Entitások vizsgálata az eszközökön élő válasz használatával

Érintett szolgáltatás:

• Végponthoz készült Microsoft Defender 2. csomag
• Microsoft Defender XDR

Szeretné megismerni a Végponthoz készült Defendert? Regisztráció az ingyenes próbaverzióra

Az élő válasz azonnali hozzáférést biztosít a biztonsági üzemeltetési csapatoknak egy távoli rendszerhéj-kapcsolattal rendelkező eszközhöz (más néven géphez). Az élő válasz lehetővé teszi, hogy mélyreható nyomozói munkát hajtson végre, és azonnali válaszlépéseket hajthat végre, hogy azonnal valós időben tartalmazza az azonosított fenyegetéseket.

Az élő válasz úgy lett kialakítva, hogy fokozza a vizsgálatokat azáltal, hogy lehetővé teszi a biztonsági üzemeltetési csapat számára, hogy kriminalisztikai adatokat gyűjtsön, szkripteket futtasson, gyanús entitásokat küldjön elemzésre, elhárítsa a fenyegetéseket, és proaktívan keressen új fenyegetéseket.

Élő válasz esetén az elemzők a következő feladatokat végezhetik el:

• Alapszintű és speciális parancsok futtatásával elvégezheti a vizsgálati munkát az eszközön.
• Töltsön le fájlokat, például kártevőmintákat és PowerShell-szkriptek eredményeit.
• Fájlok letöltése a háttérben (új!).
• Töltsön fel egy PowerShell-szkriptet vagy végrehajtható fájlt a tárba, és futtassa egy eszközön bérlői szinten.
• Szervizelési műveletek végrehajtása vagy visszavonása.

Az első lépések

Mielőtt munkamenetet kezdeményezhet egy eszközön, győződjön meg arról, hogy megfelel a következő követelményeknek:

• Ellenőrizze, hogy a Windows támogatott verzióját futtatja-e.

  Az eszközöknek a Windows alábbi verzióinak egyikét kell futtatniuk

  • Windows 10 & 11

    • 1909-es vagy újabb verzió
    • 1903-es verzióKB4515384
    • 1809-es verzió (RS 5)KB4537818
    • 1803-es verzió (RS 4)KB4537795
    • 1709-es verzió (RS 3)KB4537816

  • macOS – Minimálisan szükséges verzió: 101.43.84. Intel- és ARM-alapú macOS-eszközök esetén támogatott.

  • Linux – Minimálisan szükséges verzió: 101.45.13

  • Windows Server 2012 R2 – KB5005292

  • Windows Server 2016 – KB5005292

    Megjegyzés:

    Windows Server 2012R2 vagy 2016 esetén telepítve kell lennie az egyesített ügynöknek , és ajánlott a legújabb érzékelőverzióra javítani a KB5005292.

  • Windows Server 2019

    • 1903-es vagy újabb verzió ( KB4515384)
    • 1809-es verzió ( KB4537818)

  • Windows Server 2022

• Engedélyezze az élő választ a speciális beállítások oldaláról.

  Engedélyeznie kell az élő válaszképességet a Speciális funkciók beállításai lapon.

  Megjegyzés:

  Csak a "Portálbeállítások kezelése" engedélyekkel rendelkező rendszergazdák és felhasználók engedélyezhetik az élő választ.

• Engedélyezze a kiszolgálók élő válaszát a speciális beállítások lapon (ajánlott).

  Megjegyzés:

  Csak a "Portálbeállítások kezelése" engedélyekkel rendelkező rendszergazdák és felhasználók engedélyezhetik az élő választ.

• Élő válasz aláíratlan szkript végrehajtásának engedélyezése (nem kötelező).

  Fontos

  Az aláírás-ellenőrzés csak PowerShell-szkriptekre vonatkozik.

  Figyelmeztetés

  Az aláíratlan szkriptek használatának engedélyezése növelheti a fenyegetéseknek való kitettséget.

  Az aláíratlan szkriptek futtatása nem ajánlott, mivel növelheti a fenyegetéseknek való kitettséget. Ha azonban használnia kell őket, engedélyeznie kell a beállítást a Speciális szolgáltatások beállításai lapon.

• Győződjön meg arról, hogy rendelkezik a megfelelő engedélyekkel.

  Munkamenetet csak a megfelelő engedélyekkel rendelkező felhasználók kezdeményezhetnek. A szerepkör-hozzárendelésekkel kapcsolatos további információkért lásd: szerepkörök Létrehozás és kezelése.

  Fontos

  A fájlok tárba való feltöltésének lehetősége csak a "Biztonsági beállítások kezelése" engedéllyel rendelkező felhasználók számára érhető el. A gomb szürkére van szürkítve a csak delegált engedélyekkel rendelkező felhasználók számára.

  A kapott szerepkörtől függően alapszintű vagy speciális élő válaszparancsokat futtathat. A felhasználók engedélyeit egyéni RBAC-szerepkör vezérli.

Élő válasz irányítópultjának áttekintése

Amikor élő válaszmunkamenetet kezdeményez egy eszközön, megnyílik egy irányítópult. Az irányítópult az alábbiakhoz hasonló információkat nyújt a munkamenetről:

• A munkamenet létrehozója
• A munkamenet indításakor
• A munkamenet időtartama

Az irányítópult a következőket is lehetővé teszi:

• Munkamenet leválasztása
• Fájlok feltöltése a tárba
• Parancskonzol
• Parancsnapló

Élő válaszmunkamenet kezdeményezése egy eszközön

Megjegyzés:

Az Eszköz oldalról indított élő válaszműveletek nem érhetők el a machineactions API-ban.

1. Jelentkezzen be Microsoft Defender portálra.

2. Lépjen a Végpontok > Eszközleltár menüpontra, és válasszon ki egy kivizsgálandó eszközt. Megnyílik az Eszközök lap.

3. Indítsa el az élő válasz munkamenetét az Élő válasz munkamenet kezdeményezése lehetőség kiválasztásával. Megjelenik egy parancskonzol. Várjon, amíg a munkamenet csatlakozik az eszközhöz.

4. A beépített parancsokkal elvégezheti a vizsgálati munkát. További információ: Élő válaszparancsok.

5. A vizsgálat befejezése után válassza a Munkamenet leválasztása, majd a Megerősítés lehetőséget.

Élő válaszparancsok

A kapott szerepkörtől függően alapszintű vagy speciális élő válaszparancsokat futtathat. A felhasználói engedélyeket egyéni RBAC-szerepkörök vezérlik. A szerepkör-hozzárendelésekkel kapcsolatos további információkért lásd: szerepkörök Létrehozás és kezelése.

Megjegyzés:

Az élő válasz egy felhőalapú interaktív rendszerhéj, ezért az adott parancsélmény a válaszidő függvényében változhat a végfelhasználó és a céleszköz közötti hálózati minőségtől és rendszerterheléstől függően.

Alapszintű parancsok

Az alábbi parancsok olyan felhasználói szerepkörökhöz érhetők el, amelyek alapszintű élő válaszparancsok futtatására jogosultak. A szerepkör-hozzárendelésekkel kapcsolatos további információkért lásd: szerepkörök Létrehozás és kezelése.

Parancs	Leírás	Windows és Windows Server	macOS	Linux
cd	Módosítja az aktuális könyvtárat.	I	I	I
cls	Törli a konzolképernyőt.	I	I	I
connect	Élő válaszmunkamenetet kezdeményez az eszközre.	I	I	I
connections	Megjeleníti az összes aktív kapcsolatot.	I	N	N
dir	Egy könyvtárban lévő fájlok és alkönyvtárak listáját jeleníti meg.	I	I	I
drivers	Megjeleníti az eszközön telepített összes illesztőprogramot.	I	N	N
fg <command ID>	Helyezze a megadott feladatot az előtérbe, hogy az legyen az aktuális feladat. Vegye figyelembe, hogy fgcommand ID a feladatokat nem PID-ből, hanem feladatokból használja.	I	I	I
fileinfo	Fájl adatainak lekérése.	I	I	I
findfile	Megadott név alapján megkeresi a fájlokat az eszközön.	I	I	I
getfile <file_path>	Letölt egy fájlt.	I	I	I
help	Az élő válaszparancsokhoz nyújt súgóinformációkat.	I	I	I
jobs	Megjeleníti a jelenleg futó feladatokat, azok azonosítóját és állapotát.	I	I	I
persistence	Megjeleníti az eszközön található összes ismert adatmegőrzési módszert.	I	N	N
processes	Megjeleníti az eszközön futó összes folyamatot.	I	I	I
registry	A beállításjegyzék értékeit jeleníti meg.	I	N	N
scheduledtasks	Megjeleníti az eszközön lévő összes ütemezett feladatot.	I	N	N
services	Megjeleníti az eszközön található összes szolgáltatást.	I	N	N
startupfolders	Megjeleníti az eszköz indítási mappáiban lévő összes ismert fájlt.	I	N	N
status	Az adott parancs állapotát és kimenetét jeleníti meg.	I	I	I
trace	Beállítja a terminál naplózási módját hibakeresésre.	I	I	I

Speciális parancsok

Az alábbi parancsok olyan felhasználói szerepkörökhöz érhetők el, amelyek speciális élő válaszparancsok futtatására jogosultak. A szerepkör-hozzárendelésekkel kapcsolatos további információkért lásd: szerepkörök Létrehozás és kezelése.

Parancs	Leírás	Windows és Windows Server	macOS	Linux
analyze	Különböző inkriminációs motorokkal elemzi az entitást az ítélet elérése érdekében.	I	N	N
collect	Kriminalisztikai csomagot gyűjt az eszközről.	N	I	I
isolate	Leválasztja az eszközt a hálózatról, miközben megőrzi a végponthoz készült Defender szolgáltatással való kapcsolatot.	N	I	N
release	Felszabadítja az eszközt a hálózatelkülönítésből.	N	I	N
run	Futtat egy PowerShell-szkriptet az eszköz kódtárából.	I	I	I
library	Listák az élő választárba feltöltött fájlokat.	I	I	I
putfile	Fájlokat helyez el a tárból az eszközre. A fájlok egy munkamappába kerülnek, és az eszköz alapértelmezés szerint újraindulásakor törlődnek.	I	I	I
remediate	Szervizel egy entitást az eszközön. A szervizelési művelet az entitás típusától függően változik: - Fájl: törlés - Folyamat: leállítás, képfájl törlése - Szolgáltatás: leállítás, képfájl törlése - Beállításjegyzékbeli bejegyzés: törlés - Ütemezett tevékenység: eltávolítás - Indítási mappaelem: fájl törlése Ez a parancs rendelkezik egy előfeltétel-paranccsal. A parancs és a -auto szervizelés együttes használatával automatikusan futtathatja az előfeltételként szolgáló parancsot.	I	I	I
scan	Gyors víruskeresést futtat a kártevők azonosításához és elhárításához.	N	I	I
undo	Visszaállít egy szervizelt entitást.	I	N	N

Megjegyzés:

Az élő válaszparancsokra a putfile következő fájlméretkorlátok vonatkoznak:

• Windows: 300 MB
• Egyéb platformok: 10 MB

Élő válaszparancsok használata

A konzolon használható parancsok hasonló elveket követnek, mint a Windows-parancsok.

A speciális parancsok robusztusabb műveletkészletet kínálnak, amelyekkel hatékonyabb műveleteket hajthat végre, például fájlokat tölthet le és tölthet fel, szkripteket futtathat az eszközön, és szervizelési műveleteket hajthat végre egy entitáson.

Fájl lekérése az eszközről

Olyan forgatókönyvek esetén, amikor fájlt szeretne lekérni egy vizsgált eszközről, használhatja az getfile parancsot. Ez lehetővé teszi a fájl mentését az eszközről további vizsgálat céljából.

Megjegyzés:

A következő fájlméretkorlátok érvényesek:

• getfile korlát: 3 GB
• fileinfo korlát: 30 GB
• library korlát: 250 MB

Fájl letöltése a háttérben

Ha engedélyezni szeretné, hogy a biztonsági üzemeltetési csapat tovább vizsgálja az érintett eszközt, a fájlok a háttérben tölthetők le.

• Ha a háttérben szeretne letölteni egy fájlt, írja be az élő válasz parancskonzoljába a következőt download <file_path> &: .
• Ha egy fájl letöltésére vár, a Ctrl + Z billentyűkombinációval áthelyezheti a háttérbe.
• Ha fájlletöltést szeretne az előtérbe helyezni, az élő válasz parancskonzolján írja be a következőt fg <command_id>: .

Néhány példa:

Parancs	A teendők
getfile "C:\windows\some_file.exe" &	Megkezdi egy some_file.exe nevű fájl letöltését a háttérben.
fg 1234	Egy 1234-ös parancsazonosítójú letöltést ad vissza az előtérbe.

Fájl elhelyezése a tárban

Az élő válasz egy kódtárat tartalmaz, amelybe fájlokat helyezhet el. A kódtár olyan fájlokat (például szkripteket) tárol, amelyek futtathatók egy élő válaszmunkamenetben a bérlő szintjén.

Az élő válasz lehetővé teszi a PowerShell-szkriptek futtatását, azonban a futtatásuk előtt először be kell helyeznie a fájlokat a tárba.

Rendelkezhet olyan PowerShell-szkriptek gyűjteményével, amelyek olyan eszközökön futtathatók, amelyekkel élő válasz-munkameneteket kezdeményez.

Fájl feltöltése a tárba

1. Kattintson a Fájl feltöltése a tárba elemre.

2. Kattintson a Tallózás gombra , és válassza ki a fájlt.

3. Adjon meg egy rövid leírást.

4. Adja meg, hogy felülír-e egy azonos nevű fájlt.

5. Ha szeretné, tudja, hogy milyen paraméterekre van szükség a szkripthez, jelölje be a szkriptparaméterek jelölőnégyzetet. A szövegmezőbe írjon be egy példát és egy leírást.

6. Kattintson a Megerősítés gombra.

7. (Nem kötelező) Futtassa az parancsot annak ellenőrzéséhez, hogy a fájl fel lett-e töltve a library tárba.

Parancs megszakítása

Munkamenet közben bármikor megszakíthatja a parancsokat a CTRL + C billentyűkombináció lenyomásával.

Figyelmeztetés

A parancsikon használata nem állítja le a parancsot az ügynök oldalán. A parancsot csak a portálon szakítja meg. Így az olyan műveletek módosítása, mint a "szervizelés" folytatódhat, amíg a parancs le van mondva.

Szkript futtatása

PowerShell-/Bash-szkript futtatása előtt fel kell töltenie azt a tárba.

Miután feltöltötte a szkriptet a kódtárba, futtassa a run parancsot a paranccsal.

Ha aláíratlan PowerShell-szkriptet szeretne használni a munkamenetben, engedélyeznie kell a beállítást a Speciális szolgáltatások beállításai lapon.

Figyelmeztetés

Az aláíratlan szkriptek használatának engedélyezése növelheti a fenyegetéseknek való kitettséget.

Parancsparaméterek alkalmazása

• A parancsparaméterek megismeréséhez tekintse meg a konzol súgóját. Az egyes parancsok megismeréséhez futtassa a következőt:

  help <command name>
  

• Amikor paramétereket alkalmaz a parancsokra, vegye figyelembe, hogy a paraméterek kezelése rögzített sorrendben történik:

  <command name> param1 param2
  

• Ha a rögzített sorrenden kívüli paramétereket ad meg, az érték megadása előtt adja meg a paraméter nevét egy kötőjellel:

  <command name> -param2_name param2
  

• Ha előfeltételként szolgáló parancsokkal rendelkező parancsokat használ, használhat jelzőket:

  <command name> -type file -id <file path> - auto
  

  vagy

  remediate file <file path> - auto`
  

Támogatott kimeneti típusok

Az élő válasz támogatja a tábla- és JSON-formátumú kimeneti típusokat. Minden parancshoz tartozik egy alapértelmezett kimeneti viselkedés. Az alábbi parancsokkal módosíthatja a kimenetet az előnyben részesített kimeneti formátumban:

• -output json
• -output table

Megjegyzés:

A korlátozott terület miatt kevesebb mező jelenik meg táblázatos formátumban. Ha további részleteket szeretne látni a kimenetben, használja a JSON kimeneti parancsot, hogy további részletek jelenjenek meg.

Támogatott kimeneti csövek

Az élő válasz támogatja a parancssori felületre és a fájlba történő kimeneti átirányítást. A parancssori felület az alapértelmezett kimeneti viselkedés. A kimenetet a következő paranccsal helyezheti át egy fájlba: [command] > [filename].txt.

Példa:

processes > output.txt

A parancsnapló megtekintése

Válassza a Parancsnapló lapot az eszközön a munkamenet során használt parancsok megtekintéséhez. Az egyes parancsokat a rendszer a következő részletes adatokkal követi nyomon:

• Azonosító
• Parancssori
• Időtartam
• Állapot és bemeneti vagy kimeneti oldalsáv

Korlátozások

• Az élő válasz munkamenetei egyszerre legfeljebb 25 élő válasz munkamenetre korlátozódnak.
• Az élő válasz munkamenetének inaktív időtúllépési értéke 30 perc.
• Az egyes élő válaszparancsok időkorlátja 10 perc, a , findfileés runkivételévelgetfile, amelyek korlátja 30 perc.
• A felhasználók legfeljebb 10 egyidejű munkamenetet kezdeményezhetnek.
• Egy eszköz egyszerre csak egy munkamenetben lehet.
• A következő fájlméretkorlátok érvényesek:
  • getfile korlát: 3 GB
  • fileinfo korlát: 30 GB
  • library korlát: 250 MB

Kapcsolódó cikk

• Példák valós idejű válaszműveletre

Tipp

Szeretne többet megtudni? Engage a Microsoft biztonsági közösségével a technikai közösségünkben: Végponthoz készült Microsoft Defender Tech Community.