capteur avec KB5005292.
Seuls les administrateurs et les utilisateurs disposant des autorisations « Gérer les paramètres du portail » peuvent activer la réponse en direct.
Activez la réponse en direct pour les serveurs à partir de la page des paramètres avancés (recommandé).
Notes
Seuls les administrateurs et les utilisateurs disposant des autorisations « Gérer les paramètres du portail » peuvent activer la réponse en direct.
Activer l’exécution de script non signé de réponse en direct (facultatif).
Important
La vérification de signature s’applique uniquement aux scripts PowerShell.
Avertissement
Autoriser l’utilisation de scripts non signés peut augmenter votre exposition aux menaces.
L’exécution de scripts non signés n’est pas recommandée, car cela peut augmenter votre exposition aux menaces. Toutefois, si vous devez les utiliser, vous devez activer le paramètre dans la page Paramètres des fonctionnalités avancées .
Vérifiez que vous disposez des autorisations appropriées.
Seuls les utilisateurs approvisionnés avec les autorisations appropriées peuvent lancer une session. Pour plus d’informations sur les attributions de rôles, consultez Create et gérer les rôles.
Important
L’option de chargement d’un fichier dans la bibliothèque n’est disponible que pour les utilisateurs disposant de l’autorisation « Gérer les paramètres de sécurité ».
Le bouton est grisé pour les utilisateurs disposant uniquement d’autorisations déléguées.
Selon le rôle qui vous a été accordé, vous pouvez exécuter des commandes de réponse en direct de base ou avancées. Les autorisations des utilisateurs sont contrôlées par le rôle personnalisé RBAC.
Vue d’ensemble du tableau de bord des réponses en direct
Lorsque vous lancez une session de réponse en direct sur un appareil, un tableau de bord s’ouvre. Le tableau de bord fournit des informations sur la session, telles que les suivantes :
Qui a créé la session
Quand la session a démarré
Durée de la session
Le tableau de bord vous donne également accès aux éléments suivants :
Inscription de l’application dans Azure Active Directory
Charger des fichiers dans la bibliothèque
Console de commandes
Journal des commandes
Lancer une session de réponse en direct sur un appareil
Notes
Les actions de réponse en direct lancées à partir de la page Appareil ne sont pas disponibles dans l’API machineactions.
Connectez-vous au portail Microsoft Defender.
Accédez à Points de terminaison > Inventaire des appareils et sélectionnez un appareil à examiner. La page appareils s’ouvre.
Lancez la session de réponse en direct en sélectionnant Lancer la session de réponse en direct. Une console de commande s’affiche. Attendez que la session se connecte à l’appareil.
Utilisez les commandes intégrées pour effectuer un travail d’investigation. Pour plus d’informations, consultez Commandes de réponse en direct.
Après avoir terminé votre investigation, sélectionnez Déconnecter la session, puis sélectionnez Confirmer.
Commandes de réponse en direct
Selon le rôle qui vous a été accordé, vous pouvez exécuter des commandes de réponse en direct de base ou avancées. Les autorisations utilisateur sont contrôlées par les rôles personnalisés RBAC. Pour plus d’informations sur les attributions de rôles, consultez Create et gérer les rôles.
Notes
La réponse en direct est un interpréteur de commandes interactif basé sur le cloud. Par conséquent, l’expérience de commande spécifique peut varier en fonction de la qualité du réseau et de la charge du système entre l’utilisateur final et l’appareil cible.
Commandes de base
Les commandes suivantes sont disponibles pour les rôles d’utilisateur qui ont la possibilité d’exécuter des commandes de réponse dynamique de base . Pour plus d’informations sur les attributions de rôles, consultez Create et gérer les rôles.
Command
Description
Windows et Windows Server
macOS
Linux
cd
Modifie le répertoire actif.
v
v
v
cls
Efface l’écran de la console.
v
v
v
connect
Lance une session de réponse en direct sur l’appareil.
v
v
v
connections
Affiche toutes les connexions actives.
v
N
N
dir
Affiche une liste de fichiers et de sous-répertoires dans un répertoire.
v
v
v
drivers
Affiche tous les pilotes installés sur l’appareil.
v
N
N
fg <command ID>
Placez le travail spécifié au premier plan, ce qui en fait le travail actuel. Notez que fg prend un command ID disponible à partir des travaux, et non un PID.
v
v
v
fileinfo
Récupération d’informations sur un fichier.
v
v
v
findfile
Localise les fichiers par un nom donné sur l’appareil.
v
v
v
getfile <file_path>
Télécharge un fichier.
v
v
v
help
Fournit des informations d’aide pour les commandes de réponse en direct.
v
v
v
jobs
Affiche les travaux en cours d’exécution, leur ID et leur status.
v
v
v
persistence
Affiche toutes les méthodes de persistance connues sur l’appareil.
v
N
N
processes
Affiche tous les processus en cours d’exécution sur l’appareil.
v
v
v
registry
Affiche les valeurs de Registre.
v
N
N
scheduledtasks
Affiche toutes les tâches planifiées sur l’appareil.
v
N
N
services
Affiche tous les services sur l’appareil.
v
N
N
startupfolders
Affiche tous les fichiers connus dans les dossiers de démarrage sur l’appareil.
v
N
N
status
Affiche la status et la sortie d’une commande spécifique.
v
v
v
trace
Définit le mode de journalisation du terminal pour déboguer.
v
v
v
Commandes avancées
Les commandes suivantes sont disponibles pour les rôles d’utilisateur qui ont la possibilité d’exécuter des commandes de réponse dynamique avancées . Pour plus d’informations sur les attributions de rôles, consultez Create et gérer les rôles.
Command
Description
Windows et Windows Server
macOS
Linux
analyze
Analyse l’entité avec différents moteurs d’incrimination pour parvenir à un verdict.
v
N
N
collect
Collecte le package d’investigation de l’appareil.
N
v
v
isolate
Déconnecte l’appareil du réseau tout en conservant la connectivité au service Defender pour point de terminaison.
N
v
N
release
Libère un appareil de l’isolement réseau.
N
v
N
run
Exécute un script PowerShell à partir de la bibliothèque sur l’appareil.
v
v
v
library
Listes les fichiers qui ont été chargés dans la bibliothèque de réponses dynamiques.
v
v
v
putfile
Place un fichier de la bibliothèque sur l’appareil. Les fichiers sont enregistrés dans un dossier de travail et sont supprimés lorsque l’appareil redémarre par défaut.
v
v
v
remediate
Corrige une entité sur l’appareil. L’action de correction varie en fonction du type d’entité : - Fichier : supprimer - Processus : arrêter, supprimer le fichier image - Service : arrêter, supprimer le fichier image - Entrée de Registre : supprimer - Tâche planifiée : supprimer - Élément du dossier de démarrage : supprimer le fichier
Cette commande a une commande prérequise. Vous pouvez utiliser la -auto commande conjointement avec corriger pour exécuter automatiquement la commande requise.
v
v
v
scan
Exécute une analyse antivirus rapide pour aider à identifier et corriger les programmes malveillants.
N
v
v
undo
Restaure une entité qui a été corrigée.
v
N
N
Notes
Les limites de taille de fichier suivantes s’appliquent à la putfile commande de réponse en direct :
Windows : 300 Mo
Autres plateformes : 10 Mo
Utiliser des commandes de réponse dynamique
Les commandes que vous pouvez utiliser dans la console suivent des principes similaires à ceux des commandes Windows.
Les commandes avancées offrent un ensemble plus robuste d’actions qui vous permettent d’effectuer des actions plus puissantes telles que télécharger et charger un fichier, exécuter des scripts sur l’appareil et effectuer des actions de correction sur une entité.
Obtenir un fichier à partir de l’appareil
Pour les scénarios où vous souhaitez obtenir un fichier à partir d’un appareil que vous examinez, vous pouvez utiliser la getfile commande . Cela vous permet d’enregistrer le fichier à partir de l’appareil pour une investigation plus approfondie.
Notes
Les limites de taille de fichier suivantes s’appliquent :
getfile limite : 3 Go
fileinfo limite : 30 Go
library limite : 250 Mo
Télécharger un fichier en arrière-plan
Pour permettre à votre équipe des opérations de sécurité de continuer à examiner un appareil affecté, les fichiers peuvent désormais être téléchargés en arrière-plan.
Pour télécharger un fichier en arrière-plan, dans la console de commande de réponse dynamique, tapez download <file_path> &.
Si vous attendez qu’un fichier soit téléchargé, vous pouvez le déplacer en arrière-plan à l’aide de Ctrl + Z.
Pour mettre un fichier téléchargé au premier plan, dans la console de commande de réponse en direct, tapez fg <command_id>.
Voici quelques exemples :
Command
Ce qu'il fait
getfile "C:\windows\some_file.exe" &
Démarre le téléchargement d’un fichier nommé some_file.exe en arrière-plan.
fg 1234
Retourne un téléchargement avec l’ID de commande 1234 au premier plan.
Placer un fichier dans la bibliothèque
La réponse en direct dispose d’une bibliothèque dans laquelle vous pouvez placer des fichiers. La bibliothèque stocke les fichiers (tels que les scripts) qui peuvent être exécutés dans une session de réponse dynamique au niveau du locataire.
La réponse dynamique permet aux scripts PowerShell de s’exécuter, mais vous devez d’abord placer les fichiers dans la bibliothèque avant de pouvoir les exécuter.
Vous pouvez disposer d’une collection de scripts PowerShell qui peuvent s’exécuter sur les appareils avec lesquels vous lancez des sessions de réponse en direct.
Pour charger un fichier dans la bibliothèque
Cliquez sur Charger le fichier dans la bibliothèque.
Cliquez sur Parcourir et sélectionnez le fichier.
Fournissez une brève description.
Spécifiez si vous souhaitez remplacer un fichier portant le même nom.
Si vous le souhaitez, sachez quels paramètres sont nécessaires pour le script, sélectionnez la zone paramètres du script case activée. Dans le champ de texte, entrez un exemple et une description.
Cliquez sur Confirmer.
(Facultatif) Pour vérifier que le fichier a été chargé dans la bibliothèque, exécutez la library commande .
Annuler une commande
À tout moment pendant une session, vous pouvez annuler une commande en appuyant sur Ctrl +C.
Avertissement
L’utilisation de ce raccourci n’arrête pas la commande côté agent. Elle annule uniquement la commande dans le portail. Par conséquent, la modification des opérations telles que « corriger » peut continuer, pendant que la commande est annulée.
Exécuter un script
Avant de pouvoir exécuter un script PowerShell/Bash, vous devez d’abord le charger dans la bibliothèque.
Après avoir chargé le script dans la bibliothèque, utilisez la run commande pour exécuter le script.
Si vous envisagez d’utiliser un script PowerShell non signé dans la session, vous devez activer le paramètre dans la page Paramètres des fonctionnalités avancées .
Avertissement
Autoriser l’utilisation de scripts non signés peut augmenter votre exposition aux menaces.
Appliquer des paramètres de commande
Consultez l’aide de la console pour en savoir plus sur les paramètres de commande. Pour en savoir plus sur une commande individuelle, exécutez :
PowerShell
help <command name>
Lorsque vous appliquez des paramètres à des commandes, notez que les paramètres sont gérés selon un ordre fixe :
PowerShell
<command name> param1 param2
Lorsque vous spécifiez des paramètres en dehors de l’ordre fixe, spécifiez le nom du paramètre avec un trait d’union avant de fournir la valeur :
PowerShell
<command name> -param2_nameparam2
Lorsque vous utilisez des commandes qui ont des commandes requises, vous pouvez utiliser des indicateurs :
PowerShell
<command name> -type file -id <file path> - auto
ou
PowerShell
remediate file <file path> - auto`
Types de sortie pris en charge
La réponse en direct prend en charge les types de sortie au format table et JSON. Pour chaque commande, il existe un comportement de sortie par défaut. Vous pouvez modifier la sortie dans votre format de sortie préféré à l’aide des commandes suivantes :
-output json
-output table
Notes
Moins de champs sont affichés au format tableau en raison de l’espace limité. Pour afficher plus de détails dans la sortie, vous pouvez utiliser la commande de sortie JSON afin que d’autres détails soient affichés.
Canaux de sortie pris en charge
La réponse en direct prend en charge le piping de sortie vers l’interface CLI et le fichier. L’interface CLI est le comportement de sortie par défaut. Vous pouvez diriger la sortie vers un fichier à l’aide de la commande suivante : [commande] > [nom_fichier].txt.
Exemple :
Console
processes > output.txt
Afficher le journal des commandes
Sélectionnez l’onglet Journal des commandes pour afficher les commandes utilisées sur l’appareil pendant une session. Chaque commande fait l’objet d’un suivi avec des détails complets tels que :
ID
Ligne de commande
Durée
État et barre latérale d’entrée ou de sortie
Limitations
Les sessions de réponse en direct sont limitées à 25 sessions de réponse en direct à la fois.
La valeur du délai d’expiration inactif de la session de réponse en direct est de 30 minutes.
Les commandes de réponse en direct individuelles ont une limite de temps de 10 minutes, à l’exception de getfile, findfileet run, qui ont une limite de 30 minutes.
Un utilisateur peut lancer jusqu’à 10 sessions simultanées.
Un appareil ne peut se trouver que dans une seule session à la fois.
Les limites de taille de fichier suivantes s’appliquent :