Entitások vizsgálata az eszközökön élő válasz használatával

Az élő válasz azonnali hozzáférést biztosít a biztonsági üzemeltetési csapatoknak egy távoli rendszerhéj-kapcsolattal rendelkező eszközhöz (más néven géphez). Az élő válasz lehetővé teszi, hogy mélyreható nyomozói munkát hajtson végre, és azonnali válaszlépéseket hajthat végre, hogy azonnal valós időben tartalmazza az azonosított fenyegetéseket.

Az élő válasz úgy lett kialakítva, hogy fokozza a vizsgálatokat azáltal, hogy lehetővé teszi a biztonsági üzemeltetési csapat számára, hogy kriminalisztikai adatokat gyűjtsön, szkripteket futtasson, gyanús entitásokat küldjön elemzésre, elhárítsa a fenyegetéseket, és proaktívan keressen új fenyegetéseket.

Élő válasz esetén az elemzők a következő feladatokat végezhetik el:

• Alapszintű és speciális parancsok futtatásával elvégezheti a vizsgálati munkát az eszközön.
• Töltsön le fájlokat, például kártevőmintákat és PowerShell-szkriptek eredményeit.
• Fájlok letöltése a háttérben (új!).
• Töltsön fel egy PowerShell-szkriptet vagy végrehajtható fájlt a tárba, és futtassa egy eszközön bérlői szinten.
• Szervizelési műveletek végrehajtása vagy visszavonása.

Előfeltételek

Az eszközöknek a Windows alábbi verzióinak egyikét kell futtatniuk

Támogatott operációs rendszerek

• Windows 11

• Windows 10:

  • 1909-es vagy újabb verzió.
  • 1903-es verzióKB4515384.
  • 1809-es verzió (RS 5)KB4537818.
  • 1803-es verzió (RS 4)KB4537795.
  • 1709-es verzió (RS 3)KB4537816.

• macOS: Verzió 101.43.84 vagy újabb. Intel- és ARM-alapú macOS-eszközökön támogatott.

• Linux: Verzió 101.45.13 vagy újabb.

• Windows Server 2022-ben vagy újabb verzióban.

• Windows Server 2019:

  • 1903-es verzió ( KB4515384) vagy újabb verzió.
  • 1809-es verzió ( KB4537818).

• Windows Server 2016 és Windows Server 2012 R2:

  • Az egyesített ügynököt igényli.
  • Azt is javasoljuk, hogy a javítás a legújabb érzékelő verzió: KB5005292.
  • Ha statikus proxyt használ, az élő válasz nem a várt módon működik az egyszerűsített módszerrel előkészített offline, alacsonyabb szintű kiszolgálók esetében. Fontolja meg inkább a rendszerproxy használatát.

• Azure Stack HCI operációs rendszer: 23H2-es vagy újabb verzió.

Egyéb követelmények

• Élő válasz engedélyezése a speciális beállítások lapról: Az élő válasz funkciót a Speciális szolgáltatások beállításai lapon kell engedélyeznie.

  Megjegyzés:

  Csak a "Portálbeállítások kezelése" engedélyekkel rendelkező rendszergazdák és felhasználók engedélyezhetik az élő választ.

• Engedélyezze a kiszolgálók élő válaszát a speciális beállítások lapon (ajánlott).

  Megjegyzés:

  Csak a "Portálbeállítások kezelése" engedélyekkel rendelkező rendszergazdák és felhasználók engedélyezhetik az élő választ.

• Élő válasz aláíratlan szkript végrehajtásának engedélyezése (nem kötelező).

  Fontos

  Az aláírás-ellenőrzés csak PowerShell-szkriptekre vonatkozik.

  Figyelmeztetés

  Az aláíratlan szkriptek használatának engedélyezése növelheti a fenyegetéseknek való kitettséget. Ha használnia kell őket, engedélyeznie kell a beállítást a Speciális szolgáltatások beállításai lapon.

• Győződjön meg arról, hogy rendelkezik a megfelelő engedélyekkel: Csak a megfelelő engedélyekkel rendelkező felhasználók kezdeményezhetnek munkamenetet. A szerepkör-hozzárendelésekkel kapcsolatos további információkért lásd: Szerepkörök létrehozása és kezelése.

  Fontos

  A fájlok tárba való feltöltésének lehetősége csak a "Biztonsági beállítások kezelése" engedéllyel rendelkező felhasználók számára érhető el. A gomb szürkére van szürkítve a csak delegált engedélyekkel rendelkező felhasználók számára.

  A kapott szerepkörtől függően alapszintű vagy speciális élő válaszparancsokat futtathat. A felhasználók engedélyeit egyéni RBAC-szerepkör vezérli.

Élő válasz irányítópultjának áttekintése

Amikor élő válaszmunkamenetet kezdeményez egy eszközön, megnyílik egy irányítópult. Az irányítópult információkat nyújt a munkamenetről. Például:

• A munkamenet létrehozója
• A munkamenet indításakor
• A munkamenet időtartama

Az irányítópult hozzáférést biztosít a munkamenet műveleteihez is. Például:

• Munkamenet leválasztása
• Fájlok feltöltése a tárba
• Parancskonzol
• Parancsnapló

Élő válaszmunkamenet kezdeményezése egy eszközön

Megjegyzés:

Az Eszköz lapról indított élő válaszműveletek nem érhetők el a MachineActions API-ban.

1. Jelentkezzen be Microsoft Defender portálra.

2. Lépjen a Végpontok>Eszközleltár menüpontra, és válasszon ki egy kivizsgálandó eszközt. Megnyílik az Eszközök lap.

3. Indítsa el az élő válasz munkamenetét az Élő válasz munkamenet kezdeményezése lehetőség kiválasztásával. Megjelenik egy parancskonzol. Várjon, amíg a munkamenet csatlakozik az eszközhöz.

4. A beépített parancsokkal elvégezheti a vizsgálati munkát. További információ: Élő válaszparancsok.

5. A vizsgálat befejezése után válassza a Munkamenet leválasztása, majd a Megerősítés lehetőséget.

Élő válaszparancsok

A kapott szerepkörtől függően alapszintű vagy speciális élő válaszparancsokat futtathat. A felhasználói engedélyeket egyéni RBAC-szerepkörök vezérlik. A szerepkör-hozzárendelésekkel kapcsolatos további információkért lásd: Szerepkörök létrehozása és kezelése.

Megjegyzés:

Az élő válasz egy felhőalapú interaktív rendszerhéj, ezért az adott parancsélmény a válaszidő függvényében változhat a végfelhasználó és a céleszköz közötti hálózati minőségtől és rendszerterheléstől függően.

Alapszintű parancsok

Az alábbi parancsok olyan felhasználói szerepkörökhöz érhetők el, amelyek alapszintű élő válaszparancsok futtatására jogosultak. A szerepkör-hozzárendelésekkel kapcsolatos további információkért lásd: Szerepkörök létrehozása és kezelése.

Parancs	Leírás	Windows és Windows Server	macOS	Linux
cd	Módosítja az aktuális könyvtárat.	I	I	I
cls	Törli a konzolképernyőt.	I	I	I
connect	Élő válaszmunkamenetet kezdeményez az eszközre.	I	I	I
connections	Megjeleníti az összes aktív kapcsolatot.	I	N	N
dir	Egy könyvtárban lévő fájlok és alkönyvtárak listáját jeleníti meg.	I	I	I
drivers	Megjeleníti az eszközön telepített összes illesztőprogramot.	I	N	N
fg <command ID>	Helyezze a megadott feladatot az előtérbe, hogy az legyen az aktuális feladat. fg command ID A nem PID-ből, hanem feladatokból érhető el.	I	I	I
fileinfo	Fájl adatainak lekérése.	I	I	I
findfile	Megadott név alapján megkeresi a fájlokat az eszközön.	I	I	I
getfile <file_path>	Letölt egy fájlt.	I	I	I
help	Az élő válaszparancsokhoz nyújt súgóinformációkat.	I	I	I
jobs	Megjeleníti a jelenleg futó feladatokat, azok azonosítóját és állapotát.	I	I	I
persistence	Megjeleníti az eszközön található összes ismert adatmegőrzési módszert.	I	N	N
processes	Megjeleníti az eszközön futó összes folyamatot.	I	I	I
registry	A beállításjegyzék értékeit jeleníti meg.	I	N	N
scheduledtasks	Megjeleníti az eszközön lévő összes ütemezett feladatot.	I	N	N
services	Megjeleníti az eszközön található összes szolgáltatást.	I	N	N
startupfolders	Megjeleníti az eszköz indítási mappáiban lévő összes ismert fájlt.	I	N	N
status	Az adott parancs állapotát és kimenetét jeleníti meg.	I	I	I
trace	Beállítja a terminál naplózási módját hibakeresésre.	I	I	I

Speciális parancsok

Az alábbi parancsok olyan felhasználói szerepkörökhöz érhetők el, amelyek speciális élő válaszparancsok futtatására jogosultak. A szerepkör-hozzárendelésekkel kapcsolatos további információkért lásd: Szerepkörök létrehozása és kezelése.

Parancs	Leírás	Windows és Windows Server	macOS	Linux
analyze	Különböző inkriminációs motorokkal elemzi az entitást az ítélet elérése érdekében.	I	N	N
collect	Kriminalisztikai csomagot gyűjt az eszközről.	N	I	I
isolate	Leválasztja az eszközt a hálózatról, miközben megőrzi a végponthoz készült Defender szolgáltatással való kapcsolatot.	N	I	N
release	Felszabadítja az eszközt a hálózatelkülönítésből.	N	I	N
run	Futtat egy PowerShell-szkriptet az eszköz kódtárából.	I	I	I
library	Az élő választárba feltöltött fájlok listája.	I	I	I
putfile	Fájlokat helyez el a tárból az eszközre. A fájlok egy munkamappába kerülnek, és az eszköz alapértelmezés szerint újraindulásakor törlődnek.	I	I	I
remediate	Szervizel egy entitást az eszközön. A szervizelési művelet az entitás típusától függően változik: Fájl: törlés Folyamat: leállítás, képfájl törlése Szolgáltatás: leállítás, képfájl törlése Beállításjegyzékbeli bejegyzés: törlés Ütemezett tevékenység: eltávolítás Indítási mappaelem: fájl törlése Ez a parancs rendelkezik egy előfeltétel-paranccsal. A parancs és a -auto szervizelés együttes használatával automatikusan futtathatja az előfeltételként szolgáló parancsot.	I	I	I
scan	Gyors víruskeresést futtat a kártevők azonosításához és elhárításához.	N	I	I
undo	Visszaállít egy szervizelt entitást.	I	N	N

Megjegyzés:

Az élő válaszparancsokra a putfile következő fájlméretkorlátok vonatkoznak:

• Windows: 300 MB
• Egyéb platformok: 10 MB

Élő válaszparancsok használata

A konzolon használható parancsok hasonló elveket követnek, mint a Windows-parancsok.

A speciális parancsok robusztusabb műveletkészletet kínálnak, amelyekkel hatékonyabb műveleteket hajthat végre, például fájlokat tölthet le és tölthet fel, szkripteket futtathat az eszközön, és szervizelési műveleteket hajthat végre egy entitáson.

Fájl lekérése az eszközről

Olyan forgatókönyvek esetén, amikor fájlt szeretne lekérni egy vizsgált eszközről, használhatja az getfile parancsot. Ez lehetővé teszi a fájl mentését az eszközről további vizsgálat céljából.

Megjegyzés:

A következő fájlméretkorlátok érvényesek:

• getfile korlát: 3 GB
• fileinfo korlát: 30 GB
• library korlát: 250 MB

Fájl letöltése a háttérben

Ha engedélyezni szeretné, hogy a biztonsági üzemeltetési csapat tovább vizsgálja az érintett eszközt, a fájlok a háttérben tölthetők le.

• Ha a háttérben szeretne letölteni egy fájlt, írja be az élő válasz parancskonzoljába a következőt download <file_path> &: .
• Ha egy fájl letöltésére vár, a Ctrl + Z billentyűkombinációval áthelyezheti a háttérbe.
• Ha fájlletöltést szeretne az előtérbe helyezni, az élő válasz parancskonzolján írja be a következőt fg <command_id>: .

Néhány példa:

Parancs	A teendők
getfile "C:\windows\some_file.exe" &	Megkezdi egy some_file.exe nevű fájl letöltését a háttérben.
fg 1234	Egy 1234-ös parancsazonosítójú letöltést ad vissza az előtérbe.

Fájl elhelyezése a tárban

Az élő válasz egy kódtárat tartalmaz, amelybe fájlokat helyezhet el. A kódtár olyan fájlokat (például szkripteket) tárol, amelyek futtathatók egy élő válaszmunkamenetben a bérlő szintjén.

Az élő válasz lehetővé teszi a PowerShell- és Bash-szkriptek futtatását; a futtatásuk előtt azonban először be kell helyeznie a fájlokat a tárba.

Rendelkezhet olyan PowerShell- és Bash-szkriptek gyűjteményével, amelyek olyan eszközökön futtathatók, amelyekkel élő válasz-munkameneteket kezdeményez.

Fájl feltöltése a tárba

Megjegyzés:

A tárba feltölthető karakterekre korlátozások vonatkoznak. Használjon alfanumerikus karaktereket és néhány szimbólumot (konkrétan, -, _vagy .).

1. Válassza a Fájl feltöltése a tárba lehetőséget.

2. Válassza a Tallózás lehetőséget , és válassza ki a fájlt.

3. Adjon meg egy rövid leírást.

4. Adja meg, hogy felülír-e egy azonos nevű fájlt.

5. Ha szeretné, tudja, hogy milyen paraméterekre van szükség a szkripthez, jelölje be a szkriptparaméterek jelölőnégyzetet. A szövegmezőbe írjon be egy példát és egy leírást.

6. Válassza a Megerősítés lehetőséget.

7. (Nem kötelező) Futtassa az parancsot annak ellenőrzéséhez, hogy a fájl fel lett-e töltve a library tárba.

Parancs megszakítása

Munkamenet közben bármikor megszakíthatja a parancsokat a CTRL + C billentyűkombináció lenyomásával.

Figyelmeztetés

A parancsikon használata nem állítja le a parancsot az ügynök oldalán. Csak a Microsoft Defender portálon lévő parancsot szakítja meg. Így az olyan műveletek módosítása, mint a "szervizelés" folytatódhat, még akkor is, ha a parancsot visszavonták.

Szkript futtatása

PowerShell-/Bash-szkript futtatása előtt fel kell töltenie azt a tárba.

Miután feltöltötte a szkriptet a kódtárba, futtassa a run parancsot a paranccsal.

Ha aláíratlan PowerShell-szkriptet szeretne használni a munkamenetben, engedélyeznie kell a beállítást a Speciális szolgáltatások beállításai lapon.

Figyelmeztetés

Az aláíratlan szkriptek használatának engedélyezése növelheti a fenyegetéseknek való kitettséget.

Parancsparaméterek alkalmazása

• A parancsparaméterek megismeréséhez tekintse meg a konzol súgóját. Az egyes parancsok megismeréséhez futtassa a következőt:

  help <command name>
  

• Amikor paramétereket alkalmaz a parancsokra, vegye figyelembe, hogy a paraméterek kezelése rögzített sorrendben történik:

  <command name> param1 param2
  

• Ha a rögzített sorrenden kívüli paramétereket ad meg, az érték megadása előtt adja meg a paraméter nevét egy kötőjellel:

  <command name> -param2_name param2
  

• Ha előfeltételként szolgáló parancsokkal rendelkező parancsokat használ, használhat jelzőket:

  <command name> -type file -id <file path> - auto
  

  vagy

  remediate file <file path> - auto`
  

Támogatott kimeneti típusok

Az élő válasz támogatja a tábla- és JSON-formátumú kimeneti típusokat. Minden parancshoz tartozik egy alapértelmezett kimeneti viselkedés. Az alábbi parancsokkal módosíthatja a kimenetet az előnyben részesített kimeneti formátumban:

• -output json
• -output table

Megjegyzés:

A korlátozott terület miatt kevesebb mező jelenik meg táblázatos formátumban. Ha további részleteket szeretne látni a kimenetben, használja a JSON kimeneti parancsot, hogy további részletek jelenjenek meg.

Támogatott kimeneti csövek

Az élő válasz támogatja a parancssori felületre és a fájlba történő kimeneti átirányítást. A parancssori felület az alapértelmezett kimeneti viselkedés. A kimenetet a következő paranccsal helyezheti át egy fájlba: [command] > [filename].txt.

Példa:

processes > output.txt

A parancsnapló megtekintése

Válassza a Parancsnapló lapot az eszközön a munkamenet során használt parancsok megtekintéséhez. Az egyes parancsokat a rendszer a következő részletes adatokkal követi nyomon:

• Azonosító
• Parancssori
• Időtartam
• Állapot és bemeneti vagy kimeneti oldalsáv

Korlátozások

• Az élő válasz munkamenetei egyszerre legfeljebb 50 élő válasz munkamenetre korlátozódnak.
• Az élő válasz munkamenetének inaktív időtúllépési értéke 30 perc.
• Az egyes élő válaszparancsok időkorlátja 10 perc, a , findfileés runkivételévelgetfile, amelyek korlátja 30 perc.
• A felhasználók legfeljebb öt egyidejű munkamenetet kezdeményezhetnek.
• Egy eszköz egyszerre csak egy munkamenetben lehet.
• A következő fájlméretkorlátok érvényesek:
  • getfile korlát: 3 GB
  • fileinfo korlát: 30 GB
  • library korlát: 250 MB

Kapcsolódó cikk

• Példák valós idejű válaszműveletre