בדיקת ישויות במכשירים המשתמשים בתגובה בזמן חי

חל על:

• Microsoft Defender עבור תוכנית 2 של נקודת קצה
• Microsoft Defender XDR

רוצה לחוות את Defender עבור נקודת קצה? הירשם לקבלת גירסת ניסיון ללא תשלום.

תגובה חיה מעניקה לצוותי פעולות אבטחה גישה מיידית למכשיר (המכונה גם מחשב) באמצעות חיבור מעטפת מרוחק. תגובה חיה מעניקה לך את העוצמה לבצע עבודת חקירה מעמיקה ולבצע פעולות תגובה מיידיות כדי להכיל מיד איומים מזוהים בזמן אמת.

תגובה חיה מיועדת לשפר חקירות על-ידי מתן אפשרות לצוות פעולות האבטחה לאסוף נתונים משפטיים, להפעיל קבצי Script, לשלוח ישויות חשודות לניתוח, לתיקון איומים ולצוד באופן יזום אחר איומים מתפתחים.

עם תגובה חיה, אנליסטים יכולים לבצע את כל המשימות הבאות:

• הפעל פקודות בסיסיות ומתקדמים כדי לבצע עבודת חקירה במכשיר.
• הורד קבצים כגון דוגמאות של תוכנות זדוניות והתוצאות של קבצי Script של PowerShell.
• הורד קבצים ברקע (חדש!).
• העלה קובץ Script של PowerShell או קובץ הפעלה לספריה והפעל אותו במכשיר מרמת דייר.
• בצע או בטל פעולות תיקון.

לפני שתתחיל

לפני שתוכל ליזום הפעלה במכשיר, הקפד לעמוד בדרישות הבאות:

• ודא שאתה משתמש בגירסה נתמכת של Windows.

  במכשירים חייבת לפעול אחת מהגרסאות הבאות של Windows

  • Windows 10 & 11

    • גירסה 1909 ואילך
    • גירסה 1903 עם KB4515384
    • גירסה 1809 (RS 5) עם KB4537818
    • גירסה 1803 (RS 4) עם KB4537795
    • גירסה 1709 (RS 3) עם KB4537816

  • macOS - הגירסה הנדרשת המינימלית: 101.43.84. נתמך עבור מכשירי macOS מבוססי-Intel ומבוססי ARM.

  • Linux - הגירסה הנדרשת המינימלית: 101.45.13

  • Windows Server 2012 R2 - עם KB5005292

  • Windows Server 2016 - עם KB5005292

    הערה

    עבור Windows Server 2012R2 או Windows Server 2016, עליך להתקין את Unified Agent , ומומלץ לבצע תיקון לגירסת החיישן העדכנית ביותר באמצעות KB5005292.

  • Windows Server 2019

    • גירסה 1903 או (עם KB4515384) מאוחר יותר
    • גירסה 1809 (עם KB4537818)

  • Windows Server 2022

• הפוך תגובה חיה לזמינה מתוך דף ההגדרות המתקדמות.

  עליך להפוך את יכולת התגובה בזמן חי לזמינה בדף ההגדרות של התכונות המתקדמות .

  הערה

  רק מנהלי מערכת ומשתמשים בעלי הרשאות 'ניהול הגדרות פורטל' יכולים לאפשר תגובה חיה.

• הפוך תגובה חיה לזמינה עבור שרתים מתוך דף ההגדרות המתקדמות (מומלץ).

  הערה

  רק מנהלי מערכת ומשתמשים בעלי הרשאות 'ניהול הגדרות פורטל' יכולים לאפשר תגובה חיה.

• אפשר הפעלה של קובץ Script לא רשום בתגובה חיה (אופציונלי).

  חשוב

  אימות חתימה חל רק על קבצי Script של PowerShell.

  אזהרה

  מתן אפשרות לשימוש בקבצי Script לא רשום עשוי להגביר את החשיפה שלך לאיומים.

  הפעלת קבצי Script לא רשום אינה מומלצת מאחר שהיא יכולה להגביר את החשיפה שלך לאיומים. עם זאת, אם עליך להשתמש בהם, עליך להפוך את ההגדרה לזמינה בדף ההגדרות של התכונות המתקדמות .

• ודא שיש לך את ההרשאות המתאימות.

  רק משתמשים שהוקצו להם הרשאות מתאימות יכולים ליזום הפעלה. לקבלת מידע נוסף אודות הקצאות תפקידים, ראה Create ולנהל תפקידים.

  חשוב

  האפשרות להעלות קובץ לספריה זמינה רק למשתמשים בעלי ההרשאה 'ניהול הגדרות אבטחה'. הלחצן מופיע באפור עבור משתמשים בעלי הרשאות מוקצות בלבד.

  בהתאם לתפקיד שהוענק לך, באפשרותך להפעיל פקודות תגובה חי בסיסיות או מתקדמות. הרשאות משתמשים נשלטות על-ידי תפקיד מותאם אישית של RBAC.

מבט כולל על לוח מחוונים של תגובה חיה

בעת הפעלת תגובה חיה במכשיר, נפתח לוח מחוונים. לוח המחוונים מספק מידע אודות ההפעלה, כגון:

• מי יצר את ההפעלה
• כאשר ההפעלה התחילה
• משך ההפעלה

לוח המחוונים גם מעניק לך גישה אל:

• ניתוק הפעלה
• העלאת קבצים לספריה
• מסוף פקודות
• יומן פקודות

הפעלת תגובה חיה במכשיר

הערה

פעולות תגובה בזמן חי שהותחלו מהדף 'מכשיר' אינן זמינות ב- API של machineactions.

1. היכנס לפורטל Microsoft Defender שלך.

2. נווט אל נקודות קצה > מלאי המכשיר ובחר מכשיר כדי לחקור. דף המכשירים נפתח.

3. הפעל את הפעלת התגובה בזמן חי על-ידי בחירה באפשרות הפעל הפעלת תגובה חיה. מסוף פקודות מוצג. המתן בזמן שההפעלה מתחברת למכשיר.

4. השתמש בפקודות המוכללות כדי לבצע עבודת חקירה. לקבלת מידע נוסף, ראה פקודות תגובה בזמן חי.

5. לאחר השלמת החקירה, בחר נתק הפעלה ולאחר מכן בחר אשר.

פקודות תגובה בזמן חי

בהתאם לתפקיד שהוענק לך, באפשרותך להפעיל פקודות תגובה חי בסיסיות או מתקדמות. הרשאות המשתמש נשלטות על-ידי תפקידים מותאמים אישית של RBAC. לקבלת מידע נוסף אודות הקצאות תפקידים, ראה Create ולנהל תפקידים.

הערה

תגובה חיה היא מעטפת אינטראקטיבית מבוססת ענן, כגון חוויית פקודה ספציפית עשויה להשתנות בזמן התגובה, בהתאם לאיכות הרשת ולטעינת המערכת בין משתמש הקצה להתקן היעד.

פקודות בסיסיות

הפקודות הבאות זמינות עבור תפקידי משתמשים המוענקים להם היכולת להפעיל פקודות בסיסיות של תגובה חיה. לקבלת מידע נוסף אודות הקצאות תפקידים, ראה Create ולנהל תפקידים.

הפקודה	תיאור	Windows ו- Windows Server	Macos	לינוקס
cd	שינוי הספריה הנוכחית.	Y	Y	Y
cls	ניקוי מסך הקונסולה.	Y	Y	Y
connect	הפעלת תגובה חיה למכשיר.	Y	Y	Y
connections	הצגת כל החיבורים הפעילים.	Y	N	N
dir	הצגת רשימה של קבצים וספריות משנה במדריך כתובות.	Y	Y	Y
drivers	מציג את כל מנהלי ההתקנים המותקנים במכשיר.	Y	N	N
fg <command ID>	מקם את המשימה שצוינה בקדמה ובצע אותה כמשימה הנוכחית. שים לב fg שמשימות command ID זמינות, לא PID.	Y	Y	Y
fileinfo	קבל מידע אודות קובץ.	Y	Y	Y
findfile	מאתרת קבצים בשם נתון במכשיר.	Y	Y	Y
getfile <file_path>	הורדת קובץ.	Y	Y	Y
help	מספק מידע עזרה עבור פקודות תגובה בזמן חי.	Y	Y	Y
jobs	מציג משימות הפועלות כעת, המזהה והמצב שלהן.	Y	Y	Y
persistence	מציג את כל שיטות ההתמדה הידועות במכשיר.	Y	N	N
processes	מציג את כל התהליכים הפועלים במכשיר.	Y	Y	Y
registry	מציג ערכי רישום.	Y	N	N
scheduledtasks	הצגת כל המשימות המתוזמנות במכשיר.	Y	N	N
services	מציג את כל השירותים במכשיר.	Y	N	N
startupfolders	מציג את כל הקבצים הידועים בתיקיות אתחול במכשיר.	Y	N	N
status	מציג את המצב והפלט של פקודה ספציפית.	Y	Y	Y
trace	הגדרת מצב הרישום של המסוף לאיתור באגים.	Y	Y	Y

פקודות מתקדמות

הפקודות הבאות זמינות עבור תפקידי משתמשים המוענקים להם היכולת להפעיל פקודות מתקדמות של תגובה חיה. לקבלת מידע נוסף אודות הקצאות תפקידים, ראה Create ולנהל תפקידים.

הפקודה	תיאור	Windows ו- Windows Server	Macos	לינוקס
analyze	ניתוח הישות עם מנועי ההסתה השונים כדי להגיע לפסק דין.	Y	N	N
collect	אוסף חבילת מז"פ מהמכשיר.	N	Y	Y
isolate	ניתוק ההתקן מהרשת ושמירה על הקישוריות לשירות נקודות הקצה של Defender for.	N	Y	N
release	שחרור התקן מבידוד רשת.	N	Y	N
run	הפעלת קובץ Script של PowerShell מהספריה במכשיר.	Y	Y	Y
library	רשימות קבצים שהועלו לספריית התגובות החיות.	Y	Y	Y
putfile	העברת קובץ מהספריה למכשיר. הקבצים נשמרים בתיקיה עבודה ונמחקים כאשר המכשיר מופעל מחדש כברירת מחדל.	Y	Y	Y
remediate	תיקון ישות במכשיר. פעולת התיקון משתנה, בהתאם לסוג הישות: - קובץ: מחיקה - תהליך: עצירה, מחיקת קובץ תמונה - שירות: עצירה, מחיקת קובץ תמונה - ערך רישום: מחיקה - פעילות מתוזמנת: הסר - פריט תיקיית אתחול: מחיקת קובץ פקודה זו כוללת פקודה המהווה דרישה מוקדמת. באפשרותך להשתמש בפקודה -auto בשילוב עם remediate כדי להפעיל באופן אוטומטי את הפקודה המהווה דרישה מוקדמת.	Y	Y	Y
scan	הפעלת סריקת אנטי-וירוס מהירה כדי לסייע בזיהוי ובתיקון של תוכנות זדוניות.	N	Y	Y
undo	שחזור ישות שהופצה.	Y	N	N

הערה

מגבלות גודל הקובץ הבאות חלות על פקודת putfile תגובה חיה:

• Windows: 300 MB
• פלטפורמות אחרות: 10 MB

שימוש בפקודות תגובה חיה

הפקודות שבהן ניתן להשתמש בקונסולה פועלות בהתאם לעקרונות דומים כמו פקודות Windows.

הפקודות המתקדמות מציעות קבוצה חזקה יותר של פעולות המאפשרות לך לבצע פעולות רבות-עוצמה יותר, כגון הורדה והעלה של קובץ, הפעלת קבצי Script במכשיר ופעולות תיקון בישות.

קבלת קובץ מהמכשיר

עבור תרחישים שבהם ברצונך לקבל קובץ ממכשיר שאתה חוקר, באפשרותך להשתמש בפקודה getfile . פעולה זו מאפשרת לך לשמור את הקובץ מהמכשיר לבדיקה נוספת.

הערה

מגבלות גודל הקובץ הבאות חלות:

• getfile מגבלה: 3 GB
• fileinfo מגבלה: 30 GB
• library מגבלה: 250 MB

הורדת קובץ ברקע

כדי לאפשר לצוות פעולות האבטחה שלך להמשיך לחקור מכשיר מושפע, כעת ניתן להוריד קבצים ברקע.

• כדי להוריד קובץ ברקע, במסוף הפקודות של התגובה בזמן חי, הקלד download <file_path> &.
• אם אתה ממתין לההורדה של קובץ, באפשרותך להעביר אותו לרקע באמצעות Ctrl + Z.
• כדי להביא הורדת קובץ קידמה, במסוף הפקודות של התגובה בזמן חי, הקלד fg <command_id>.

להלן כמה דוגמאות:

הפקודה	מה הוא עושה
getfile "C:\windows\some_file.exe" &	מתחיל בהורדת קובץ some_file.exe קובץ ברקע.
fg 1234	החזרת הורדה עם מזהה פקודה 1234 בקידמה.

הצבת קובץ בספריה

תגובת Live כוללת ספריה שבה ניתן להוסיף קבצים. הספריה מאחסנים קבצים (כגון קבצי Script) שניתן להפעיל בהפעלת תגובה חיה ברמת הדייר.

תגובה חיה מאפשרת הפעלה של קבצי Script של PowerShell, אך עליך למקם תחילה את הקבצים בספריה לפני שתוכל להפעיל אותם.

באפשרותך ליצור אוסף של קבצי Script של PowerShell שניתן להפעיל במכשירים שאיתם אתה יוזם הפעלות תגובה בזמן חי.

כדי להעלות קובץ בספריה

1. לחץ על העלה קובץ לספריה.

2. לחץ על עיון ובחר את הקובץ.

3. ספק תיאור קצר.

4. ציין אם ברצונך להחליף קובץ בשם זהה.

5. אם תרצה, תדע אילו פרמטרים דרושים עבור קובץ ה- Script, בחר בתיבת הסימון פרמטרים של קובץ Script. בשדה הטקסט, הזן דוגמה ותיאור.

6. לחץ על אשר.

7. (אופציונלי) כדי לוודא שהקובץ הועלה לספריה, הפעל את library הפקודה.

ביטול פקודה

בכל עת במהלך הפעלה, באפשרותך לבטל פקודה על-ידי הקשה על CTRL + C.

אזהרה

השימוש בקיצור דרך זה לא יעצור את הפקודה בצד הסוכן. היא תבטל רק את הפקודה בפורטל. לכן, שינוי פעולות כגון "תיקון" עשוי להמשיך, בעוד שהפקודה מבוטלת.

הפעלת קובץ Script

כדי שתוכל להפעיל קובץ Script של PowerShell/Bash, עליך להעלות אותו תחילה לספריה.

לאחר העלאת קובץ ה- Script לספריה, השתמש בפקודה run כדי להפעיל את קובץ ה- Script.

אם בכוונתך להשתמש בקובץ Script לא רשום של PowerShell בהפעלה, יהיה עליך להפוך את ההגדרה לזמינה בדף ההגדרות של התכונות המתקדמות .

אזהרה

מתן אפשרות לשימוש בקבצי Script לא רשום עשוי להגביר את החשיפה שלך לאיומים.

החלת פרמטרים של פקודה

• הצג את העזרה של הקונסולה כדי ללמוד אודות פרמטרים של פקודות. כדי ללמוד אודות פקודה בודדת, הפעל את:

  help <command name>
  

• בעת החלת פרמטרים על פקודות, שים לב שהפרמטרים מטופלים בהתבסס על סדר קבוע:

  <command name> param1 param2
  

• בעת ציון פרמטרים מחוץ בסדר הקבוע, ציין את שם הפרמטר עם מקף לפני שתספק את הערך:

  <command name> -param2_name param2
  

• בעת שימוש בפקודות הכוללות פקודות המהוות דרישה מוקדמת, באפשרותך להשתמש בדגלים:

  <command name> -type file -id <file path> - auto
  

  או

  remediate file <file path> - auto`
  

סוגי פלט נתמכים

תגובה חיה תומכת בסוגי פלט של טבלה ותבנית JSON. עבור כל פקודה, קיים אופן פעולה המהווה ברירת מחדל של פלט. באפשרותך לשנות את הפלט בתבנית הפלט המועדפת עליך באמצעות הפקודות הבאות:

• -output json
• -output table

הערה

פחות שדות מוצגים בתבנית טבלה עקב השטח ה מוגבל. כדי לראות פרטים נוספים בפלט, באפשרותך להשתמש בפקודה פלט JSON כך שיוצגו פרטים נוספים.

צינורות פלט נתמכים

תגובה חיה תומכת בצנרת פלט ל- CLI ולקובץ. CLI הוא אופן הפעולה המהווה ברירת מחדל של פלט. באפשרותך להעביר את הפלט לקובץ באמצעות הפקודה הבאה: [command] > [filename].txt.

דוגמה:

processes > output.txt

הצגת יומן הפקודות

בחר בכרטיסיה יומן פקודות כדי לראות את הפקודות המשמשות במכשיר במהלך הפעלה. מתבצע מעקב אחר כל פקודה עם פרטים מלאים כגון:

• ID
• שורת פקודה
• משך
• סרגל צידי של מצב וקלט או פלט

מגבלות

• הפעלות תגובה בזמן אמת מוגבלות ל- 25 הפעלות תגובה בזמן אמת בכל פעם.
• ערך הזמן הקצוב הלא פעיל של הפעלת תגובה חיה הוא 30 דקות.
• לפקודות תגובה חיה בודדות יש מגבלת זמן של 10 דקות, getfileלמעט , findfileו run- , עם מגבלה של 30 דקות.
• משתמש יכול ליזום עד 10 הפעלות בו-זמניות.
• מכשיר יכול להיכלל בהפעלה אחת בלבד בכל פעם.
• מגבלות גודל הקובץ הבאות חלות:
  • getfile מגבלה: 3 GB
  • fileinfo מגבלה: 30 GB
  • library מגבלה: 250 MB

מאמר קשור

• דוגמאות לפקודה של תגובה מיידית

עצה

האם ברצונך לקבל מידע נוסף? Engage עם קהילת האבטחה של Microsoft בקהילת הטכנולוגיה שלנו: Microsoft Defender עבור נקודת קצה Tech Community.