Analizzare le entità nei dispositivi usando la risposta in tempo reale
Si applica a:
Si desidera provare Microsoft Defender per endpoint? iscriversi a una versione di valutazione gratuita.
La risposta in tempo reale offre ai team delle operazioni di sicurezza l'accesso immediato a un dispositivo (noto anche come computer) tramite una connessione shell remota. La risposta in tempo reale offre la possibilità di svolgere un lavoro investigativo approfondito e di intraprendere azioni di risposta immediata per contenere tempestivamente le minacce identificate in tempo reale.
La risposta dinamica è progettata per migliorare le indagini consentendo al team delle operazioni di sicurezza di raccogliere dati forensi, eseguire script, inviare entità sospette per l'analisi, correggere le minacce e cercare in modo proattivo le minacce emergenti.
Con la risposta in tempo reale, gli analisti possono eseguire tutte le attività seguenti:
- Eseguire comandi di base e avanzati per eseguire operazioni investigative su un dispositivo.
- Scaricare file come esempi di malware e risultati degli script di PowerShell.
- Scaricare i file in background (nuovo!).
- Caricare uno script o un eseguibile di PowerShell nella libreria ed eseguirlo in un dispositivo a livello di tenant.
- Eseguire o annullare azioni di correzione.
Prima di iniziare
Prima di avviare una sessione in un dispositivo, assicurarsi di soddisfare i requisiti seguenti:
Verificare che sia in esecuzione una versione supportata di Windows.
I dispositivi devono eseguire una delle versioni seguenti di Windows
Windows 10 & 11
- Versione 1909 o successiva
- Versione 1903 con KB4515384
- Versione 1809 (RS 5) con KB4537818
- Versione 1803 (RS 4) con KB4537795
- Versione 1709 (RS 3) con KB4537816
macOS - Versione minima richiesta: 101.43.84. Supportato per i dispositivi macOS basati su Intel e arm.
Linux - Versione minima richiesta: 101.45.13
Windows Server 2012 R2 - con KB5005292
Windows Server 2016 - con KB5005292
Nota
Per Windows Server 2012R2 o 2016 è necessario avere installato l'agente unificato ed è consigliabile applicare patch alla versione più recente del sensore con KB5005292.
Windows Server 2019
Windows Server 2022
Abilitare la risposta dinamica dalla pagina impostazioni avanzate.
È necessario abilitare la funzionalità di risposta dinamica nella pagina Impostazioni funzionalità avanzate .
Nota
Solo gli amministratori e gli utenti con autorizzazioni "Gestisci impostazioni portale" possono abilitare la risposta dinamica.
Abilitare la risposta dinamica per i server dalla pagina impostazioni avanzate (scelta consigliata).
Nota
Solo gli amministratori e gli utenti con autorizzazioni "Gestisci impostazioni portale" possono abilitare la risposta dinamica.
Abilitare l'esecuzione di script senza segno della risposta in tempo reale (facoltativo).
Importante
La verifica della firma si applica solo agli script di PowerShell.
Avviso
Consentire l'uso di script non firmati può aumentare l'esposizione alle minacce.
L'esecuzione di script non firmati non è consigliata perché può aumentare l'esposizione alle minacce. Se tuttavia è necessario usarli, è necessario abilitare l'impostazione nella pagina Impostazioni avanzate delle funzionalità .
Assicurarsi di disporre delle autorizzazioni appropriate.
Solo gli utenti di cui viene effettuato il provisioning con le autorizzazioni appropriate possono avviare una sessione. Per altre informazioni sulle assegnazioni di ruolo, vedere Create e gestire i ruoli.
Importante
L'opzione per caricare un file nella raccolta è disponibile solo per gli utenti con l'autorizzazione "Gestisci impostazioni di sicurezza". Il pulsante è disattivato per gli utenti con autorizzazioni delegate.
A seconda del ruolo concesso, è possibile eseguire comandi di risposta live di base o avanzati. Le autorizzazioni degli utenti sono controllate dal ruolo personalizzato del controllo degli accessi in base al ruolo.
Panoramica del dashboard della risposta in tempo reale
Quando si avvia una sessione di risposta dinamica in un dispositivo, viene aperto un dashboard. Il dashboard fornisce informazioni sulla sessione, ad esempio:
- Chi ha creato la sessione
- All'avvio della sessione
- Durata della sessione
Il dashboard consente inoltre di accedere a:
- Disconnetti sessione
- Caricare file nella libreria
- Console dei comandi
- Log dei comandi
Avviare una sessione di risposta dinamica in un dispositivo
Nota
Le azioni di risposta in tempo reale avviate dalla pagina Dispositivo non sono disponibili nell'API machineactions.
Accedere al portale di Microsoft Defender.
Passare a Endpoints Device inventory (Inventario dispositivi endpoint > ) e selezionare un dispositivo da analizzare. Verrà visualizzata la pagina dispositivi.
Avviare la sessione di risposta dinamica selezionando Avvia sessione di risposta dinamica. Viene visualizzata una console dei comandi. Attendere la connessione della sessione al dispositivo.
Usare i comandi predefiniti per eseguire operazioni investigative. Per altre informazioni, vedere Comandi di risposta dinamica.
Dopo aver completato l'indagine, selezionare Disconnetti sessione e quindi selezionare Conferma.
Comandi di risposta dinamica
A seconda del ruolo concesso, è possibile eseguire comandi di risposta live di base o avanzati. Le autorizzazioni utente sono controllate dai ruoli personalizzati del controllo degli accessi in base al ruolo. Per altre informazioni sulle assegnazioni di ruolo, vedere Create e gestire i ruoli.
Nota
La risposta dinamica è una shell interattiva basata sul cloud, pertanto l'esperienza di comando specifica può variare nel tempo di risposta a seconda della qualità della rete e del carico di sistema tra l'utente finale e il dispositivo di destinazione.
Comandi di base
I comandi seguenti sono disponibili per i ruoli utente a cui viene concessa la possibilità di eseguire comandi di risposta live di base . Per altre informazioni sulle assegnazioni di ruolo, vedere Create e gestire i ruoli.
Comando | Descrizione | Windows e Windows Server | macOS | Linux |
---|---|---|---|---|
cd |
Modifica la directory corrente. | Y | Y | Y |
cls |
Cancella la schermata della console. | Y | Y | Y |
connect |
Avvia una sessione di risposta dinamica al dispositivo. | Y | Y | Y |
connections |
Mostra tutte le connessioni attive. | Y | N | N |
dir |
Mostra un elenco di file e sottodirectory in una directory. | Y | Y | Y |
drivers |
Mostra tutti i driver installati nel dispositivo. | Y | N | N |
fg <command ID> |
Posizionare il processo specificato in primo piano, rendendolo il processo corrente. Si noti che fg accetta un oggetto command ID disponibile dai processi, non un PID. |
Y | Y | Y |
fileinfo |
Ottenere informazioni su un file. | Y | Y | Y |
findfile |
Individua i file in base a un nome specificato nel dispositivo. | Y | Y | Y |
getfile <file_path> |
Scarica un file. | Y | Y | Y |
help |
Fornisce informazioni sulla Guida per i comandi di risposta dinamica. | Y | Y | Y |
jobs |
Mostra i processi attualmente in esecuzione, il relativo ID e lo stato. | Y | Y | Y |
persistence |
Mostra tutti i metodi di persistenza noti nel dispositivo. | Y | N | N |
processes |
Mostra tutti i processi in esecuzione nel dispositivo. | Y | Y | Y |
registry |
Mostra i valori del Registro di sistema. | Y | N | N |
scheduledtasks |
Mostra tutte le attività pianificate nel dispositivo. | Y | N | N |
services |
Mostra tutti i servizi nel dispositivo. | Y | N | N |
startupfolders |
Mostra tutti i file noti nelle cartelle di avvio nel dispositivo. | Y | N | N |
status |
Mostra lo stato e l'output di un comando specifico. | Y | Y | Y |
trace |
Imposta la modalità di registrazione del terminale per il debug. | Y | Y | Y |
Comandi avanzati
I comandi seguenti sono disponibili per i ruoli utente a cui viene concessa la possibilità di eseguire comandi di risposta dinamica avanzati . Per altre informazioni sulle assegnazioni di ruolo, vedere Create e gestire i ruoli.
Comando | Descrizione | Windows e Windows Server | macOS | Linux |
---|---|---|---|---|
analyze |
Analizza l'entità con vari motori di incriminazione per raggiungere un verdetto. | Y | N | N |
collect |
Raccoglie il pacchetto forense dal dispositivo. | N | Y | Y |
isolate |
Disconnette il dispositivo dalla rete mantenendo la connettività al servizio Defender per endpoint. | N | Y | N |
release |
Rilascia un dispositivo dall'isolamento di rete. | N | Y | N |
run |
Esegue uno script di PowerShell dalla libreria nel dispositivo. | Y | Y | Y |
library |
Elenchi file caricati nella libreria di risposte live. | Y | Y | Y |
putfile |
Inserisce un file dalla libreria al dispositivo. I file vengono salvati in una cartella di lavoro e vengono eliminati al riavvio del dispositivo per impostazione predefinita. | Y | Y | Y |
remediate |
Corregge un'entità nel dispositivo. L'azione di correzione varia a seconda del tipo di entità: - File: delete - Processo: arrestare, eliminare il file di immagine - Servizio: arrestare, eliminare il file di immagine - Voce del Registro di sistema: delete - Attività pianificata: rimozione - Elemento della cartella di avvio: eliminare il file Questo comando ha un comando prerequisito. È possibile usare il -auto comando insieme a remediate per eseguire automaticamente il comando prerequisite. |
Y | Y | Y |
scan |
Esegue un'analisi antivirus rapida per identificare e correggere il malware. | N | Y | Y |
undo |
Ripristina un'entità che è stata correzione. | Y | N | N |
Nota
Per il comando live response si applicano putfile
i limiti di dimensioni del file seguenti:
- Windows: 300 MB
- Altre piattaforme: 10 MB
Usare i comandi di risposta dinamica
I comandi che è possibile usare nella console seguono principi simili a Quelli di Windows.
I comandi avanzati offrono un set più solido di azioni che consentono di eseguire azioni più efficaci, ad esempio scaricare e caricare un file, eseguire script nel dispositivo ed eseguire azioni di correzione in un'entità.
Ottenere un file dal dispositivo
Per gli scenari in cui si vuole ottenere un file da un dispositivo in corso di analisi, è possibile usare il getfile
comando . In questo modo è possibile salvare il file dal dispositivo per ulteriori indagini.
Nota
Si applicano i limiti seguenti per le dimensioni dei file:
getfile
limite: 3 GBfileinfo
limite: 30 GBlibrary
limite: 250 MB
Scaricare un file in background
Per consentire al team delle operazioni di sicurezza di continuare a analizzare un dispositivo interessato, è ora possibile scaricare i file in background.
- Per scaricare un file in background, nella console dei comandi live response digitare
download <file_path> &
. - Se si attende il download di un file, è possibile spostarlo in background usando CTRL+Z.
- Per portare un download di file in primo piano, nella console dei comandi della risposta dinamica digitare
fg <command_id>
.
Ecco alcuni esempi:
Comando | Funzione |
---|---|
getfile "C:\windows\some_file.exe" & |
Avvia il download di un file denominato some_file.exe in background. |
fg 1234 |
Restituisce un download con ID comando 1234 in primo piano. |
Inserire un file nella libreria
La risposta dinamica include una libreria in cui è possibile inserire i file. La libreria archivia i file ,ad esempio gli script, che possono essere eseguiti in una sessione di risposta dinamica a livello di tenant.
La risposta dinamica consente l'esecuzione di script di PowerShell, tuttavia è necessario prima inserire i file nella libreria prima di poterli eseguire.
È possibile avere una raccolta di script di PowerShell che possono essere eseguiti nei dispositivi con cui si avviano sessioni di risposta live.
Per caricare un file nella libreria
Fare clic su Carica file nella raccolta.
Fare clic su Sfoglia e selezionare il file.
Fornire una breve descrizione.
Specificare se si vuole sovrascrivere un file con lo stesso nome.
Se si vuole essere, sapere quali parametri sono necessari per lo script, selezionare la casella di controllo Parametri script. Nel campo di testo immettere un esempio e una descrizione.
Fare clic su Conferma.
(Facoltativo) Per verificare che il file sia stato caricato nella libreria, eseguire il
library
comando .
Annullare un comando
In qualsiasi momento durante una sessione, è possibile annullare un comando premendo CTRL +C.
Avviso
L'uso di questo collegamento non interromperà il comando sul lato agente. Il comando verrà annullato solo nel portale. Pertanto, le operazioni di modifica, ad esempio "correzione", possono continuare, mentre il comando viene annullato.
Eseguire uno script
Prima di poter eseguire uno script di PowerShell/Bash, è necessario caricarlo nella libreria.
Dopo aver caricato lo script nella libreria, usare il run
comando per eseguire lo script.
Se si prevede di usare uno script di PowerShell non firmato nella sessione, è necessario abilitare l'impostazione nella pagina Impostazioni avanzate delle funzionalità .
Avviso
Consentire l'uso di script non firmati può aumentare l'esposizione alle minacce.
Applicare parametri di comando
Per informazioni sui parametri dei comandi, vedere la Guida della console. Per informazioni su un singolo comando, eseguire:
help <command name>
Quando si applicano parametri ai comandi, si noti che i parametri vengono gestiti in base a un ordine fisso:
<command name> param1 param2
Quando si specificano parametri all'esterno dell'ordine fisso, specificare il nome del parametro con un trattino prima di specificare il valore:
<command name> -param2_name param2
Quando si usano comandi con comandi prerequisiti, è possibile usare i flag:
<command name> -type file -id <file path> - auto
o
remediate file <file path> - auto`
Tipi di output supportati
La risposta dinamica supporta i tipi di output in formato tabella e JSON. Per ogni comando è presente un comportamento di output predefinito. È possibile modificare l'output nel formato di output preferito usando i comandi seguenti:
-output json
-output table
Nota
Un numero minore di campi viene visualizzato in formato tabella a causa dello spazio limitato. Per visualizzare altri dettagli nell'output, è possibile usare il comando di output JSON in modo che vengano visualizzati altri dettagli.
Pipe di output supportate
La risposta dinamica supporta il piping di output all'interfaccia della riga di comando e al file. L'interfaccia della riga di comando è il comportamento di output predefinito. È possibile inviare tramite pipe l'output a un file usando il comando seguente: [comando] > [nomefile].txt.
Esempio:
processes > output.txt
Visualizzare il log dei comandi
Selezionare la scheda Log dei comandi per visualizzare i comandi usati nel dispositivo durante una sessione. Ogni comando viene monitorato con dettagli completi, ad esempio:
- ID
- Riga di comando
- Durata
- Stato e barra laterale di input o output
Limitazioni
- Le sessioni di risposta live sono limitate a 25 sessioni di risposta live alla volta.
- Il valore di timeout inattivo della sessione di risposta dinamica è 30 minuti.
- I singoli comandi di risposta dinamica hanno un limite di tempo di 10 minuti, ad eccezione di
getfile
,findfile
erun
, che hanno un limite di 30 minuti. - Un utente può avviare fino a 10 sessioni simultanee.
- Un dispositivo può trovarsi in una sola sessione alla volta.
- Si applicano i limiti seguenti per le dimensioni dei file:
getfile
limite: 3 GBfileinfo
limite: 30 GBlibrary
limite: 250 MB
Articolo correlato
Consiglio
Per saperne di più, Engage con la community Microsoft Security nella community tech: Microsoft Defender per endpoint Tech Community.