Direkte respons gir sikkerhetsoperasjonsteam øyeblikkelig tilgang til en enhet (også referert til som en maskin) ved hjelp av en ekstern skalltilkobling. Direkte respons gir deg muligheten til å gjøre dyptgående undersøkende arbeid og iverksette umiddelbare responshandlinger for å raskt inneholde identifiserte trusler i sanntid.
Direkte respons er utformet for å forbedre undersøkelser ved å gjøre det mulig for sikkerhetsoperasjonsteamet å samle inn rettsmedisinske data, kjøre skript, sende mistenkelige enheter for analyse, utbedre trusler og proaktivt jakte på nye trusler.
Med direkte respons kan analytikere gjøre alle følgende oppgaver:
Kjør grunnleggende og avanserte kommandoer for å utføre undersøkende arbeid på en enhet.
Last ned filer som eksempler på skadelig programvare og resultater av PowerShell-skript.
Last ned filer i bakgrunnen (ny!).
Last opp et PowerShell-skript eller en kjørbar fil til biblioteket, og kjør det på en enhet fra et leiernivå.
Utføre eller angre utbedringshandlinger.
Før du starter
Før du kan starte en økt på en enhet, må du sørge for at du oppfyller følgende krav:
Kontroller at du kjører en støttet versjon av Windows.
Enheter må kjøre én av følgende versjoner av Windows
Bare administratorer og brukere som har tillatelsen Behandle portalinnstillinger, kan aktivere direkte respons.
Aktiver direkte svar for servere fra siden avanserte innstillinger (anbefales).
Obs!
Bare administratorer og brukere som har tillatelsen Behandle portalinnstillinger, kan aktivere direkte respons.
Aktiver kjøring av usignert skript for live-svar (valgfritt).
Viktig
Signaturbekreftelse gjelder bare for PowerShell-skript.
Advarsel
Hvis du tillater bruk av usignerte skript, kan det øke eksponeringen for trusler.
Det anbefales ikke å kjøre usignerte skript fordi det kan øke eksponeringen for trusler. Hvis du imidlertid må bruke dem, må du aktivere innstillingen på siden Innstillinger for avanserte funksjoner .
Kontroller at du har de nødvendige tillatelsene.
Bare brukere som er klargjort med de riktige tillatelsene, kan starte en økt. Hvis du vil ha mer informasjon om rolletildelinger, kan du se Opprett og administrere roller.
Viktig
Alternativet for å laste opp en fil til biblioteket er bare tilgjengelig for brukere med tillatelsen Administrere sikkerhetsinnstillinger.
Knappen er nedtonet for brukere med bare delegerte tillatelser.
Avhengig av hvilken rolle du har fått, kan du kjøre grunnleggende eller avanserte kommandoer for direkte respons. Brukertillatelser kontrolleres av den egendefinerte RBAC-rollen.
Oversikt over instrumentbord for direkte respons
Når du starter en økt med direkte respons på en enhet, åpnes et instrumentbord. Instrumentbordet gir informasjon om økten, for eksempel følgende:
Hvem som opprettet økten
Da økten startet
Varigheten av økten
Instrumentbordet gir deg også tilgang til:
Koble fra økt
Laste opp filer til biblioteket
Kommandokonsoll
Kommandologg
Starte en økt for direkte respons på en enhet
Obs!
Handlinger for direkte respons som er startet fra enhetssiden, er ikke tilgjengelige i machineactions-API-en.
Logg på Microsoft Defender portalen.
Naviger til enhetsbeholdningen > for endepunkter, og velg en enhet du vil undersøke. Enhetssiden åpnes.
Start økten for direkte respons ved å velge Start økt for direkte respons. En kommandokonsoll vises. Vent mens økten kobles til enheten.
Bruk de innebygde kommandoene til å utføre undersøkende arbeid. Hvis du vil ha mer informasjon, kan du se Kommandoer for direkte svar.
Når du har fullført undersøkelsen, velger du Koble fra økt og deretter Bekreft.
Live response-kommandoer
Avhengig av hvilken rolle du har fått, kan du kjøre grunnleggende eller avanserte kommandoer for direkte respons. Brukertillatelser kontrolleres av egendefinerte RBAC-roller. Hvis du vil ha mer informasjon om rolletildelinger, kan du se Opprett og administrere roller.
Obs!
Direkte svar er et skybasert interaktivt skall, som sådan kan spesifikk kommandoopplevelse variere i responstid avhengig av nettverkskvalitet og systembelastning mellom sluttbrukeren og målenheten.
Grunnleggende kommandoer
Følgende kommandoer er tilgjengelige for brukerroller som får muligheten til å kjøre grunnleggende live-svarkommandoer. Hvis du vil ha mer informasjon om rolletildelinger, kan du se Opprett og administrere roller.
Kommando
Beskrivelse
Windows og Windows Server
Macos
Linux
cd
Endrer gjeldende katalog.
Y
Y
Y
cls
Fjerner konsollskjermen.
Y
Y
Y
connect
Starter en økt med direkte respons på enheten.
Y
Y
Y
connections
Viser alle aktive tilkoblinger.
Y
N
N
dir
Viser en liste over filer og underkataloger i en katalog.
Y
Y
Y
drivers
Viser alle driverne som er installert på enheten.
Y
N
N
fg <command ID>
Plasser den angitte jobben i forgrunnen, noe som gjør den til gjeldende jobb. Vær oppmerksom på at fg tar en command ID tilgjengelig fra jobber, ikke en PID.
Y
Y
Y
fileinfo
Få informasjon om en fil.
Y
Y
Y
findfile
Finner filer med et gitt navn på enheten.
Y
Y
Y
getfile <file_path>
Laster ned en fil.
Y
Y
Y
help
Gir hjelpeinformasjon for live svar-kommandoer.
Y
Y
Y
jobs
Viser jobber som kjører for øyeblikket, ID-en og statusen deres.
Y
Y
Y
persistence
Viser alle kjente vedvarende metoder på enheten.
Y
N
N
processes
Viser alle prosesser som kjører på enheten.
Y
Y
Y
registry
Viser registerverdier.
Y
N
N
scheduledtasks
Viser alle planlagte oppgaver på enheten.
Y
N
N
services
Viser alle tjenester på enheten.
Y
N
N
startupfolders
Viser alle kjente filer i oppstartsmapper på enheten.
Y
N
N
status
Viser status og utdata for en bestemt kommando.
Y
Y
Y
trace
Angir loggingsmodusen for terminalen til feilsøking.
Y
Y
Y
Avanserte kommandoer
Følgende kommandoer er tilgjengelige for brukerroller som er gitt mulighet til å kjøre avanserte live-svarkommandoer. Hvis du vil ha mer informasjon om rolletildelinger, kan du se Opprett og administrere roller.
Kommando
Beskrivelse
Windows og Windows Server
Macos
Linux
analyze
Analyserer enheten med ulike inkrimineringsmotorer for å nå en dom.
Y
N
N
collect
Samler inn rettsmedisinsk pakke fra enheten.
N
Y
Y
isolate
Kobler enheten fra nettverket samtidig som tilkoblingen til Defender for Endpoint-tjenesten beholdes.
N
Y
N
release
Frigir en enhet fra isolering av nettverk.
N
Y
N
run
Kjører et PowerShell-skript fra biblioteket på enheten.
Y
Y
Y
library
Lister filer som ble lastet opp til biblioteket for direkte respons.
Y
Y
Y
putfile
Plasserer en fil fra biblioteket på enheten. Filer lagres i en arbeidsmappe og slettes når enheten startes på nytt som standard.
Y
Y
Y
remediate
Remediates an entity on the device. Utbedringshandlingen varierer avhengig av enhetstypen: - Fil: slett - Prosess: stopp, slett bildefil - Tjeneste: stopp, slett bildefil - Registeroppføring: slett - Planlagt aktivitet: fjern - Oppstartsmappeelement: slette fil
Denne kommandoen har en forutsetningskommando. Du kan bruke -auto kommandoen i forbindelse med utbedring for automatisk å kjøre forutsetningskommandoen.
Y
Y
Y
scan
Kjører en rask antivirusskanning for å identifisere og utbedre skadelig programvare.
N
Y
Y
undo
Gjenoppretter en enhet som ble utbedret.
Y
N
N
Obs!
Følgende begrensninger for filstørrelse gjelder for putfile live svar-kommando:
Windows: 300 MB
Andre plattformer: 10 MB
Bruke live-svarkommandoer
Kommandoene du kan bruke i konsollen, følger lignende prinsipper som Windows-kommandoer.
De avanserte kommandoene tilbyr et mer robust sett med handlinger som lar deg utføre kraftigere handlinger, for eksempel laste ned og laste opp en fil, kjøre skript på enheten og utføre utbedringshandlinger på en enhet.
Få en fil fra enheten
For scenarioer der du ønsker å få en fil fra en enhet du undersøker, kan du bruke getfile kommandoen. Dette gjør at du kan lagre filen fra enheten for videre undersøkelser.
Obs!
Følgende begrensninger for filstørrelse gjelder:
getfile grense: 3 GB
fileinfo grense: 30 GB
library grense: 250 MB
Laste ned en fil i bakgrunnen
Hvis du vil at sikkerhetsoperasjonsteamet skal kunne fortsette å undersøke en påvirket enhet, kan filer nå lastes ned i bakgrunnen.
Hvis du vil laste ned en fil i bakgrunnen, skriver du inn download <file_path> &i kommandokonsollen for direkte respons.
Hvis du venter på at en fil skal lastes ned, kan du flytte den til bakgrunnen ved hjelp av CTRL+Z.
Hvis du vil laste ned en fil til forgrunnen, skriver du inn fg <command_id>i kommandokonsollen for direkte respons.
Her er noen eksempler:
Kommando
Hva den gjør
getfile "C:\windows\some_file.exe" &
Begynner å laste ned en fil med navnet some_file.exe i bakgrunnen.
fg 1234
Returnerer en nedlasting med kommando-ID 1234 til forgrunnen.
Plassere en fil i biblioteket
Direkte svar har et bibliotek der du kan plassere filer i. Biblioteket lagrer filer (for eksempel skript) som kan kjøres i en økt for direkte respons på leiernivå.
Med direkte svar kan PowerShell-skript kjøres, men du må først plassere filene i biblioteket før du kan kjøre dem.
Du kan ha en samling powershell-skript som kan kjøres på enheter som du starter direkte responsøkter med.
Slik laster du opp en fil i biblioteket
Klikk Last opp fil til bibliotek.
Klikk Bla gjennom , og velg filen.
Gi en kort beskrivelse.
Angi om du vil overskrive en fil med samme navn.
Hvis du vil være det, vet du hvilke parametere som kreves for skriptet, merk av for skriptparametere. Skriv inn et eksempel og en beskrivelse i tekstfeltet.
Klikk Bekreft.
(Valgfritt) Kjør kommandoen for å bekrefte at filen ble lastet opp til biblioteket library .
Avbryte en kommando
Når som helst under en økt, kan du avbryte en kommando ved å trykke CTRL +C.
Advarsel
Hvis du bruker denne snarveien, stopper ikke kommandoen på agentsiden. Det vil bare avbryte kommandoen i portalen. Endring av operasjoner som «utbedring» kan derfor fortsette, mens kommandoen avbrytes.
Kjøre et skript
Før du kan kjøre et PowerShell/Bash-skript, må du først laste det opp til biblioteket.
Når du har lastet opp skriptet til biblioteket, bruker run du kommandoen til å kjøre skriptet.
Hvis du tillater bruk av usignerte skript, kan det øke eksponeringen for trusler.
Bruke kommandoparametere
Vis hjelpen for konsollen for å lære om kommandoparametere. Hvis du vil lære om en individuell kommando, kjører du:
help <command name>
Når du bruker parametere på kommandoer, må du være oppmerksom på at parametere håndteres basert på en fast rekkefølge:
<command name> param1 param2
Når du angir parametere utenfor den faste rekkefølgen, angir du navnet på parameteren med en bindestreking før verdien angis:
<command name> -param2_name param2
Når du bruker kommandoer som har forutsetningskommandoer, kan du bruke flagg:
<command name> -type file -id <file path> - auto
eller
remediate file <file path> - auto`
Utdatatyper som støttes
Direkte svar støtter utdatatyper for tabell- og JSON-format. For hver kommando finnes det en standard virkemåte for utdata. Du kan endre utdataene i det foretrukne utdataformatet ved hjelp av følgende kommandoer:
-output json
-output table
Obs!
Færre felt vises i tabellformat på grunn av begrenset plass. Hvis du vil se flere detaljer i utdataene, kan du bruke utdatakommandoen for JSON slik at flere detaljer vises.
Støttede utdatakanaler
Direkte svar støtter utdatarør til CLI og fil. CLI er standard virkemåte for utdata. Du kan koble utdataene til en fil ved hjelp av følgende kommando: [kommando] > [filnavn].txt.
Eksempel:
processes > output.txt
Vise kommandologgen
Velg kommandologgfanen for å se kommandoene som brukes på enheten under en økt. Hver kommando spores med alle detaljer, for eksempel:
ID
Kommandolinjen
Varighet
Sidestolpe for status og inndata eller utdata
Begrensninger
Økter med direkte respons er begrenset til 25 økter med direkte respons om gangen.
Verdi for inaktiv tidsavbrudd for live-svarøkt er 30 minutter.
Individuelle live-svarkommandoer har en tidsbegrensning på 10 minutter, med unntak av getfile, findfileog run, som har en grense på 30 minutter.