Entitások vizsgálata az eszközökön élő válasz használatával
Érintett szolgáltatás:
Szeretné megismerni a Végponthoz készült Defendert? Regisztráció az ingyenes próbaverzióra
Az élő válasz azonnali hozzáférést biztosít a biztonsági üzemeltetési csapatoknak egy távoli rendszerhéj-kapcsolattal rendelkező eszközhöz (más néven géphez). Az élő válasz lehetővé teszi, hogy mélyreható nyomozói munkát hajtson végre, és azonnali válaszlépéseket hajthat végre, hogy azonnal valós időben tartalmazza az azonosított fenyegetéseket.
Az élő válasz úgy lett kialakítva, hogy fokozza a vizsgálatokat azáltal, hogy lehetővé teszi a biztonsági üzemeltetési csapat számára, hogy kriminalisztikai adatokat gyűjtsön, szkripteket futtasson, gyanús entitásokat küldjön elemzésre, elhárítsa a fenyegetéseket, és proaktívan keressen új fenyegetéseket.
Élő válasz esetén az elemzők a következő feladatokat végezhetik el:
- Alapszintű és speciális parancsok futtatásával elvégezheti a vizsgálati munkát az eszközön.
- Töltsön le fájlokat, például kártevőmintákat és PowerShell-szkriptek eredményeit.
- Fájlok letöltése a háttérben (új!).
- Töltsön fel egy PowerShell-szkriptet vagy végrehajtható fájlt a tárba, és futtassa egy eszközön bérlői szinten.
- Szervizelési műveletek végrehajtása vagy visszavonása.
Az első lépések
Mielőtt munkamenetet kezdeményezhet egy eszközön, győződjön meg arról, hogy megfelel a következő követelményeknek:
Ellenőrizze, hogy a Windows támogatott verzióját futtatja-e.
Az eszközöknek a Windows alábbi verzióinak egyikét kell futtatniuk
Windows 10 & 11
macOS – Minimálisan szükséges verzió: 101.43.84. Intel- és ARM-alapú macOS-eszközök esetén támogatott.
Linux – Minimálisan szükséges verzió: 101.45.13
Windows Server 2012 R2 – KB5005292
Windows Server 2016 – KB5005292
Megjegyzés:
Windows Server 2012R2 vagy 2016 esetén telepítve kell lennie az egyesített ügynöknek , és ajánlott a legújabb érzékelőverzióra javítani a KB5005292.
Windows Server 2019
Windows Server 2022
Engedélyezze az élő választ a speciális beállítások oldaláról.
Engedélyeznie kell az élő válaszképességet a Speciális funkciók beállításai lapon.
Megjegyzés:
Csak a "Portálbeállítások kezelése" engedélyekkel rendelkező rendszergazdák és felhasználók engedélyezhetik az élő választ.
Engedélyezze a kiszolgálók élő válaszát a speciális beállítások lapon (ajánlott).
Megjegyzés:
Csak a "Portálbeállítások kezelése" engedélyekkel rendelkező rendszergazdák és felhasználók engedélyezhetik az élő választ.
Élő válasz aláíratlan szkript végrehajtásának engedélyezése (nem kötelező).
Fontos
Az aláírás-ellenőrzés csak PowerShell-szkriptekre vonatkozik.
Figyelmeztetés
Az aláíratlan szkriptek használatának engedélyezése növelheti a fenyegetéseknek való kitettséget.
Az aláíratlan szkriptek futtatása nem ajánlott, mivel növelheti a fenyegetéseknek való kitettséget. Ha azonban használnia kell őket, engedélyeznie kell a beállítást a Speciális szolgáltatások beállításai lapon.
Győződjön meg arról, hogy rendelkezik a megfelelő engedélyekkel.
Munkamenetet csak a megfelelő engedélyekkel rendelkező felhasználók kezdeményezhetnek. A szerepkör-hozzárendelésekkel kapcsolatos további információkért lásd: szerepkörök Létrehozás és kezelése.
Fontos
A fájlok tárba való feltöltésének lehetősége csak a "Biztonsági beállítások kezelése" engedéllyel rendelkező felhasználók számára érhető el. A gomb szürkére van szürkítve a csak delegált engedélyekkel rendelkező felhasználók számára.
A kapott szerepkörtől függően alapszintű vagy speciális élő válaszparancsokat futtathat. A felhasználók engedélyeit egyéni RBAC-szerepkör vezérli.
Élő válasz irányítópultjának áttekintése
Amikor élő válaszmunkamenetet kezdeményez egy eszközön, megnyílik egy irányítópult. Az irányítópult az alábbiakhoz hasonló információkat nyújt a munkamenetről:
- A munkamenet létrehozója
- A munkamenet indításakor
- A munkamenet időtartama
Az irányítópult a következőket is lehetővé teszi:
- Munkamenet leválasztása
- Fájlok feltöltése a tárba
- Parancskonzol
- Parancsnapló
Élő válaszmunkamenet kezdeményezése egy eszközön
Megjegyzés:
Az Eszköz oldalról indított élő válaszműveletek nem érhetők el a machineactions API-ban.
Jelentkezzen be Microsoft Defender portálra.
Lépjen a Végpontok > Eszközleltár menüpontra, és válasszon ki egy kivizsgálandó eszközt. Megnyílik az Eszközök lap.
Indítsa el az élő válasz munkamenetét az Élő válasz munkamenet kezdeményezése lehetőség kiválasztásával. Megjelenik egy parancskonzol. Várjon, amíg a munkamenet csatlakozik az eszközhöz.
A beépített parancsokkal elvégezheti a vizsgálati munkát. További információ: Élő válaszparancsok.
A vizsgálat befejezése után válassza a Munkamenet leválasztása, majd a Megerősítés lehetőséget.
Élő válaszparancsok
A kapott szerepkörtől függően alapszintű vagy speciális élő válaszparancsokat futtathat. A felhasználói engedélyeket egyéni RBAC-szerepkörök vezérlik. A szerepkör-hozzárendelésekkel kapcsolatos további információkért lásd: szerepkörök Létrehozás és kezelése.
Megjegyzés:
Az élő válasz egy felhőalapú interaktív rendszerhéj, ezért az adott parancsélmény a válaszidő függvényében változhat a végfelhasználó és a céleszköz közötti hálózati minőségtől és rendszerterheléstől függően.
Alapszintű parancsok
Az alábbi parancsok olyan felhasználói szerepkörökhöz érhetők el, amelyek alapszintű élő válaszparancsok futtatására jogosultak. A szerepkör-hozzárendelésekkel kapcsolatos további információkért lásd: szerepkörök Létrehozás és kezelése.
Parancs | Leírás | Windows és Windows Server | macOS | Linux |
---|---|---|---|---|
cd |
Módosítja az aktuális könyvtárat. | I | I | I |
cls |
Törli a konzolképernyőt. | I | I | I |
connect |
Élő válaszmunkamenetet kezdeményez az eszközre. | I | I | I |
connections |
Megjeleníti az összes aktív kapcsolatot. | I | N | N |
dir |
Egy könyvtárban lévő fájlok és alkönyvtárak listáját jeleníti meg. | I | I | I |
drivers |
Megjeleníti az eszközön telepített összes illesztőprogramot. | I | N | N |
fg <command ID> |
Helyezze a megadott feladatot az előtérbe, hogy az legyen az aktuális feladat. Vegye figyelembe, hogy fg command ID a feladatokat nem PID-ből, hanem feladatokból használja. |
I | I | I |
fileinfo |
Fájl adatainak lekérése. | I | I | I |
findfile |
Megadott név alapján megkeresi a fájlokat az eszközön. | I | I | I |
getfile <file_path> |
Letölt egy fájlt. | I | I | I |
help |
Az élő válaszparancsokhoz nyújt súgóinformációkat. | I | I | I |
jobs |
Megjeleníti a jelenleg futó feladatokat, azok azonosítóját és állapotát. | I | I | I |
persistence |
Megjeleníti az eszközön található összes ismert adatmegőrzési módszert. | I | N | N |
processes |
Megjeleníti az eszközön futó összes folyamatot. | I | I | I |
registry |
A beállításjegyzék értékeit jeleníti meg. | I | N | N |
scheduledtasks |
Megjeleníti az eszközön lévő összes ütemezett feladatot. | I | N | N |
services |
Megjeleníti az eszközön található összes szolgáltatást. | I | N | N |
startupfolders |
Megjeleníti az eszköz indítási mappáiban lévő összes ismert fájlt. | I | N | N |
status |
Az adott parancs állapotát és kimenetét jeleníti meg. | I | I | I |
trace |
Beállítja a terminál naplózási módját hibakeresésre. | I | I | I |
Speciális parancsok
Az alábbi parancsok olyan felhasználói szerepkörökhöz érhetők el, amelyek speciális élő válaszparancsok futtatására jogosultak. A szerepkör-hozzárendelésekkel kapcsolatos további információkért lásd: szerepkörök Létrehozás és kezelése.
Parancs | Leírás | Windows és Windows Server | macOS | Linux |
---|---|---|---|---|
analyze |
Különböző inkriminációs motorokkal elemzi az entitást az ítélet elérése érdekében. | I | N | N |
collect |
Kriminalisztikai csomagot gyűjt az eszközről. | N | I | I |
isolate |
Leválasztja az eszközt a hálózatról, miközben megőrzi a végponthoz készült Defender szolgáltatással való kapcsolatot. | N | I | N |
release |
Felszabadítja az eszközt a hálózatelkülönítésből. | N | I | N |
run |
Futtat egy PowerShell-szkriptet az eszköz kódtárából. | I | I | I |
library |
Listák az élő választárba feltöltött fájlokat. | I | I | I |
putfile |
Fájlokat helyez el a tárból az eszközre. A fájlok egy munkamappába kerülnek, és az eszköz alapértelmezés szerint újraindulásakor törlődnek. | I | I | I |
remediate |
Szervizel egy entitást az eszközön. A szervizelési művelet az entitás típusától függően változik: - Fájl: törlés - Folyamat: leállítás, képfájl törlése - Szolgáltatás: leállítás, képfájl törlése - Beállításjegyzékbeli bejegyzés: törlés - Ütemezett tevékenység: eltávolítás - Indítási mappaelem: fájl törlése Ez a parancs rendelkezik egy előfeltétel-paranccsal. A parancs és a -auto szervizelés együttes használatával automatikusan futtathatja az előfeltételként szolgáló parancsot. |
I | I | I |
scan |
Gyors víruskeresést futtat a kártevők azonosításához és elhárításához. | N | I | I |
undo |
Visszaállít egy szervizelt entitást. | I | N | N |
Megjegyzés:
Az élő válaszparancsokra a putfile
következő fájlméretkorlátok vonatkoznak:
- Windows: 300 MB
- Egyéb platformok: 10 MB
Élő válaszparancsok használata
A konzolon használható parancsok hasonló elveket követnek, mint a Windows-parancsok.
A speciális parancsok robusztusabb műveletkészletet kínálnak, amelyekkel hatékonyabb műveleteket hajthat végre, például fájlokat tölthet le és tölthet fel, szkripteket futtathat az eszközön, és szervizelési műveleteket hajthat végre egy entitáson.
Fájl lekérése az eszközről
Olyan forgatókönyvek esetén, amikor fájlt szeretne lekérni egy vizsgált eszközről, használhatja az getfile
parancsot. Ez lehetővé teszi a fájl mentését az eszközről további vizsgálat céljából.
Megjegyzés:
A következő fájlméretkorlátok érvényesek:
getfile
korlát: 3 GBfileinfo
korlát: 30 GBlibrary
korlát: 250 MB
Fájl letöltése a háttérben
Ha engedélyezni szeretné, hogy a biztonsági üzemeltetési csapat tovább vizsgálja az érintett eszközt, a fájlok a háttérben tölthetők le.
- Ha a háttérben szeretne letölteni egy fájlt, írja be az élő válasz parancskonzoljába a következőt
download <file_path> &
: . - Ha egy fájl letöltésére vár, a Ctrl + Z billentyűkombinációval áthelyezheti a háttérbe.
- Ha fájlletöltést szeretne az előtérbe helyezni, az élő válasz parancskonzolján írja be a következőt
fg <command_id>
: .
Néhány példa:
Parancs | A teendők |
---|---|
getfile "C:\windows\some_file.exe" & |
Megkezdi egy some_file.exe nevű fájl letöltését a háttérben. |
fg 1234 |
Egy 1234-ös parancsazonosítójú letöltést ad vissza az előtérbe. |
Fájl elhelyezése a tárban
Az élő válasz egy kódtárat tartalmaz, amelybe fájlokat helyezhet el. A kódtár olyan fájlokat (például szkripteket) tárol, amelyek futtathatók egy élő válaszmunkamenetben a bérlő szintjén.
Az élő válasz lehetővé teszi a PowerShell-szkriptek futtatását, azonban a futtatásuk előtt először be kell helyeznie a fájlokat a tárba.
Rendelkezhet olyan PowerShell-szkriptek gyűjteményével, amelyek olyan eszközökön futtathatók, amelyekkel élő válasz-munkameneteket kezdeményez.
Fájl feltöltése a tárba
Kattintson a Fájl feltöltése a tárba elemre.
Kattintson a Tallózás gombra , és válassza ki a fájlt.
Adjon meg egy rövid leírást.
Adja meg, hogy felülír-e egy azonos nevű fájlt.
Ha szeretné, tudja, hogy milyen paraméterekre van szükség a szkripthez, jelölje be a szkriptparaméterek jelölőnégyzetet. A szövegmezőbe írjon be egy példát és egy leírást.
Kattintson a Megerősítés gombra.
(Nem kötelező) Futtassa az parancsot annak ellenőrzéséhez, hogy a fájl fel lett-e töltve a
library
tárba.
Parancs megszakítása
Munkamenet közben bármikor megszakíthatja a parancsokat a CTRL + C billentyűkombináció lenyomásával.
Figyelmeztetés
A parancsikon használata nem állítja le a parancsot az ügynök oldalán. A parancsot csak a portálon szakítja meg. Így az olyan műveletek módosítása, mint a "szervizelés" folytatódhat, amíg a parancs le van mondva.
Szkript futtatása
PowerShell-/Bash-szkript futtatása előtt fel kell töltenie azt a tárba.
Miután feltöltötte a szkriptet a kódtárba, futtassa a run
parancsot a paranccsal.
Ha aláíratlan PowerShell-szkriptet szeretne használni a munkamenetben, engedélyeznie kell a beállítást a Speciális szolgáltatások beállításai lapon.
Figyelmeztetés
Az aláíratlan szkriptek használatának engedélyezése növelheti a fenyegetéseknek való kitettséget.
Parancsparaméterek alkalmazása
A parancsparaméterek megismeréséhez tekintse meg a konzol súgóját. Az egyes parancsok megismeréséhez futtassa a következőt:
help <command name>
Amikor paramétereket alkalmaz a parancsokra, vegye figyelembe, hogy a paraméterek kezelése rögzített sorrendben történik:
<command name> param1 param2
Ha a rögzített sorrenden kívüli paramétereket ad meg, az érték megadása előtt adja meg a paraméter nevét egy kötőjellel:
<command name> -param2_name param2
Ha előfeltételként szolgáló parancsokkal rendelkező parancsokat használ, használhat jelzőket:
<command name> -type file -id <file path> - auto
vagy
remediate file <file path> - auto`
Támogatott kimeneti típusok
Az élő válasz támogatja a tábla- és JSON-formátumú kimeneti típusokat. Minden parancshoz tartozik egy alapértelmezett kimeneti viselkedés. Az alábbi parancsokkal módosíthatja a kimenetet az előnyben részesített kimeneti formátumban:
-output json
-output table
Megjegyzés:
A korlátozott terület miatt kevesebb mező jelenik meg táblázatos formátumban. Ha további részleteket szeretne látni a kimenetben, használja a JSON kimeneti parancsot, hogy további részletek jelenjenek meg.
Támogatott kimeneti csövek
Az élő válasz támogatja a parancssori felületre és a fájlba történő kimeneti átirányítást. A parancssori felület az alapértelmezett kimeneti viselkedés. A kimenetet a következő paranccsal helyezheti át egy fájlba: [command] > [filename].txt.
Példa:
processes > output.txt
A parancsnapló megtekintése
Válassza a Parancsnapló lapot az eszközön a munkamenet során használt parancsok megtekintéséhez. Az egyes parancsokat a rendszer a következő részletes adatokkal követi nyomon:
- Azonosító
- Parancssori
- Időtartam
- Állapot és bemeneti vagy kimeneti oldalsáv
Korlátozások
- Az élő válasz munkamenetei egyszerre legfeljebb 25 élő válasz munkamenetre korlátozódnak.
- Az élő válasz munkamenetének inaktív időtúllépési értéke 30 perc.
- Az egyes élő válaszparancsok időkorlátja 10 perc, a ,
findfile
ésrun
kivételévelgetfile
, amelyek korlátja 30 perc. - A felhasználók legfeljebb 10 egyidejű munkamenetet kezdeményezhetnek.
- Egy eszköz egyszerre csak egy munkamenetben lehet.
- A következő fájlméretkorlátok érvényesek:
getfile
korlát: 3 GBfileinfo
korlát: 30 GBlibrary
korlát: 250 MB
Kapcsolódó cikk
Tipp
Szeretne többet megtudni? Engage a Microsoft biztonsági közösségével a technikai közösségünkben: Végponthoz készült Microsoft Defender Tech Community.