Share via

Entitások vizsgálata az eszközökön élő válasz használatával

  • Cikk

Érintett szolgáltatás:

Szeretné megismerni a Végponthoz készült Defendert? Regisztráció az ingyenes próbaverzióra

Az élő válasz azonnali hozzáférést biztosít a biztonsági üzemeltetési csapatoknak egy távoli rendszerhéj-kapcsolattal rendelkező eszközhöz (más néven géphez). Az élő válasz lehetővé teszi, hogy mélyreható nyomozói munkát hajtson végre, és azonnali válaszlépéseket hajthat végre, hogy azonnal valós időben tartalmazza az azonosított fenyegetéseket.

Az élő válasz úgy lett kialakítva, hogy fokozza a vizsgálatokat azáltal, hogy lehetővé teszi a biztonsági üzemeltetési csapat számára, hogy kriminalisztikai adatokat gyűjtsön, szkripteket futtasson, gyanús entitásokat küldjön elemzésre, elhárítsa a fenyegetéseket, és proaktívan keressen új fenyegetéseket.

Élő válasz esetén az elemzők a következő feladatokat végezhetik el:

  • Alapszintű és speciális parancsok futtatásával elvégezheti a vizsgálati munkát az eszközön.
  • Töltsön le fájlokat, például kártevőmintákat és PowerShell-szkriptek eredményeit.
  • Fájlok letöltése a háttérben (új!).
  • Töltsön fel egy PowerShell-szkriptet vagy végrehajtható fájlt a tárba, és futtassa egy eszközön bérlői szinten.
  • Szervizelési műveletek végrehajtása vagy visszavonása.

Az első lépések

Mielőtt munkamenetet kezdeményezhet egy eszközön, győződjön meg arról, hogy megfelel a következő követelményeknek:

  • Ellenőrizze, hogy a Windows támogatott verzióját futtatja-e.

    Az eszközöknek a Windows alábbi verzióinak egyikét kell futtatniuk

  • Engedélyezze az élő választ a speciális beállítások oldaláról.

    Engedélyeznie kell az élő válaszképességet a Speciális funkciók beállításai lapon.

    Megjegyzés:

    Csak a "Portálbeállítások kezelése" engedélyekkel rendelkező rendszergazdák és felhasználók engedélyezhetik az élő választ.

  • Engedélyezze a kiszolgálók élő válaszát a speciális beállítások lapon (ajánlott).

    Megjegyzés:

    Csak a "Portálbeállítások kezelése" engedélyekkel rendelkező rendszergazdák és felhasználók engedélyezhetik az élő választ.

  • Élő válasz aláíratlan szkript végrehajtásának engedélyezése (nem kötelező).

    Fontos

    Az aláírás-ellenőrzés csak PowerShell-szkriptekre vonatkozik.

    Figyelmeztetés

    Az aláíratlan szkriptek használatának engedélyezése növelheti a fenyegetéseknek való kitettséget.

    Az aláíratlan szkriptek futtatása nem ajánlott, mivel növelheti a fenyegetéseknek való kitettséget. Ha azonban használnia kell őket, engedélyeznie kell a beállítást a Speciális szolgáltatások beállításai lapon.

  • Győződjön meg arról, hogy rendelkezik a megfelelő engedélyekkel.

    Munkamenetet csak a megfelelő engedélyekkel rendelkező felhasználók kezdeményezhetnek. A szerepkör-hozzárendelésekkel kapcsolatos további információkért lásd: szerepkörök Létrehozás és kezelése.

    Fontos

    A fájlok tárba való feltöltésének lehetősége csak a "Biztonsági beállítások kezelése" engedéllyel rendelkező felhasználók számára érhető el. A gomb szürkére van szürkítve a csak delegált engedélyekkel rendelkező felhasználók számára.

    A kapott szerepkörtől függően alapszintű vagy speciális élő válaszparancsokat futtathat. A felhasználók engedélyeit egyéni RBAC-szerepkör vezérli.

Élő válasz irányítópultjának áttekintése

Amikor élő válaszmunkamenetet kezdeményez egy eszközön, megnyílik egy irányítópult. Az irányítópult az alábbiakhoz hasonló információkat nyújt a munkamenetről:

  • A munkamenet létrehozója
  • A munkamenet indításakor
  • A munkamenet időtartama

Az irányítópult a következőket is lehetővé teszi:

  • Munkamenet leválasztása
  • Fájlok feltöltése a tárba
  • Parancskonzol
  • Parancsnapló

Élő válaszmunkamenet kezdeményezése egy eszközön

Megjegyzés:

Az Eszköz oldalról indított élő válaszműveletek nem érhetők el a machineactions API-ban.

  1. Jelentkezzen be Microsoft Defender portálra.

  2. Lépjen a Végpontok > Eszközleltár menüpontra, és válasszon ki egy kivizsgálandó eszközt. Megnyílik az Eszközök lap.

  3. Indítsa el az élő válasz munkamenetét az Élő válasz munkamenet kezdeményezése lehetőség kiválasztásával. Megjelenik egy parancskonzol. Várjon, amíg a munkamenet csatlakozik az eszközhöz.

  4. A beépített parancsokkal elvégezheti a vizsgálati munkát. További információ: Élő válaszparancsok.

  5. A vizsgálat befejezése után válassza a Munkamenet leválasztása, majd a Megerősítés lehetőséget.

Élő válaszparancsok

A kapott szerepkörtől függően alapszintű vagy speciális élő válaszparancsokat futtathat. A felhasználói engedélyeket egyéni RBAC-szerepkörök vezérlik. A szerepkör-hozzárendelésekkel kapcsolatos további információkért lásd: szerepkörök Létrehozás és kezelése.

Megjegyzés:

Az élő válasz egy felhőalapú interaktív rendszerhéj, ezért az adott parancsélmény a válaszidő függvényében változhat a végfelhasználó és a céleszköz közötti hálózati minőségtől és rendszerterheléstől függően.

Alapszintű parancsok

Az alábbi parancsok olyan felhasználói szerepkörökhöz érhetők el, amelyek alapszintű élő válaszparancsok futtatására jogosultak. A szerepkör-hozzárendelésekkel kapcsolatos további információkért lásd: szerepkörök Létrehozás és kezelése.

Parancs Leírás Windows és Windows Server macOS Linux
cd Módosítja az aktuális könyvtárat. I I I
cls Törli a konzolképernyőt. I I I
connect Élő válaszmunkamenetet kezdeményez az eszközre. I I I
connections Megjeleníti az összes aktív kapcsolatot. I N N
dir Egy könyvtárban lévő fájlok és alkönyvtárak listáját jeleníti meg. I I I
drivers Megjeleníti az eszközön telepített összes illesztőprogramot. I N N
fg <command ID> Helyezze a megadott feladatot az előtérbe, hogy az legyen az aktuális feladat. Vegye figyelembe, hogy fgcommand ID a feladatokat nem PID-ből, hanem feladatokból használja. I I I
fileinfo Fájl adatainak lekérése. I I I
findfile Megadott név alapján megkeresi a fájlokat az eszközön. I I I
getfile <file_path> Letölt egy fájlt. I I I
help Az élő válaszparancsokhoz nyújt súgóinformációkat. I I I
jobs Megjeleníti a jelenleg futó feladatokat, azok azonosítóját és állapotát. I I I
persistence Megjeleníti az eszközön található összes ismert adatmegőrzési módszert. I N N
processes Megjeleníti az eszközön futó összes folyamatot. I I I
registry A beállításjegyzék értékeit jeleníti meg. I N N
scheduledtasks Megjeleníti az eszközön lévő összes ütemezett feladatot. I N N
services Megjeleníti az eszközön található összes szolgáltatást. I N N
startupfolders Megjeleníti az eszköz indítási mappáiban lévő összes ismert fájlt. I N N
status Az adott parancs állapotát és kimenetét jeleníti meg. I I I
trace Beállítja a terminál naplózási módját hibakeresésre. I I I

Speciális parancsok

Az alábbi parancsok olyan felhasználói szerepkörökhöz érhetők el, amelyek speciális élő válaszparancsok futtatására jogosultak. A szerepkör-hozzárendelésekkel kapcsolatos további információkért lásd: szerepkörök Létrehozás és kezelése.

Parancs Leírás Windows és Windows Server macOS Linux
analyze Különböző inkriminációs motorokkal elemzi az entitást az ítélet elérése érdekében. I N N
collect Kriminalisztikai csomagot gyűjt az eszközről. N I I
isolate Leválasztja az eszközt a hálózatról, miközben megőrzi a végponthoz készült Defender szolgáltatással való kapcsolatot. N I N
release Felszabadítja az eszközt a hálózatelkülönítésből. N I N
run Futtat egy PowerShell-szkriptet az eszköz kódtárából. I I I
library Listák az élő választárba feltöltött fájlokat. I I I
putfile Fájlokat helyez el a tárból az eszközre. A fájlok egy munkamappába kerülnek, és az eszköz alapértelmezés szerint újraindulásakor törlődnek. I I I
remediate Szervizel egy entitást az eszközön. A szervizelési művelet az entitás típusától függően változik:
- Fájl: törlés
- Folyamat: leállítás, képfájl törlése
- Szolgáltatás: leállítás, képfájl törlése
- Beállításjegyzékbeli bejegyzés: törlés
- Ütemezett tevékenység: eltávolítás
- Indítási mappaelem: fájl törlése

Ez a parancs rendelkezik egy előfeltétel-paranccsal. A parancs és a -auto szervizelés együttes használatával automatikusan futtathatja az előfeltételként szolgáló parancsot.		 I I I
scan Gyors víruskeresést futtat a kártevők azonosításához és elhárításához. N I I
undo Visszaállít egy szervizelt entitást. I N N

Megjegyzés:

Az élő válaszparancsokra a putfile következő fájlméretkorlátok vonatkoznak:

  • Windows: 300 MB
  • Egyéb platformok: 10 MB

Élő válaszparancsok használata

A konzolon használható parancsok hasonló elveket követnek, mint a Windows-parancsok.

A speciális parancsok robusztusabb műveletkészletet kínálnak, amelyekkel hatékonyabb műveleteket hajthat végre, például fájlokat tölthet le és tölthet fel, szkripteket futtathat az eszközön, és szervizelési műveleteket hajthat végre egy entitáson.

Fájl lekérése az eszközről

Olyan forgatókönyvek esetén, amikor fájlt szeretne lekérni egy vizsgált eszközről, használhatja az getfile parancsot. Ez lehetővé teszi a fájl mentését az eszközről további vizsgálat céljából.

Megjegyzés:

A következő fájlméretkorlátok érvényesek:

  • getfile korlát: 3 GB
  • fileinfo korlát: 30 GB
  • library korlát: 250 MB

Fájl letöltése a háttérben

Ha engedélyezni szeretné, hogy a biztonsági üzemeltetési csapat tovább vizsgálja az érintett eszközt, a fájlok a háttérben tölthetők le.

  • Ha a háttérben szeretne letölteni egy fájlt, írja be az élő válasz parancskonzoljába a következőt download <file_path> &: .
  • Ha egy fájl letöltésére vár, a Ctrl + Z billentyűkombinációval áthelyezheti a háttérbe.
  • Ha fájlletöltést szeretne az előtérbe helyezni, az élő válasz parancskonzolján írja be a következőt fg <command_id>: .

Néhány példa:

Parancs A teendők
getfile "C:\windows\some_file.exe" & Megkezdi egy some_file.exe nevű fájl letöltését a háttérben.
fg 1234 Egy 1234-ös parancsazonosítójú letöltést ad vissza az előtérbe.

Fájl elhelyezése a tárban

Az élő válasz egy kódtárat tartalmaz, amelybe fájlokat helyezhet el. A kódtár olyan fájlokat (például szkripteket) tárol, amelyek futtathatók egy élő válaszmunkamenetben a bérlő szintjén.

Az élő válasz lehetővé teszi a PowerShell-szkriptek futtatását, azonban a futtatásuk előtt először be kell helyeznie a fájlokat a tárba.

Rendelkezhet olyan PowerShell-szkriptek gyűjteményével, amelyek olyan eszközökön futtathatók, amelyekkel élő válasz-munkameneteket kezdeményez.

Fájl feltöltése a tárba

  1. Kattintson a Fájl feltöltése a tárba elemre.

  2. Kattintson a Tallózás gombra , és válassza ki a fájlt.

  3. Adjon meg egy rövid leírást.

  4. Adja meg, hogy felülír-e egy azonos nevű fájlt.

  5. Ha szeretné, tudja, hogy milyen paraméterekre van szükség a szkripthez, jelölje be a szkriptparaméterek jelölőnégyzetet. A szövegmezőbe írjon be egy példát és egy leírást.

  6. Kattintson a Megerősítés gombra.

  7. (Nem kötelező) Futtassa az parancsot annak ellenőrzéséhez, hogy a fájl fel lett-e töltve a library tárba.

Parancs megszakítása

Munkamenet közben bármikor megszakíthatja a parancsokat a CTRL + C billentyűkombináció lenyomásával.

Figyelmeztetés

A parancsikon használata nem állítja le a parancsot az ügynök oldalán. A parancsot csak a portálon szakítja meg. Így az olyan műveletek módosítása, mint a "szervizelés" folytatódhat, amíg a parancs le van mondva.

Szkript futtatása

PowerShell-/Bash-szkript futtatása előtt fel kell töltenie azt a tárba.

Miután feltöltötte a szkriptet a kódtárba, futtassa a run parancsot a paranccsal.

Ha aláíratlan PowerShell-szkriptet szeretne használni a munkamenetben, engedélyeznie kell a beállítást a Speciális szolgáltatások beállításai lapon.

Figyelmeztetés

Az aláíratlan szkriptek használatának engedélyezése növelheti a fenyegetéseknek való kitettséget.

Parancsparaméterek alkalmazása

  • A parancsparaméterek megismeréséhez tekintse meg a konzol súgóját. Az egyes parancsok megismeréséhez futtassa a következőt:

    help <command name>

  • Amikor paramétereket alkalmaz a parancsokra, vegye figyelembe, hogy a paraméterek kezelése rögzített sorrendben történik:

    <command name> param1 param2

  • Ha a rögzített sorrenden kívüli paramétereket ad meg, az érték megadása előtt adja meg a paraméter nevét egy kötőjellel:

    <command name> -param2_name param2

  • Ha előfeltételként szolgáló parancsokkal rendelkező parancsokat használ, használhat jelzőket:

    <command name> -type file -id <file path> - auto

    vagy

    remediate file <file path> - auto`

Támogatott kimeneti típusok

Az élő válasz támogatja a tábla- és JSON-formátumú kimeneti típusokat. Minden parancshoz tartozik egy alapértelmezett kimeneti viselkedés. Az alábbi parancsokkal módosíthatja a kimenetet az előnyben részesített kimeneti formátumban:

  • -output json
  • -output table

Megjegyzés:

A korlátozott terület miatt kevesebb mező jelenik meg táblázatos formátumban. Ha további részleteket szeretne látni a kimenetben, használja a JSON kimeneti parancsot, hogy további részletek jelenjenek meg.

Támogatott kimeneti csövek

Az élő válasz támogatja a parancssori felületre és a fájlba történő kimeneti átirányítást. A parancssori felület az alapértelmezett kimeneti viselkedés. A kimenetet a következő paranccsal helyezheti át egy fájlba: [command] > [filename].txt.

Példa:

processes > output.txt

A parancsnapló megtekintése

Válassza a Parancsnapló lapot az eszközön a munkamenet során használt parancsok megtekintéséhez. Az egyes parancsokat a rendszer a következő részletes adatokkal követi nyomon:

  • Azonosító
  • Parancssori
  • Időtartam
  • Állapot és bemeneti vagy kimeneti oldalsáv

Korlátozások

  • Az élő válasz munkamenetei egyszerre legfeljebb 25 élő válasz munkamenetre korlátozódnak.
  • Az élő válasz munkamenetének inaktív időtúllépési értéke 30 perc.
  • Az egyes élő válaszparancsok időkorlátja 10 perc, a , findfileés runkivételévelgetfile, amelyek korlátja 30 perc.
  • A felhasználók legfeljebb 10 egyidejű munkamenetet kezdeményezhetnek.
  • Egy eszköz egyszerre csak egy munkamenetben lehet.
  • A következő fájlméretkorlátok érvényesek:
    • getfile korlát: 3 GB
    • fileinfo korlát: 30 GB
    • library korlát: 250 MB

Kapcsolódó cikk

Tipp

Szeretne többet megtudni? Engage a Microsoft biztonsági közösségével a technikai közösségünkben: Végponthoz készült Microsoft Defender Tech Community.