ライブ応答を使用してデバイス上のエンティティを調査する
- [アーティクル]
-
-
適用対象:
Defender for Endpoint を試す場合は、 無料試用版にサインアップしてください。
ライブ応答により、セキュリティ運用チームはリモート シェル接続を使用してデバイス (マシンとも呼ばれます) に瞬時にアクセスできます。 ライブ応答を使用すると、詳細な調査作業を行い、即座に対応アクションを実行して、特定された脅威をリアルタイムで迅速に封じ込める機能が提供されます。
ライブ応答は、セキュリティ運用チームがフォレンジック データの収集、スクリプトの実行、分析のための疑わしいエンティティの送信、脅威の修復、新たな脅威の予防的な捜索を行えるようにして、調査を強化するように設計されています。
ライブ 応答を使用すると、アナリストは次のすべてのタスクを実行できます。
- 基本的なコマンドと高度なコマンドを実行して、デバイスで調査作業を行います。
- マルウェア サンプルや PowerShell スクリプトの結果などのファイルをダウンロードします。
- バックグラウンドでファイルをダウンロードします (new!)。
- PowerShell スクリプトまたは実行可能ファイルをライブラリにアップロードし、テナント レベルからデバイスで実行します。
- 修復アクションを実行または元に戻します。
デバイスでセッションを開始する前に、次の要件を満たしていることを確認してください。
サポートされているバージョンの Windowsを実行していることを確認します。
デバイスは、次のいずれかのバージョンの Windows を実行している必要があります
Windows 10 & 11
macOS - 最小必須バージョン: 101.43.84。 Intel ベースおよび ARM ベースの macOS デバイスでサポートされます。
Linux - 最低限必要なバージョン: 101.45.13
Windows Server 2012 R2 - とKB5005292
Windows Server 2016 - とKB5005292
注意
Windows Server 2012R2 または 2016 の場合は、 統合エージェント がインストールされている必要があります。また、KB5005292で最新のセンサー バージョンにパッチを適用することをお勧めします。
Windows Server 2019
Windows Server 2022
[詳細設定] ページからライブ応答を有効にします。
[ 高度な機能の設定 ] ページでライブ応答機能を有効にする必要があります。
注意
ライブ応答を有効にできるのは、"ポータル設定の管理" アクセス許可を持つ管理者とユーザーのみです。
詳細設定ページ (推奨) からサーバーのライブ応答を有効にします。
注意
ライブ応答を有効にできるのは、"ポータル設定の管理" アクセス許可を持つ管理者とユーザーのみです。
ライブ応答の署名されていないスクリプト実行 を有効にします (省略可能)。
重要
署名の検証は、PowerShell スクリプトにのみ適用されます。
警告
署名されていないスクリプトの使用を許可すると、脅威にさらされる可能性があります。
署名されていないスクリプトの実行は、脅威にさらされる可能性があるため、推奨されません。 ただし、それらを使用する必要がある場合は、[ 高度な機能の設定 ] ページで設定を有効にする必要があります。
適切なアクセス許可があることを確認します。
セッションを開始できるのは、適切なアクセス許可を持つプロビジョニングされたユーザーのみです。 ロールの割り当ての詳細については、「 ロールの作成と管理」を参照してください。
重要
ライブラリにファイルをアップロードするオプションは、"セキュリティ設定の管理" アクセス許可を持つユーザーのみが使用できます。
委任されたアクセス許可のみを持つユーザーの場合、ボタンは灰色表示されます。
付与されているロールに応じて、基本的なライブ応答コマンドまたは高度なライブ応答コマンドを実行できます。 ユーザーのアクセス許可は RBAC カスタム ロールによって制御されます。
デバイスでライブ応答セッションを開始すると、ダッシュボードが開きます。 ダッシュボードには、次のようなセッションに関する情報が表示されます。
- セッションを作成したユーザー
- セッションが開始されたとき
- セッションの継続時間
ダッシュボードでは、次の項目にもアクセスできます。
- セッションを切断する
- ライブラリにファイルをアップロードする
- コマンドコンソール
- コマンド ログ
注意
[デバイス] ページから開始されたライブ応答アクションは、machineactions API では使用できません。
ポータルにサインインMicrosoft Defender。
[エンドポイント>] [デバイス インベントリ] に移動し、調査するデバイスを選択します。 [デバイス] ページが開きます。
[ライブ応答セッションの開始]を選択して、ライブ応答セッションを起動します。 コマンド コンソールが表示されます。 セッションがデバイスに接続するまで待ちます。
組み込みコマンドを使用して調査作業を行います。 詳細については、「ライブ応答コマンド」を参照してください。
調査が完了したら、[セッション切断] を選択し、[確認]を選択します。
付与されているロールに応じて、基本的なライブ応答コマンドまたは高度なライブ応答コマンドを実行できます。 ユーザーのアクセス許可は RBAC カスタム ロールによって制御されます。 ロールの割り当ての詳細については、「 ロールの作成と管理」を参照してください。
注意
ライブ応答はクラウドベースの対話型シェルです。そのため、エンド ユーザーとターゲット デバイス間のネットワーク品質とシステム負荷に応じて、特定のコマンド エクスペリエンスが応答時間で異なる場合があります。
次のコマンドは、基本的なライブ応答コマンド実行する権限が付与されているユーザー ロールで使用できます。 ロールの割り当ての詳細については、「 ロールの作成と管理」を参照してください。
コマンド |
説明 |
Windows および Windows Server |
macOS |
Linux |
cd |
現在のディレクトリを変更します。 |
Y |
Y |
Y |
cls |
コンソール画面をクリアします。 |
Y |
Y |
Y |
connect |
デバイスへのライブ応答セッションを開始します。 |
Y |
Y |
Y |
connections |
すべてのアクティブな接続を表示します。 |
Y |
N |
N |
dir |
ディレクトリ内のファイルとサブディレクトリの一覧を表示します。 |
Y |
Y |
Y |
drivers |
デバイスにインストールされているすべてのドライバーが表示されます。 |
Y |
N |
N |
fg <command ID> |
指定したジョブをフォアグラウンドに配置し、現在のジョブにします。 fg PID ではなく、ジョブから使用可能な を受け取りますcommand ID 。 |
Y |
Y |
Y |
fileinfo |
ファイルに関する情報を取得します。 |
Y |
Y |
Y |
findfile |
デバイス上の特定の名前でファイルを検索します。 |
Y |
Y |
Y |
getfile <file_path> |
ファイルをダウンロードします。 |
Y |
Y |
Y |
help |
ライブ応答コマンドのヘルプ情報を提供します。 |
Y |
Y |
Y |
jobs |
現在実行中のジョブ、その ID と状態を表示します。 |
Y |
Y |
Y |
persistence |
デバイス上のすべての既知の永続化メソッドを表示します。 |
Y |
N |
N |
processes |
デバイスで実行されているすべてのプロセスが表示されます。 |
Y |
Y |
Y |
registry |
レジストリ値を表示します。 |
Y |
N |
N |
scheduledtasks |
デバイス上のすべてのスケジュールされたタスクを表示します。 |
Y |
N |
N |
services |
デバイス上のすべてのサービスを表示します。 |
Y |
N |
N |
startupfolders |
デバイス上のスタートアップ フォルダー内のすべての既知のファイルを表示します。 |
Y |
N |
N |
status |
特定のコマンドの状態と出力を表示します。 |
Y |
Y |
Y |
trace |
ターミナルのログ モードをデバッグに設定します。 |
Y |
Y |
Y |
次のコマンドは、高度なライブ応答コマンド実行する権限が付与されているユーザー ロールで使用できます。 ロールの割り当ての詳細については、「 ロールの作成と管理」を参照してください。
コマンド |
説明 |
Windows および Windows Server |
macOS |
Linux |
analyze |
さまざまな解析エンジンを使用してエンティティを分析し、判定に達します。 |
Y |
N |
N |
collect |
デバイスからフォレンジック パッケージを収集します。 |
N |
Y |
Y |
isolate |
Defender for Endpoint サービスへの接続を維持しながら、デバイスをネットワークから切断します。 |
N |
Y |
N |
release |
ネットワーク分離からデバイスを解放します。 |
N |
Y |
N |
run |
デバイス上のライブラリから PowerShell スクリプトを実行します。 |
Y |
Y |
Y |
library |
ライブ応答ライブラリにアップロードされたファイルを一覧表示します。 |
Y |
Y |
Y |
putfile |
ライブラリからデバイスにファイルを書き込みます。 ファイルは作業フォルダーに保存され、デバイスが既定で再起動すると削除されます。 |
Y |
Y |
Y |
remediate |
デバイス上のエンティティを修復します。 修復アクションは、エンティティの種類によって異なります。 - ファイル: 削除 - プロセス: イメージ ファイルを停止、削除する - サービス: イメージ ファイルを停止、削除する - レジストリ エントリ: 削除 - スケジュールされたタスク: 削除 - スタートアップ フォルダー項目: ファイルを削除する
このコマンドには、前提条件のコマンドがあります。 コマンドを -auto 修復と組み合わせて使用すると、前提条件のコマンドを自動的に実行できます。 |
Y |
Y |
Y |
scan |
マルウェアの特定と修復に役立つクイック ウイルス対策スキャンを実行します。 |
N |
Y |
Y |
undo |
修復されたエンティティを復元します。 |
Y |
N |
N |
注意
ライブ応答コマンドには、次のファイル サイズ制限が putfile
適用されます。
- Windows: 300 MB
- その他のプラットフォーム: 10 MB
コンソールで使用できるコマンドは、Windows コマンドと同様原則に従います。
高度なコマンドは、ファイルのダウンロードとアップロード、デバイスでのスクリプトの実行、エンティティに対する修復アクションなど、より強力なアクションを実行できる、より堅牢な一連のアクションを提供します。
調査しているデバイスからファイルを取得するシナリオでは、 getfile
コマンドを使用できます。 これにより、詳細な調査のためにデバイスからファイルを保存できます。
注意
次のファイル サイズ制限が適用されます。
getfile
制限: 3 GB
fileinfo
制限: 30 GB
library
制限: 250 MB
セキュリティ運用チームが影響を受けるデバイスの調査を続行できるように、ファイルをバックグラウンドでダウンロードできるようになりました。
- バックグラウンドでファイルをダウンロードするには、ライブ応答コマンド コンソールで、「
download <file_path> &
」と 入力します。
- ファイルがダウンロードされるのを待っている場合は、Ctrl + Z キーを押してバックグラウンドに移動できます。
- ファイルのダウンロードをフォアグラウンドにするには、ライブ応答コマンド コンソールで、「
fg <command_id>
」と 入力します。
次に、いくつかの例を示します:
コマンド |
機能 |
getfile "C:\windows\some_file.exe" & |
some_file.exeという名前のファイルのバックグラウンドでのダウンロードを開始します。 |
fg 1234 |
コマンド ID 1234 のダウンロードをフォアグラウンドに返します。 |
|
|
ライブ応答には、ファイルを配置できるライブラリがあります。 ライブラリには、テナント レベルでライブ応答セッションで実行できるファイル (スクリプトなど) が格納されます。
ライブ応答を使用すると、PowerShell スクリプトを実行できますが、ファイルを実行する前に、まずライブラリにファイルを配置する必要があります。
ライブ応答セッションを開始するデバイスで実行できる PowerShell スクリプトのコレクションを用意できます。
[ ファイルをライブラリにアップロード] をクリックします。
[参照]をクリックし、ファイルを選択します。
簡単な説明を入力します。
同じ名前のファイルを上書きするかどうかを指定します。
スクリプトに必要なパラメーターを知りたい場合は、[スクリプト パラメーター] チェックボックスを選択します。 テキスト フィールドに、例と説明を入力します。
[確認 ]をクリックします。
(省略可能)ファイルがライブラリにアップロードされたことを確認するには、 library
コマンドを実行します。
セッション中はいつでも、Ctrl + C キーを押してコマンドを取り消すことができます。
警告
このショートカットを使用すると、エージェント側でコマンドが停止されることはありません。 ポータルでコマンドを取り消すだけです。 そのため、コマンドが取り消されている間は、"修復" などの操作の変更が続行される可能性があります。
PowerShell/Bash スクリプトを実行する前に、まずライブラリにアップロードする必要があります。
スクリプトをライブラリにアップロードしたら、 run
コマンドを使用してスクリプトを実行します。
セッションで署名されていない PowerShell スクリプトを使用する場合は、 [高度な機能の設定] ページで設定を有効にする必要があります。
警告
署名されていないスクリプトの使用を許可すると、脅威にさらされる可能性があります。
コマンド パラメーターの詳細については、コンソールのヘルプを参照してください。 個々のコマンドについて学習するには、次を実行します。
help <command name>
コマンドにパラメーターを適用する場合、パラメーターは固定された順序に基づいて処理されることに注意してください。
<command name> param1 param2
固定順序以外のパラメーターを指定する場合は、値を指定する前に、パラメーターの名前をハイフンで指定します。
<command name> -param2_name param2
前提条件となるコマンドを含むコマンドを使用する場合は、フラグを使用できます。
<command name> -type file -id <file path> - auto
または
remediate file <file path> - auto`
ライブ応答では、テーブルと JSON 形式の出力の種類がサポートされています。 コマンドごとに、既定の出力動作があります。 次のコマンドを使用して、好みの出力形式で出力を変更できます。
-output json
-output table
注意
スペースが限られているため、テーブル形式で表示されるフィールドが少なくなります。 出力の詳細を表示するには、JSON 出力コマンドを使用して詳細を表示できます。
ライブ応答では、CLI とファイルへの出力パイプ処理がサポートされています。 CLI は既定の出力動作です。 [command] > [filename].txt コマンドを使用して、出力をファイルにパイプできます。
例:
processes > output.txt
コマンド ログ タブを選択すると、セッション中にデバイスで使用されたコマンドが表示されます。 各コマンドは、次のような完全な詳細で追跡されます。
- ID
- コマンド ライン
- 期間
- 状態と入力または出力のサイド バー
- ライブ応答セッションは、一度に 25 個のライブ応答セッションに制限されます。
- ライブ応答セッションの非アクティブタイムアウト値は 30 分です。
- 個々のライブ応答コマンドの時間制限は 10 分ですが、制限は 30 分の 、
findfile
、 run
を除getfile
きます。
- ユーザーは、最大 10 個の同時セッションを開始できます。
- デバイスは一度に 1 つのセッションにのみ存在できます。
- 次のファイル サイズ制限が適用されます。
getfile
制限: 3 GB
fileinfo
制限: 30 GB
library
制限: 250 MB