Entiteiten op apparaten onderzoeken met behulp van liverespons
Van toepassing op:
Wilt u Defender voor Eindpunt ervaren? Meld u aan voor een gratis proefversie.
Live response geeft beveiligingsteams direct toegang tot een apparaat (ook wel een computer genoemd) met behulp van een externe shellverbinding. Live response biedt u de kracht om uitgebreid onderzoek uit te voeren en onmiddellijke reactieacties te ondernemen om geïdentificeerde bedreigingen in realtime te beperken.
Live response is ontworpen om onderzoeken te verbeteren door uw beveiligingsteam in staat te stellen forensische gegevens te verzamelen, scripts uit te voeren, verdachte entiteiten te verzenden voor analyse, bedreigingen te herstellen en proactief te zoeken naar nieuwe bedreigingen.
Met een live-reactie kunnen analisten alle volgende taken uitvoeren:
- Voer eenvoudige en geavanceerde opdrachten uit om onderzoekswerk uit te voeren op een apparaat.
- Download bestanden zoals malwarevoorbeelden en resultaten van PowerShell-scripts.
- Download bestanden op de achtergrond (nieuw!).
- Upload een PowerShell-script of uitvoerbaar bestand naar de bibliotheek en voer het uit op een apparaat vanaf tenantniveau.
- Herstelacties uitvoeren of ongedaan maken.
Voordat u een sessie op een apparaat kunt starten, moet u voldoen aan de volgende vereisten:
Controleer of u een ondersteunde versie van Windows gebruikt.
Op apparaten moet een van de volgende versies van Windows worden uitgevoerd
Windows 10 & 11
- Versie 1909 of hoger
- Versie 1903 met KB4515384
- Versie 1809 (RS 5) met KB4537818
- Versie 1803 (RS 4) met KB4537795
- Versie 1709 (RS 3) met KB4537816
macOS : minimaal vereiste versie: 101.43.84. Ondersteund voor Intel- en ARM-gebaseerde macOS-apparaten.
Linux - Minimaal vereiste versie: 101.45.13
Windows Server 2012 R2 - met KB5005292
Windows Server 2016 - met KB5005292
Notitie
Voor Windows Server 2012R2 of 2016 moet de Unified Agent zijn geïnstalleerd. Het wordt aanbevolen om te patchen naar de nieuwste sensorversie met KB5005292.
Windows Server 2019
Windows Server 2022
Schakel live-reactie in vanaf de pagina met geavanceerde instellingen.
U moet de mogelijkheid voor liverespons inschakelen op de pagina Met instellingen voor geavanceerde functies .
Notitie
Alleen beheerders en gebruikers met de machtigingen Portal-instellingen beheren kunnen live reageren inschakelen.
Schakel liverespons in voor servers vanaf de pagina met geavanceerde instellingen (aanbevolen).
Notitie
Alleen beheerders en gebruikers met de machtigingen Portal-instellingen beheren kunnen live reageren inschakelen.
Schakel de uitvoering van een niet-ondertekend live-antwoordscript in (optioneel).
Belangrijk
Handtekeningverificatie is alleen van toepassing op PowerShell-scripts.
Waarschuwing
Als u het gebruik van niet-ondertekende scripts toestaat, kan uw blootstelling aan bedreigingen toenemen.
Het uitvoeren van niet-ondertekende scripts wordt niet aanbevolen, omdat dit uw blootstelling aan bedreigingen kan vergroten. Als u ze echter moet gebruiken, moet u de instelling inschakelen op de pagina Instellingen voor geavanceerde functies .
Zorg ervoor dat u over de juiste machtigingen beschikt.
Alleen gebruikers die zijn ingericht met de juiste machtigingen kunnen een sessie starten. Zie rollen Creatie en beheren voor meer informatie over roltoewijzingen.
Belangrijk
De optie voor het uploaden van een bestand naar de bibliotheek is alleen beschikbaar voor gebruikers met de machtiging Beveiligingsinstellingen beheren. De knop wordt grijs weergegeven voor gebruikers met alleen gedelegeerde machtigingen.
Afhankelijk van de rol die aan u is verleend, kunt u eenvoudige of geavanceerde liveresponsopdrachten uitvoeren. Gebruikersmachtigingen worden beheerd door de aangepaste RBAC-rol.
Wanneer u een live-antwoordsessie op een apparaat start, wordt er een dashboard geopend. Het dashboard bevat informatie over de sessie, zoals het volgende:
- Wie heeft de sessie gemaakt
- Wanneer de sessie is gestart
- De duur van de sessie
Het dashboard geeft u ook toegang tot:
- Sessie verbreken
- Bestanden uploaden naar de bibliotheek
- Opdrachtconsole
- Opdrachtlogboek
Notitie
Live-responsacties die zijn geïnitieerd vanaf de pagina Apparaat, zijn niet beschikbaar in de machineactions-API.
Meld u aan bij Microsoft Defender portal.
Navigeer naar Eindpunten > Apparaatinventaris en selecteer een apparaat dat u wilt onderzoeken. De pagina apparaten wordt geopend.
Start de live-antwoordsessie door Live-antwoordsessie starten te selecteren. Er wordt een opdrachtconsole weergegeven. Wacht totdat de sessie verbinding maakt met het apparaat.
Gebruik de ingebouwde opdrachten om onderzoekswerk uit te voeren. Zie Opdrachten voor live-antwoorden voor meer informatie.
Nadat u het onderzoek hebt voltooid, selecteert u Sessie verbreken en selecteert u vervolgens Bevestigen.
Afhankelijk van de rol die aan u is verleend, kunt u eenvoudige of geavanceerde liveresponsopdrachten uitvoeren. Gebruikersmachtigingen worden beheerd door aangepaste RBAC-rollen. Zie rollen Creatie en beheren voor meer informatie over roltoewijzingen.
Notitie
Live-respons is een interactieve shell in de cloud. Als zodanig kan de specifieke opdrachtervaring variëren in reactietijd, afhankelijk van de netwerkkwaliteit en de systeembelasting tussen de eindgebruiker en het doelapparaat.
De volgende opdrachten zijn beschikbaar voor gebruikersrollen die de mogelijkheid hebben om eenvoudige live antwoordopdrachten uit te voeren. Zie rollen Creatie en beheren voor meer informatie over roltoewijzingen.
Opdracht | Omschrijving | Windows en Windows Server | macOS | Linux |
---|---|---|---|---|
cd |
Hiermee wijzigt u de huidige map. | J | J | J |
cls |
Hiermee wist u het consolescherm. | J | J | J |
connect |
Start een live-antwoordsessie op het apparaat. | J | J | J |
connections |
Toont alle actieve verbindingen. | J | N | N |
dir |
Toont een lijst met bestanden en submappen in een map. | J | J | J |
drivers |
Toont alle stuurprogramma's die op het apparaat zijn geïnstalleerd. | J | N | N |
fg <command ID> |
Plaats de opgegeven taak op de voorgrond, zodat deze de huidige taak is. Houd er rekening mee dat fg er een command ID beschikbaar is uit taken, niet een PID. |
J | J | J |
fileinfo |
Informatie over een bestand ophalen. | J | J | J |
findfile |
Hiermee worden bestanden op een bepaalde naam op het apparaat gevonden. | J | J | J |
getfile <file_path> |
Downloadt een bestand. | J | J | J |
help |
Bevat help-informatie voor live-antwoordopdrachten. | J | J | J |
jobs |
Toont momenteel actieve taken, hun id en status. | J | J | J |
persistence |
Toont alle bekende persistentiemethoden op het apparaat. | J | N | N |
processes |
Toont alle processen die op het apparaat worden uitgevoerd. | J | J | J |
registry |
Geeft registerwaarden weer. | J | N | N |
scheduledtasks |
Toont alle geplande taken op het apparaat. | J | N | N |
services |
Toont alle services op het apparaat. | J | N | N |
startupfolders |
Toont alle bekende bestanden in opstartmappen op het apparaat. | J | N | N |
status |
Geeft de status en uitvoer van een specifieke opdracht weer. | J | J | J |
trace |
Hiermee stelt u de logboekmodus van de terminal in op foutopsporing. | J | J | J |
De volgende opdrachten zijn beschikbaar voor gebruikersrollen die de mogelijkheid hebben om geavanceerde live antwoordopdrachten uit te voeren. Zie rollen Creatie en beheren voor meer informatie over roltoewijzingen.
Opdracht | Omschrijving | Windows en Windows Server | macOS | Linux |
---|---|---|---|---|
analyze |
Analyseert de entiteit met verschillende incriminatie-engines om tot een oordeel te komen. | J | N | N |
collect |
Verzamelt forensisch pakket van apparaat. | N | J | J |
isolate |
Hiermee wordt het apparaat losgekoppeld van het netwerk terwijl de verbinding met de Defender for Endpoint-service behouden blijft. | N | J | N |
release |
Maakt een apparaat vrij van netwerkisolatie. | N | J | N |
run |
Hiermee wordt een PowerShell-script uitgevoerd vanuit de bibliotheek op het apparaat. | J | J | J |
library |
Lijsten bestanden die zijn geüpload naar de live-antwoordbibliotheek. | J | J | J |
putfile |
Hiermee plaatst u een bestand uit de bibliotheek op het apparaat. Bestanden worden opgeslagen in een werkmap en worden standaard verwijderd wanneer het apparaat opnieuw wordt opgestart. | J | J | J |
remediate |
Herstelt een entiteit op het apparaat. De herstelactie varieert, afhankelijk van het entiteitstype: - Bestand: verwijderen - Proces: stoppen, afbeeldingsbestand verwijderen - Service: stoppen, afbeeldingsbestand verwijderen - Registervermelding: verwijderen - Geplande taak: verwijderen - Opstartmapitem: bestand verwijderen Deze opdracht heeft een vereiste opdracht. U kunt de -auto opdracht in combinatie met herstellen gebruiken om de vereiste opdracht automatisch uit te voeren. |
J | J | J |
scan |
Voert een snelle antivirusscan uit om malware te identificeren en te herstellen. | N | J | J |
undo |
Hiermee wordt een entiteit hersteld die is hersteld. | J | N | N |
Notitie
De volgende bestandsgroottelimieten zijn van toepassing op de opdracht voor putfile
live-antwoorden:
- Windows: 300 MB
- Andere platforms: 10 MB
De opdrachten die u in de console kunt gebruiken, volgen vergelijkbare principes als Windows-opdrachten.
De geavanceerde opdrachten bieden een krachtigere set acties waarmee u krachtigere acties kunt uitvoeren, zoals het downloaden en uploaden van een bestand, het uitvoeren van scripts op het apparaat en het uitvoeren van herstelacties op een entiteit.
Voor scenario's waarin u een bestand wilt ophalen van een apparaat dat u onderzoekt, kunt u de getfile
opdracht gebruiken. Hiermee kunt u het bestand vanaf het apparaat opslaan voor verder onderzoek.
Notitie
De volgende bestandsgroottelimieten zijn van toepassing:
getfile
limiet: 3 GBfileinfo
limiet: 30 GBlibrary
limiet: 250 MB
Om ervoor te zorgen dat uw beveiligingsteam een getroffen apparaat kan blijven onderzoeken, kunnen bestanden nu op de achtergrond worden gedownload.
- Als u een bestand op de achtergrond wilt downloaden, typt
download <file_path> &
u in de opdrachtconsole voor live-antwoorden. - Als u wacht op het downloaden van een bestand, kunt u het naar de achtergrond verplaatsen met behulp van Ctrl + Z.
- Als u een bestand wilt downloaden naar de voorgrond, typt
fg <command_id>
u in de opdrachtconsole voor live antwoorden.
Dit zijn enkele voorbeelden:
Opdracht | Wat het doet |
---|---|
getfile "C:\windows\some_file.exe" & |
Start het downloaden van een bestand met de naamsome_file.exeop de achtergrond. |
fg 1234 |
Retourneert een download met opdracht-id 1234 op de voorgrond. |
Live response heeft een bibliotheek waarin u bestanden kunt plaatsen. De bibliotheek slaat bestanden op (zoals scripts) die kunnen worden uitgevoerd in een live-antwoordsessie op tenantniveau.
Met liverespons kunnen PowerShell-scripts worden uitgevoerd, maar u moet de bestanden eerst in de bibliotheek plaatsen voordat u ze kunt uitvoeren.
U kunt een verzameling PowerShell-scripts hebben die kunnen worden uitgevoerd op apparaten waarmee u live-antwoordsessies start.
Klik op Bestand uploaden naar bibliotheek.
Klik op Bladeren en selecteer het bestand.
Geef een korte beschrijving op.
Geef op of u een bestand met dezelfde naam wilt overschrijven.
Als u wilt weten welke parameters nodig zijn voor het script, schakelt u het selectievakje scriptparameters in. Voer in het tekstveld een voorbeeld en een beschrijving in.
Klik op Bevestigen.
(Optioneel) Voer de opdracht uit om te controleren of het bestand is geüpload naar de
library
bibliotheek.
Tijdens een sessie kunt u een opdracht annuleren door op Ctrl+C te drukken.
Waarschuwing
Als u deze snelkoppeling gebruikt, wordt de opdracht aan de agentzijde niet gestopt. Alleen de opdracht in de portal wordt geannuleerd. Het wijzigen van bewerkingen zoals 'herstellen' kan dus doorgaan, terwijl de opdracht wordt geannuleerd.
Voordat u een PowerShell-/Bash-script kunt uitvoeren, moet u het eerst uploaden naar de bibliotheek.
Nadat u het script hebt geüpload naar de bibliotheek, gebruikt u de run
opdracht om het script uit te voeren.
Als u van plan bent een niet-ondertekend PowerShell-script in de sessie te gebruiken, moet u de instelling inschakelen op de pagina Instellingen voor geavanceerde functies .
Waarschuwing
Als u het gebruik van niet-ondertekende scripts toestaat, kan uw blootstelling aan bedreigingen toenemen.
Bekijk de Help van de console voor meer informatie over opdrachtparameters. Voer het volgende uit voor meer informatie over een afzonderlijke opdracht:
help <command name>
Wanneer u parameters toepast op opdrachten, moet u er rekening mee houden dat parameters worden verwerkt op basis van een vaste volgorde:
<command name> param1 param2
Wanneer u parameters buiten de vaste volgorde opgeeft, geeft u de naam van de parameter op met een afbreekstreepje voordat u de waarde opgeeft:
<command name> -param2_name param2
Wanneer u opdrachten met vereiste opdrachten gebruikt, kunt u vlaggen gebruiken:
<command name> -type file -id <file path> - auto
of
remediate file <file path> - auto`
Live response ondersteunt uitvoertypen in tabel- en JSON-indeling. Voor elke opdracht is er een standaard uitvoergedrag. U kunt de uitvoer in de gewenste uitvoerindeling wijzigen met behulp van de volgende opdrachten:
-output json
-output table
Notitie
Er worden minder velden weergegeven in tabelindeling vanwege de beperkte ruimte. Als u meer details in de uitvoer wilt zien, kunt u de JSON-uitvoeropdracht gebruiken, zodat meer details worden weergegeven.
Live-antwoord ondersteunt uitvoerpijpen naar CLI en bestand. CLI is het standaarduitvoergedrag. U kunt de uitvoer doorsluisen naar een bestand met behulp van de volgende opdracht: [opdracht] > [bestandsnaam].txt.
Voorbeeld:
processes > output.txt
Selecteer het tabblad Opdrachtlogboek om de opdrachten te zien die tijdens een sessie op het apparaat worden gebruikt. Elke opdracht wordt bijgehouden met volledige details, zoals:
- ID
- Opdrachtregel
- Duur
- Status- en invoer- of uitvoerbalk
- Live-antwoordsessies zijn beperkt tot 25 live-antwoordsessies tegelijk.
- Time-outwaarde voor inactieve liveresponssessie is 30 minuten.
- Afzonderlijke live-antwoordopdrachten hebben een tijdslimiet van 10 minuten, met uitzondering van
getfile
,findfile
enrun
, die een limiet van 30 minuten hebben. - Een gebruiker kan maximaal 10 gelijktijdige sessies initiëren.
- Een apparaat kan slechts in één sessie tegelijk zijn.
- De volgende bestandsgroottelimieten zijn van toepassing:
getfile
limiet: 3 GBfileinfo
limiet: 30 GBlibrary
limiet: 250 MB
Tip
Wil je meer weten? Engage met de Microsoft Security-community in onze Tech Community: Microsoft Defender voor Eindpunt Tech Community.