Analizzare le entità nei dispositivi usando la risposta in tempo reale

Si applica a:

• Microsoft Defender per endpoint Piano 2
• Microsoft Defender XDR

Si desidera provare Microsoft Defender per endpoint? iscriversi a una versione di valutazione gratuita.

La risposta in tempo reale offre ai team delle operazioni di sicurezza l'accesso immediato a un dispositivo (noto anche come computer) tramite una connessione shell remota. La risposta in tempo reale offre la possibilità di svolgere un lavoro investigativo approfondito e di intraprendere azioni di risposta immediata per contenere tempestivamente le minacce identificate in tempo reale.

La risposta dinamica è progettata per migliorare le indagini consentendo al team delle operazioni di sicurezza di raccogliere dati forensi, eseguire script, inviare entità sospette per l'analisi, correggere le minacce e cercare in modo proattivo le minacce emergenti.

Con la risposta in tempo reale, gli analisti possono eseguire tutte le attività seguenti:

• Eseguire comandi di base e avanzati per eseguire operazioni investigative su un dispositivo.
• Scaricare file come esempi di malware e risultati degli script di PowerShell.
• Scaricare i file in background (nuovo!).
• Caricare uno script o un eseguibile di PowerShell nella libreria ed eseguirlo in un dispositivo a livello di tenant.
• Eseguire o annullare azioni di correzione.

Prima di iniziare

Prima di avviare una sessione in un dispositivo, assicurarsi di soddisfare i requisiti seguenti:

• Verificare che sia in esecuzione una versione supportata di Windows.

  I dispositivi devono eseguire una delle versioni seguenti di Windows

  • Windows 10 & 11

    • Versione 1909 o successiva
    • Versione 1903 con KB4515384
    • Versione 1809 (RS 5) con KB4537818
    • Versione 1803 (RS 4) con KB4537795
    • Versione 1709 (RS 3) con KB4537816

  • macOS - Versione minima richiesta: 101.43.84. Supportato per i dispositivi macOS basati su Intel e arm.

  • Linux - Versione minima richiesta: 101.45.13

  • Windows Server 2012 R2 - con KB5005292

  • Windows Server 2016 - con KB5005292

    Nota

    Per Windows Server 2012R2 o 2016 è necessario avere installato l'agente unificato ed è consigliabile applicare patch alla versione più recente del sensore con KB5005292.

  • Windows Server 2019

    • Versione 1903 o (con KB4515384) successiva
    • Versione 1809 (con KB4537818)

  • Windows Server 2022

• Abilitare la risposta dinamica dalla pagina impostazioni avanzate.

  È necessario abilitare la funzionalità di risposta dinamica nella pagina Impostazioni funzionalità avanzate .

  Nota

  Solo gli amministratori e gli utenti con autorizzazioni "Gestisci impostazioni portale" possono abilitare la risposta dinamica.

• Abilitare la risposta dinamica per i server dalla pagina impostazioni avanzate (scelta consigliata).

  Nota

  Solo gli amministratori e gli utenti con autorizzazioni "Gestisci impostazioni portale" possono abilitare la risposta dinamica.

• Abilitare l'esecuzione di script senza segno della risposta in tempo reale (facoltativo).

  Importante

  La verifica della firma si applica solo agli script di PowerShell.

  Avviso

  Consentire l'uso di script non firmati può aumentare l'esposizione alle minacce.

  L'esecuzione di script non firmati non è consigliata perché può aumentare l'esposizione alle minacce. Se tuttavia è necessario usarli, è necessario abilitare l'impostazione nella pagina Impostazioni avanzate delle funzionalità .

• Assicurarsi di disporre delle autorizzazioni appropriate.

  Solo gli utenti di cui viene effettuato il provisioning con le autorizzazioni appropriate possono avviare una sessione. Per altre informazioni sulle assegnazioni di ruolo, vedere Create e gestire i ruoli.

  Importante

  L'opzione per caricare un file nella raccolta è disponibile solo per gli utenti con l'autorizzazione "Gestisci impostazioni di sicurezza". Il pulsante è disattivato per gli utenti con autorizzazioni delegate.

  A seconda del ruolo concesso, è possibile eseguire comandi di risposta live di base o avanzati. Le autorizzazioni degli utenti sono controllate dal ruolo personalizzato del controllo degli accessi in base al ruolo.

Panoramica del dashboard della risposta in tempo reale

Quando si avvia una sessione di risposta dinamica in un dispositivo, viene aperto un dashboard. Il dashboard fornisce informazioni sulla sessione, ad esempio:

• Chi ha creato la sessione
• All'avvio della sessione
• Durata della sessione

Il dashboard consente inoltre di accedere a:

• Disconnetti sessione
• Caricare file nella libreria
• Console dei comandi
• Log dei comandi

Avviare una sessione di risposta dinamica in un dispositivo

Nota

Le azioni di risposta in tempo reale avviate dalla pagina Dispositivo non sono disponibili nell'API machineactions.

1. Accedere al portale di Microsoft Defender.

2. Passare a Endpoints Device inventory (Inventario dispositivi endpoint > ) e selezionare un dispositivo da analizzare. Verrà visualizzata la pagina dispositivi.

3. Avviare la sessione di risposta dinamica selezionando Avvia sessione di risposta dinamica. Viene visualizzata una console dei comandi. Attendere la connessione della sessione al dispositivo.

4. Usare i comandi predefiniti per eseguire operazioni investigative. Per altre informazioni, vedere Comandi di risposta dinamica.

5. Dopo aver completato l'indagine, selezionare Disconnetti sessione e quindi selezionare Conferma.

Comandi di risposta dinamica

A seconda del ruolo concesso, è possibile eseguire comandi di risposta live di base o avanzati. Le autorizzazioni utente sono controllate dai ruoli personalizzati del controllo degli accessi in base al ruolo. Per altre informazioni sulle assegnazioni di ruolo, vedere Create e gestire i ruoli.

Nota

La risposta dinamica è una shell interattiva basata sul cloud, pertanto l'esperienza di comando specifica può variare nel tempo di risposta a seconda della qualità della rete e del carico di sistema tra l'utente finale e il dispositivo di destinazione.

Comandi di base

I comandi seguenti sono disponibili per i ruoli utente a cui viene concessa la possibilità di eseguire comandi di risposta live di base . Per altre informazioni sulle assegnazioni di ruolo, vedere Create e gestire i ruoli.

Comando	Descrizione	Windows e Windows Server	macOS	Linux
cd	Modifica la directory corrente.	Y	Y	Y
cls	Cancella la schermata della console.	Y	Y	Y
connect	Avvia una sessione di risposta dinamica al dispositivo.	Y	Y	Y
connections	Mostra tutte le connessioni attive.	Y	N	N
dir	Mostra un elenco di file e sottodirectory in una directory.	Y	Y	Y
drivers	Mostra tutti i driver installati nel dispositivo.	Y	N	N
fg <command ID>	Posizionare il processo specificato in primo piano, rendendolo il processo corrente. Si noti che fg accetta un oggetto command ID disponibile dai processi, non un PID.	Y	Y	Y
fileinfo	Ottenere informazioni su un file.	Y	Y	Y
findfile	Individua i file in base a un nome specificato nel dispositivo.	Y	Y	Y
getfile <file_path>	Scarica un file.	Y	Y	Y
help	Fornisce informazioni sulla Guida per i comandi di risposta dinamica.	Y	Y	Y
jobs	Mostra i processi attualmente in esecuzione, il relativo ID e lo stato.	Y	Y	Y
persistence	Mostra tutti i metodi di persistenza noti nel dispositivo.	Y	N	N
processes	Mostra tutti i processi in esecuzione nel dispositivo.	Y	Y	Y
registry	Mostra i valori del Registro di sistema.	Y	N	N
scheduledtasks	Mostra tutte le attività pianificate nel dispositivo.	Y	N	N
services	Mostra tutti i servizi nel dispositivo.	Y	N	N
startupfolders	Mostra tutti i file noti nelle cartelle di avvio nel dispositivo.	Y	N	N
status	Mostra lo stato e l'output di un comando specifico.	Y	Y	Y
trace	Imposta la modalità di registrazione del terminale per il debug.	Y	Y	Y

Comandi avanzati

I comandi seguenti sono disponibili per i ruoli utente a cui viene concessa la possibilità di eseguire comandi di risposta dinamica avanzati . Per altre informazioni sulle assegnazioni di ruolo, vedere Create e gestire i ruoli.

Comando	Descrizione	Windows e Windows Server	macOS	Linux
analyze	Analizza l'entità con vari motori di incriminazione per raggiungere un verdetto.	Y	N	N
collect	Raccoglie il pacchetto forense dal dispositivo.	N	Y	Y
isolate	Disconnette il dispositivo dalla rete mantenendo la connettività al servizio Defender per endpoint.	N	Y	N
release	Rilascia un dispositivo dall'isolamento di rete.	N	Y	N
run	Esegue uno script di PowerShell dalla libreria nel dispositivo.	Y	Y	Y
library	Elenchi file caricati nella libreria di risposte live.	Y	Y	Y
putfile	Inserisce un file dalla libreria al dispositivo. I file vengono salvati in una cartella di lavoro e vengono eliminati al riavvio del dispositivo per impostazione predefinita.	Y	Y	Y
remediate	Corregge un'entità nel dispositivo. L'azione di correzione varia a seconda del tipo di entità: - File: delete - Processo: arrestare, eliminare il file di immagine - Servizio: arrestare, eliminare il file di immagine - Voce del Registro di sistema: delete - Attività pianificata: rimozione - Elemento della cartella di avvio: eliminare il file Questo comando ha un comando prerequisito. È possibile usare il -auto comando insieme a remediate per eseguire automaticamente il comando prerequisite.	Y	Y	Y
scan	Esegue un'analisi antivirus rapida per identificare e correggere il malware.	N	Y	Y
undo	Ripristina un'entità che è stata correzione.	Y	N	N

Nota

Per il comando live response si applicano putfile i limiti di dimensioni del file seguenti:

• Windows: 300 MB
• Altre piattaforme: 10 MB

Usare i comandi di risposta dinamica

I comandi che è possibile usare nella console seguono principi simili a Quelli di Windows.

I comandi avanzati offrono un set più solido di azioni che consentono di eseguire azioni più efficaci, ad esempio scaricare e caricare un file, eseguire script nel dispositivo ed eseguire azioni di correzione in un'entità.

Ottenere un file dal dispositivo

Per gli scenari in cui si vuole ottenere un file da un dispositivo in corso di analisi, è possibile usare il getfile comando . In questo modo è possibile salvare il file dal dispositivo per ulteriori indagini.

Nota

Si applicano i limiti seguenti per le dimensioni dei file:

• getfile limite: 3 GB
• fileinfo limite: 30 GB
• library limite: 250 MB

Scaricare un file in background

Per consentire al team delle operazioni di sicurezza di continuare a analizzare un dispositivo interessato, è ora possibile scaricare i file in background.

• Per scaricare un file in background, nella console dei comandi live response digitare download <file_path> &.
• Se si attende il download di un file, è possibile spostarlo in background usando CTRL+Z.
• Per portare un download di file in primo piano, nella console dei comandi della risposta dinamica digitare fg <command_id>.

Ecco alcuni esempi:

Comando	Funzione
getfile "C:\windows\some_file.exe" &	Avvia il download di un file denominato some_file.exe in background.
fg 1234	Restituisce un download con ID comando 1234 in primo piano.

Inserire un file nella libreria

La risposta dinamica include una libreria in cui è possibile inserire i file. La libreria archivia i file ,ad esempio gli script, che possono essere eseguiti in una sessione di risposta dinamica a livello di tenant.

La risposta dinamica consente l'esecuzione di script di PowerShell, tuttavia è necessario prima inserire i file nella libreria prima di poterli eseguire.

È possibile avere una raccolta di script di PowerShell che possono essere eseguiti nei dispositivi con cui si avviano sessioni di risposta live.

Per caricare un file nella libreria

1. Fare clic su Carica file nella raccolta.

2. Fare clic su Sfoglia e selezionare il file.

3. Fornire una breve descrizione.

4. Specificare se si vuole sovrascrivere un file con lo stesso nome.

5. Se si vuole essere, sapere quali parametri sono necessari per lo script, selezionare la casella di controllo Parametri script. Nel campo di testo immettere un esempio e una descrizione.

6. Fare clic su Conferma.

7. (Facoltativo) Per verificare che il file sia stato caricato nella libreria, eseguire il library comando .

Annullare un comando

In qualsiasi momento durante una sessione, è possibile annullare un comando premendo CTRL +C.

Avviso

L'uso di questo collegamento non interromperà il comando sul lato agente. Il comando verrà annullato solo nel portale. Pertanto, le operazioni di modifica, ad esempio "correzione", possono continuare, mentre il comando viene annullato.

Eseguire uno script

Prima di poter eseguire uno script di PowerShell/Bash, è necessario caricarlo nella libreria.

Dopo aver caricato lo script nella libreria, usare il run comando per eseguire lo script.

Se si prevede di usare uno script di PowerShell non firmato nella sessione, è necessario abilitare l'impostazione nella pagina Impostazioni avanzate delle funzionalità .

Avviso

Consentire l'uso di script non firmati può aumentare l'esposizione alle minacce.

Applicare parametri di comando

• Per informazioni sui parametri dei comandi, vedere la Guida della console. Per informazioni su un singolo comando, eseguire:

  help <command name>
  

• Quando si applicano parametri ai comandi, si noti che i parametri vengono gestiti in base a un ordine fisso:

  <command name> param1 param2
  

• Quando si specificano parametri all'esterno dell'ordine fisso, specificare il nome del parametro con un trattino prima di specificare il valore:

  <command name> -param2_name param2
  

• Quando si usano comandi con comandi prerequisiti, è possibile usare i flag:

  <command name> -type file -id <file path> - auto
  

  o

  remediate file <file path> - auto`
  

Tipi di output supportati

La risposta dinamica supporta i tipi di output in formato tabella e JSON. Per ogni comando è presente un comportamento di output predefinito. È possibile modificare l'output nel formato di output preferito usando i comandi seguenti:

• -output json
• -output table

Nota

Un numero minore di campi viene visualizzato in formato tabella a causa dello spazio limitato. Per visualizzare altri dettagli nell'output, è possibile usare il comando di output JSON in modo che vengano visualizzati altri dettagli.

Pipe di output supportate

La risposta dinamica supporta il piping di output all'interfaccia della riga di comando e al file. L'interfaccia della riga di comando è il comportamento di output predefinito. È possibile inviare tramite pipe l'output a un file usando il comando seguente: [comando] > [nomefile].txt.

Esempio:

processes > output.txt

Visualizzare il log dei comandi

Selezionare la scheda Log dei comandi per visualizzare i comandi usati nel dispositivo durante una sessione. Ogni comando viene monitorato con dettagli completi, ad esempio:

• ID
• Riga di comando
• Durata
• Stato e barra laterale di input o output

Limitazioni

• Le sessioni di risposta live sono limitate a 25 sessioni di risposta live alla volta.
• Il valore di timeout inattivo della sessione di risposta dinamica è 30 minuti.
• I singoli comandi di risposta dinamica hanno un limite di tempo di 10 minuti, ad eccezione di getfile, findfilee run, che hanno un limite di 30 minuti.
• Un utente può avviare fino a 10 sessioni simultanee.
• Un dispositivo può trovarsi in una sola sessione alla volta.
• Si applicano i limiti seguenti per le dimensioni dei file:
  • getfile limite: 3 GB
  • fileinfo limite: 30 GB
  • library limite: 250 MB

Articolo correlato

• Esempi di comandi di Live response

Consiglio

Per saperne di più, Engage con la community Microsoft Security nella community tech: Microsoft Defender per endpoint Tech Community.