Entiteiten op apparaten onderzoeken met behulp van liverespons

Van toepassing op:

Wilt u Defender voor Eindpunt ervaren? Meld u aan voor een gratis proefversie.

Live response geeft beveiligingsteams direct toegang tot een apparaat (ook wel een computer genoemd) met behulp van een externe shellverbinding. Dit geeft u de bevoegdheid om uitgebreid onderzoek uit te voeren en onmiddellijk actie te ondernemen om geïdentificeerde bedreigingen in realtime te beperken.

Live response is ontworpen om onderzoeken te verbeteren door uw beveiligingsteam in staat te stellen forensische gegevens te verzamelen, scripts uit te voeren, verdachte entiteiten te verzenden voor analyse, bedreigingen te herstellen en proactief te zoeken naar nieuwe bedreigingen.

Met een live-reactie kunnen analisten alle volgende taken uitvoeren:

  • Voer eenvoudige en geavanceerde opdrachten uit om onderzoekswerk uit te voeren op een apparaat.
  • Download bestanden zoals malwarevoorbeelden en resultaten van PowerShell-scripts.
  • Download bestanden op de achtergrond (nieuw!).
  • Upload een PowerShell-script of uitvoerbaar bestand naar de bibliotheek en voer het uit op een apparaat vanaf tenantniveau.
  • Herstelacties uitvoeren of ongedaan maken.

Voordat u begint

Voordat u een sessie op een apparaat kunt starten, moet u voldoen aan de volgende vereisten:

  • Controleer of u een ondersteunde versie van Windows gebruikt.

    Op apparaten moet een van de volgende versies van Windows worden uitgevoerd

  • Schakel live-reactie in vanaf de pagina met geavanceerde instellingen.

    U moet de mogelijkheid voor live antwoorden inschakelen op de pagina Instellingen voor geavanceerde functies .

    Opmerking

    Alleen beheerders en gebruikers met de machtigingen Portal-instellingen beheren kunnen live reageren inschakelen.

  • Schakel liverespons in voor servers vanaf de pagina met geavanceerde instellingen (aanbevolen).

    Opmerking

    Alleen beheerders en gebruikers met de machtigingen Portal-instellingen beheren kunnen live reageren inschakelen.

  • Schakel de uitvoering van een niet-ondertekend live-antwoordscript in (optioneel).

    Belangrijk

    Handtekeningverificatie is alleen van toepassing op PowerShell-scripts.

    Waarschuwing

    Als u het gebruik van niet-ondertekende scripts toestaat, kan uw blootstelling aan bedreigingen toenemen.

    Het uitvoeren van niet-ondertekende scripts wordt niet aanbevolen, omdat dit uw blootstelling aan bedreigingen kan vergroten. Als u ze echter wel moet gebruiken, moet u de instelling inschakelen op de pagina Instellingen voor geavanceerde functies .

  • Zorg ervoor dat u over de juiste machtigingen beschikt.

    Alleen gebruikers die zijn ingericht met de juiste machtigingen kunnen een sessie starten. Zie Rollen maken en beheren voor meer informatie over roltoewijzingen.

    Belangrijk

    De optie voor het uploaden van een bestand naar de bibliotheek is alleen beschikbaar voor gebruikers met de machtiging Beveiligingsinstellingen beheren. De knop wordt grijs weergegeven voor gebruikers met alleen gedelegeerde machtigingen.

    Afhankelijk van de rol die aan u is verleend, kunt u eenvoudige of geavanceerde liveresponsopdrachten uitvoeren. Gebruikersmachtigingen worden beheerd door de aangepaste RBAC-rol.

Dashboardoverzicht voor live-antwoorden

Wanneer u een live-antwoordsessie op een apparaat start, wordt er een dashboard geopend. Het dashboard bevat informatie over de sessie, zoals het volgende:

  • Wie heeft de sessie gemaakt
  • Wanneer de sessie is gestart
  • De duur van de sessie

Het dashboard geeft u ook toegang tot:

  • Sessie verbreken
  • Bestanden uploaden naar de bibliotheek
  • Opdrachtconsole
  • Opdrachtlogboek

Een live-antwoordsessie starten op een apparaat

Opmerking

Live-responsacties die zijn geïnitieerd vanaf de pagina Apparaat, zijn niet beschikbaar in de machineactions-API.

  1. Meld u aan bij Microsoft Defender portal.

  2. Navigeer naar Eindpunten > Apparaatinventaris en selecteer een apparaat dat u wilt onderzoeken. De pagina apparaten wordt geopend.

  3. Start de live-antwoordsessie door Live-antwoordsessie starten te selecteren. Er wordt een opdrachtconsole weergegeven. Wacht totdat de sessie verbinding maakt met het apparaat.

  4. Gebruik de ingebouwde opdrachten om onderzoekswerk uit te voeren. Zie Opdrachten voor live-antwoorden voor meer informatie.

  5. Nadat u het onderzoek hebt voltooid, selecteert u Sessie verbreken en selecteert u vervolgens Bevestigen.

Opdrachten voor live-antwoorden

Afhankelijk van de rol die aan u is verleend, kunt u eenvoudige of geavanceerde liveresponsopdrachten uitvoeren. Gebruikersmachtigingen worden beheerd door aangepaste RBAC-rollen. Zie Rollen maken en beheren voor meer informatie over roltoewijzingen.

Opmerking

Live-respons is een interactieve shell in de cloud. Als zodanig kan de specifieke opdrachtervaring variëren in reactietijd, afhankelijk van de netwerkkwaliteit en de systeembelasting tussen de eindgebruiker en het doelapparaat.

Basisopdrachten

De volgende opdrachten zijn beschikbaar voor gebruikersrollen die de mogelijkheid hebben om eenvoudige live antwoordopdrachten uit te voeren. Zie Rollen maken en beheren voor meer informatie over roltoewijzingen.

Opdracht Beschrijving Windows en Windows Server macOS Linux
Cd Hiermee wijzigt u de huidige map. J J J
Cls Hiermee wist u het consolescherm. J J J
Verbinding Start een live-antwoordsessie op het apparaat. J J J
Verbindingen Toont alle actieve verbindingen. J N N
Dir Toont een lijst met bestanden en submappen in een map. J J J
Stuurprogramma 's Toont alle stuurprogramma's die op het apparaat zijn geïnstalleerd. J N N
Fg <command ID> Plaats de opgegeven taak op de voorgrond, zodat deze de huidige taak is. OPMERKING: fg gebruikt een 'opdracht-id' die beschikbaar is vanuit taken, niet een PID. J J J
Fileinfo Informatie over een bestand ophalen. J J J
findfile Hiermee worden bestanden op een bepaalde naam op het apparaat gevonden. J J J
getfile <file_path> Downloadt een bestand. J J J
Help Bevat help-informatie voor live-antwoordopdrachten. J J J
Banen Toont momenteel actieve taken, hun id en status. J J J
Persistentie Toont alle bekende persistentiemethoden op het apparaat. J N N
Processen Toont alle processen die op het apparaat worden uitgevoerd. J J J
Register Geeft registerwaarden weer. J N N
geplande taken Toont alle geplande taken op het apparaat. J N N
Diensten Toont alle services op het apparaat. J N N
startupfolders Toont alle bekende bestanden in opstartmappen op het apparaat. J N N
Status Geeft de status en uitvoer van een specifieke opdracht weer. J J J
Trace Hiermee stelt u de logboekmodus van de terminal in op foutopsporing. J J J

Geavanceerde opdrachten

De volgende opdrachten zijn beschikbaar voor gebruikersrollen die de mogelijkheid hebben om geavanceerde live antwoordopdrachten uit te voeren. Zie Rollen maken en beheren voor meer informatie over roltoewijzingen.

Opdracht Beschrijving Windows en Windows Server macOS Linux
Analyseren Analyseert de entiteit met verschillende incriminatie-engines om tot een oordeel te komen. J N N
Verzamelen Verzamelt forensisch pakket van apparaat. N J J
Isoleren Hiermee wordt het apparaat losgekoppeld van het netwerk terwijl de verbinding met de Defender for Endpoint-service behouden blijft. N J N
Release Maakt een apparaat vrij van netwerkisolatie. N J N
Uitvoeren Hiermee wordt een PowerShell-script uitgevoerd vanuit de bibliotheek op het apparaat. J J J
Bibliotheek Lijsten bestanden die zijn geüpload naar de live-antwoordbibliotheek. J J J
putfile Hiermee plaatst u een bestand uit de bibliotheek op het apparaat. Bestanden worden opgeslagen in een werkmap en worden standaard verwijderd wanneer het apparaat opnieuw wordt opgestart. J J J
herstellen Herstelt een entiteit op het apparaat. De herstelactie is afhankelijk van het type entiteit: Bestand: proces verwijderen: stoppen, afbeeldingsbestand verwijderen Service: stoppen, afbeeldingsbestand verwijderen Registervermelding: geplande taak verwijderen: opstartmapitem verwijderen: bestand verwijderen OPMERKING: deze opdracht heeft een vereiste opdracht. U kunt de opdracht -auto in combinatie met herstellen gebruiken om de vereiste opdracht automatisch uit te voeren. J J J
Scan Voert een snelle antivirusscan uit om malware te identificeren en te herstellen. N J J
Ongedaan maken Hiermee wordt een entiteit hersteld die is hersteld. J N N

Opdrachten voor live antwoorden gebruiken

De opdrachten die u in de console kunt gebruiken, volgen vergelijkbare principes als Windows-opdrachten.

De geavanceerde opdrachten bieden een krachtigere set acties waarmee u krachtigere acties kunt uitvoeren, zoals het downloaden en uploaden van een bestand, het uitvoeren van scripts op het apparaat en het uitvoeren van herstelacties op een entiteit.

Een bestand ophalen van het apparaat

Voor scenario's waarin u een bestand wilt ophalen van een apparaat dat u onderzoekt, kunt u de getfile opdracht gebruiken. Hiermee kunt u het bestand vanaf het apparaat opslaan voor verder onderzoek.

Opmerking

De volgende bestandsgroottelimieten zijn van toepassing:

  • getfile limiet: 3 GB
  • fileinfo limiet: 30 GB
  • library limiet: 250 MB

Een bestand op de achtergrond downloaden

Om ervoor te zorgen dat uw beveiligingsteam een getroffen apparaat kan blijven onderzoeken, kunnen bestanden nu op de achtergrond worden gedownload.

  • Als u een bestand op de achtergrond wilt downloaden, typt download <file_path> &u in de opdrachtconsole voor live-antwoorden.
  • Als u wacht op het downloaden van een bestand, kunt u het naar de achtergrond verplaatsen met behulp van Ctrl + Z.
  • Als u een bestand wilt downloaden naar de voorgrond, typt fg <command_id>u in de opdrachtconsole voor live antwoorden.

Dit zijn enkele voorbeelden:

Opdracht Wat het doet
getfile "C:\windows\some_file.exe" & Start het downloaden van een bestand met de naamsome_file.exeop de achtergrond.
fg 1234 Retourneert een download met opdracht-id 1234 op de voorgrond.

Een bestand in de bibliotheek plaatsen

Live response heeft een bibliotheek waarin u bestanden kunt plaatsen. De bibliotheek slaat bestanden op (zoals scripts) die kunnen worden uitgevoerd in een live-antwoordsessie op tenantniveau.

Met liverespons kunnen PowerShell-scripts worden uitgevoerd, maar u moet de bestanden eerst in de bibliotheek plaatsen voordat u ze kunt uitvoeren.

U kunt een verzameling PowerShell-scripts hebben die kunnen worden uitgevoerd op apparaten waarmee u live-antwoordsessies start.

Een bestand uploaden in de bibliotheek

  1. Klik op Bestand uploaden naar bibliotheek.

  2. Klik op Bladeren en selecteer het bestand.

  3. Geef een korte beschrijving op.

  4. Geef op of u een bestand met dezelfde naam wilt overschrijven.

  5. Als u wilt weten welke parameters nodig zijn voor het script, schakelt u het selectievakje scriptparameters in. Voer in het tekstveld een voorbeeld en een beschrijving in.

  6. Klik op Bevestigen.

  7. (Optioneel) Voer de opdracht uit om te controleren of het bestand is geüpload naar de library bibliotheek.

Een opdracht annuleren

Tijdens een sessie kunt u een opdracht annuleren door op Ctrl+C te drukken.

Waarschuwing

Als u deze snelkoppeling gebruikt, wordt de opdracht aan de agentzijde niet gestopt. Alleen de opdracht in de portal wordt geannuleerd. Het wijzigen van bewerkingen zoals 'herstellen' kan dus doorgaan, terwijl de opdracht wordt geannuleerd.

Een script uitvoeren

Voordat u een PowerShell-/Bash-script kunt uitvoeren, moet u het eerst uploaden naar de bibliotheek.

Nadat u het script hebt geüpload naar de bibliotheek, gebruikt u de run opdracht om het script uit te voeren.

Als u van plan bent een niet-ondertekend PowerShell-script in de sessie te gebruiken, moet u de instelling inschakelen op de pagina Instellingen voor geavanceerde functies .

Waarschuwing

Als u het gebruik van niet-ondertekende scripts toestaat, kan uw blootstelling aan bedreigingen toenemen.

Opdrachtparameters toepassen

  • Bekijk de Help van de console voor meer informatie over opdrachtparameters. Voer het volgende uit voor meer informatie over een afzonderlijke opdracht:

    help <command name>
    
  • Wanneer u parameters toepast op opdrachten, moet u er rekening mee houden dat parameters worden verwerkt op basis van een vaste volgorde:

    <command name> param1 param2
    
  • Wanneer u parameters buiten de vaste volgorde opgeeft, geeft u de naam van de parameter op met een afbreekstreepje voordat u de waarde opgeeft:

    <command name> -param2_name param2
    
  • Wanneer u opdrachten met vereiste opdrachten gebruikt, kunt u vlaggen gebruiken:

    <command name> -type file -id <file path> - auto
    

    of

    remediate file <file path> - auto`
    

Ondersteunde uitvoertypen

Live response ondersteunt uitvoertypen in tabel- en JSON-indeling. Voor elke opdracht is er een standaard uitvoergedrag. U kunt de uitvoer in de gewenste uitvoerindeling wijzigen met behulp van de volgende opdrachten:

  • -output json
  • -output table

Opmerking

Er worden minder velden weergegeven in tabelindeling vanwege de beperkte ruimte. Als u meer details in de uitvoer wilt zien, kunt u de JSON-uitvoeropdracht gebruiken, zodat meer details worden weergegeven.

Ondersteunde uitvoerpijpen

Live-antwoord ondersteunt uitvoerpijpen naar CLI en bestand. CLI is het standaarduitvoergedrag. U kunt de uitvoer doorsluisen naar een bestand met behulp van de volgende opdracht: [opdracht] > [bestandsnaam].txt.

Voorbeeld:

processes > output.txt

Het opdrachtlogboek weergeven

Selecteer het tabblad Opdrachtlogboek om de opdrachten te zien die tijdens een sessie op het apparaat worden gebruikt. Elke opdracht wordt bijgehouden met volledige details, zoals:

  • ID
  • Opdrachtregel
  • Duur
  • Status- en invoer- of uitvoerbalk

Beperkingen

  • Live-antwoordsessies zijn beperkt tot 25 live-antwoordsessies tegelijk.
  • Time-outwaarde voor inactieve liveresponssessie is 30 minuten.
  • Afzonderlijke live-antwoordopdrachten hebben een tijdslimiet van 10 minuten, met uitzondering van getfile, findfileen run, die een limiet van 30 minuten hebben.
  • Een gebruiker kan maximaal 10 gelijktijdige sessies initiëren.
  • Een apparaat kan slechts in één sessie tegelijk zijn.
  • De volgende bestandsgroottelimieten zijn van toepassing:
    • getfile limiet: 3 GB
    • fileinfo limiet: 30 GB
    • library limiet: 250 MB

Gerelateerd artikel

Tip

Wil je meer weten? Engage met de Microsoft Security-community in onze Tech Community: Microsoft Defender voor Eindpunt Tech Community.