Udostępnij za pośrednictwem


Badanie jednostek na urządzeniach przy użyciu odpowiedzi na żywo

Dotyczy:

Chcesz poznać usługę ochrony punktu końcowego w usłudze Microsoft Defender? Utwórz konto, aby skorzystać z bezpłatnej wersji próbnej.

Reagowanie na żywo zapewnia zespołom operacji zabezpieczeń natychmiastowy dostęp do urządzenia (nazywanego również maszyną) przy użyciu zdalnego połączenia powłoki. Reagowanie na żywo daje możliwość wykonywania szczegółowych działań dochodzeniowych i podejmowania natychmiastowych działań reagowania w celu szybkiego powstrzymania zidentyfikowanych zagrożeń w czasie rzeczywistym.

Reagowanie na żywo ma na celu usprawnienie badań dzięki umożliwieniu zespołowi ds. operacji zabezpieczeń zbierania danych kryminalistycznych, uruchamiania skryptów, wysyłania podejrzanych jednostek do analizy, korygowania zagrożeń i proaktywnego wyszukiwania pojawiających się zagrożeń.

Dzięki odpowiedzi na żywo analitycy mogą wykonywać wszystkie następujące zadania:

  • Uruchom podstawowe i zaawansowane polecenia, aby wykonać czynności śledcze na urządzeniu.
  • Pobierz pliki, takie jak przykłady złośliwego oprogramowania i wyniki skryptów programu PowerShell.
  • Pobierz pliki w tle (nowe!).
  • Przekaż skrypt programu PowerShell lub plik wykonywalny do biblioteki i uruchom go na urządzeniu z poziomu dzierżawy.
  • Wykonaj lub cofnij akcje korygowania.

Przed rozpoczęciem

Przed zainicjowaniem sesji na urządzeniu upewnij się, że spełniasz następujące wymagania:

  • Sprawdź, czy używasz obsługiwanej wersji systemu Windows.

    Na urządzeniach musi być uruchomiona jedna z następujących wersji systemu Windows

  • Włącz odpowiedź na żywo na stronie ustawień zaawansowanych.

    Na stronie Ustawienia funkcji zaawansowanych należy włączyć funkcję odpowiedzi na żywo.

    Uwaga

    Tylko administratorzy i użytkownicy, którzy mają uprawnienia "Zarządzaj ustawieniami portalu", mogą włączyć odpowiedzi na żywo.

  • Włącz odpowiedź na żywo dla serwerów na stronie ustawień zaawansowanych (zalecane).

    Uwaga

    Tylko administratorzy i użytkownicy, którzy mają uprawnienia "Zarządzaj ustawieniami portalu", mogą włączyć odpowiedzi na żywo.

  • Włącz wykonywanie skryptu bez znaku odpowiedzi na żywo (opcjonalnie).

    Ważna

    Weryfikacja podpisu dotyczy tylko skryptów programu PowerShell.

    Ostrzeżenie

    Zezwolenie na używanie niepodpisanych skryptów może zwiększyć narażenie na zagrożenia.

    Uruchamianie niepodpisanych skryptów nie jest zalecane, ponieważ może zwiększyć narażenie na zagrożenia. Jeśli jednak musisz ich używać, musisz włączyć to ustawienie na stronie Ustawienia funkcji zaawansowanych .

  • Upewnij się, że masz odpowiednie uprawnienia.

    Tylko użytkownicy, którzy są aprowizowane z odpowiednimi uprawnieniami, mogą zainicjować sesję. Aby uzyskać więcej informacji na temat przypisań ról, zobacz Twórca i zarządzanie rolami.

    Ważna

    Opcja przekazania pliku do biblioteki jest dostępna tylko dla użytkowników z uprawnieniem "Zarządzanie ustawieniami zabezpieczeń". Przycisk jest wyszarzony dla użytkowników z uprawnieniami delegowanymi.

    W zależności od roli, która została Ci przyznana, można uruchamiać podstawowe lub zaawansowane polecenia odpowiedzi na żywo. Uprawnienia użytkowników są kontrolowane przez rolę niestandardową RBAC.

Omówienie pulpitu nawigacyjnego odpowiedzi na żywo

Po zainicjowaniu sesji odpowiedzi na żywo na urządzeniu zostanie otwarty pulpit nawigacyjny. Pulpit nawigacyjny zawiera informacje o sesji, takie jak:

  • Kto utworzył sesję
  • Po rozpoczęciu sesji
  • Czas trwania sesji

Pulpit nawigacyjny zapewnia również dostęp do następujących elementów:

  • Rozłącz sesję
  • Przekazywanie plików do biblioteki
  • Konsola poleceń
  • Dziennik poleceń

Inicjowanie sesji odpowiedzi na żywo na urządzeniu

Uwaga

Akcje odpowiedzi na żywo zainicjowane na stronie Urządzenie nie są dostępne w interfejsie API machineactions.

  1. Zaloguj się do portalu Microsoft Defender.

  2. Przejdź do pozycji Punkty końcowe > Spis urządzeń i wybierz urządzenie do zbadania. Zostanie otwarta strona urządzenia.

  3. Uruchom sesję odpowiedzi na żywo, wybierając pozycję Inicjuj sesję odpowiedzi na żywo. Zostanie wyświetlona konsola poleceń. Poczekaj, aż sesja nawiąże połączenie z urządzeniem.

  4. Użyj wbudowanych poleceń, aby wykonać czynności śledcze. Aby uzyskać więcej informacji, zobacz Polecenia odpowiedzi na żywo.

  5. Po zakończeniu badania wybierz pozycję Rozłącz sesję, a następnie wybierz pozycję Potwierdź.

Polecenia odpowiedzi na żywo

W zależności od roli, która została Ci przyznana, można uruchamiać podstawowe lub zaawansowane polecenia odpowiedzi na żywo. Uprawnienia użytkownika są kontrolowane przez role niestandardowe RBAC. Aby uzyskać więcej informacji na temat przypisań ról, zobacz Twórca i zarządzanie rolami.

Uwaga

Odpowiedź na żywo to interaktywna powłoka oparta na chmurze, w związku z tym określone środowisko poleceń może się różnić w czasie odpowiedzi w zależności od jakości sieci i obciążenia systemu między użytkownikiem końcowym a urządzeniem docelowym.

Podstawowe polecenia

Następujące polecenia są dostępne dla ról użytkowników, którym przyznano możliwość uruchamiania podstawowych poleceń odpowiedzi na żywo. Aby uzyskać więcej informacji na temat przypisań ról, zobacz Twórca i zarządzanie rolami.

Polecenia Opis Windows i Windows Server macOS Linux
cd Zmienia bieżący katalog. T T T
cls Czyści ekran konsoli. T T T
connect Inicjuje sesję odpowiedzi na żywo na urządzeniu. T T T
connections Pokazuje wszystkie aktywne połączenia. T N N
dir Pokazuje listę plików i podkatalogów w katalogu. T T T
drivers Pokazuje wszystkie sterowniki zainstalowane na urządzeniu. T N N
fg <command ID> Umieść określone zadanie na pierwszym planie, co czyni go bieżącym zadaniem. Należy pamiętać, że fg przyjmuje command ID dostępne z zadań, a nie PID. T T T
fileinfo Uzyskaj informacje o pliku. T T T
findfile Lokalizuje pliki według danej nazwy na urządzeniu. T T T
getfile <file_path> Pobiera plik. T T T
help Zawiera informacje o pomocy dotyczące poleceń odpowiedzi na żywo. T T T
jobs Pokazuje aktualnie uruchomione zadania, ich identyfikator i stan. T T T
persistence Pokazuje wszystkie znane metody trwałości na urządzeniu. T N N
processes Pokazuje wszystkie procesy uruchomione na urządzeniu. T T T
registry Pokazuje wartości rejestru. T N N
scheduledtasks Pokazuje wszystkie zaplanowane zadania na urządzeniu. T N N
services Pokazuje wszystkie usługi na urządzeniu. T N N
startupfolders Pokazuje wszystkie znane pliki w folderach startowych na urządzeniu. T N N
status Pokazuje stan i dane wyjściowe określonego polecenia. T T T
trace Ustawia tryb rejestrowania terminalu na debugowanie. T T T

Polecenia zaawansowane

Następujące polecenia są dostępne dla ról użytkownika, którym przyznano możliwość uruchamiania zaawansowanych poleceń odpowiedzi na żywo. Aby uzyskać więcej informacji na temat przypisań ról, zobacz Twórca i zarządzanie rolami.

Polecenia Opis Windows i Windows Server macOS Linux
analyze Analizuje jednostkę za pomocą różnych aparatów oskarżenia, aby osiągnąć werdykt. T N N
collect Zbiera pakiet kryminalistyki z urządzenia. N T T
isolate Odłącza urządzenie od sieci przy zachowaniu łączności z usługą Defender for Endpoint. N T N
release Zwalnia urządzenie z izolacji sieci. N T N
run Uruchamia skrypt programu PowerShell z biblioteki na urządzeniu. T T T
library Listy pliki przekazane do biblioteki odpowiedzi na żywo. T T T
putfile Umieszcza plik z biblioteki na urządzeniu. Pliki są zapisywane w folderze roboczym i są usuwane po domyślnym ponownym uruchomieniu urządzenia. T T T
remediate Koryguje jednostkę na urządzeniu. Akcja korygowania różni się w zależności od typu jednostki:
- Plik: usuń
— Proces: zatrzymywanie, usuwanie pliku obrazu
- Usługa: zatrzymywanie, usuwanie pliku obrazu
- Wpis rejestru: usuń
- Zaplanowane zadanie: usuń
— Element folderu uruchamiania: usuń plik

To polecenie ma polecenie wymagań wstępnych. Możesz użyć -auto polecenia w połączeniu z korygowanie do automatycznego uruchamiania polecenia wymagań wstępnych.
T T T
scan Uruchamia szybkie skanowanie antywirusowe, aby ułatwić identyfikowanie i korygowanie złośliwego oprogramowania. N T T
undo Przywraca jednostkę, która została skorygowana. T N N

Uwaga

Następujące limity rozmiaru pliku dotyczą polecenia odpowiedzi na putfile żywo:

  • Windows: 300 MB
  • Inne platformy: 10 MB

Używanie poleceń odpowiedzi na żywo

Polecenia, których można użyć w konsoli programu, są zgodne z podobnymi zasadami jak polecenia systemu Windows.

Zaawansowane polecenia oferują bardziej niezawodny zestaw akcji, które umożliwiają wykonywanie bardziej zaawansowanych akcji, takich jak pobieranie i przekazywanie pliku, uruchamianie skryptów na urządzeniu i wykonywanie akcji korygowania jednostki.

Pobieranie pliku z urządzenia

W przypadku scenariuszy, w których chcesz pobrać plik z badanego urządzenia, możesz użyć getfile polecenia . Dzięki temu można zapisać plik z urządzenia w celu dalszego zbadania.

Uwaga

Obowiązują następujące limity rozmiaru plików:

  • getfile limit: 3 GB
  • fileinfo limit: 30 GB
  • library limit: 250 MB

Pobieranie pliku w tle

Aby umożliwić zespołowi ds. operacji zabezpieczeń kontynuowanie badania urządzenia, na które ma to wpływ, pliki można teraz pobrać w tle.

  • Aby pobrać plik w tle, w konsoli poleceń odpowiedzi na żywo wpisz download <file_path> &.
  • Jeśli czekasz na pobranie pliku, możesz przenieść go do tła przy użyciu klawiszy Ctrl + Z.
  • Aby przenieść plik do pobrania na pierwszy plan, w konsoli poleceń odpowiedzi na żywo wpisz fg <command_id>.

Oto kilka przykładów:

Polecenia Co robi
getfile "C:\windows\some_file.exe" & Rozpoczyna pobieranie pliku o nazwie some_file.exe w tle.
fg 1234 Zwraca pobranie z identyfikatorem polecenia 1234 na pierwszy plan.

Umieszczanie pliku w bibliotece

Odpowiedź na żywo zawiera bibliotekę, w której można umieszczać pliki. Biblioteka przechowuje pliki (takie jak skrypty), które można uruchomić w sesji odpowiedzi na żywo na poziomie dzierżawy.

Odpowiedź na żywo umożliwia uruchamianie skryptów programu PowerShell, jednak przed ich uruchomieniem należy najpierw umieścić pliki w bibliotece.

Możesz mieć kolekcję skryptów programu PowerShell, które mogą być uruchamiane na urządzeniach, za pomocą których inicjujesz sesje odpowiedzi na żywo.

Aby przekazać plik w bibliotece

  1. Kliknij pozycję Przekaż plik do biblioteki.

  2. Kliknij przycisk Przeglądaj i wybierz plik.

  3. Podaj krótki opis.

  4. Określ, czy chcesz zastąpić plik o tej samej nazwie.

  5. Jeśli chcesz być, dowiedz się, jakie parametry są potrzebne dla skryptu, zaznacz pole wyboru Parametry skryptu. W polu tekstowym wprowadź przykład i opis.

  6. Kliknij przycisk Potwierdź.

  7. (Opcjonalnie) Aby sprawdzić, czy plik został przekazany do biblioteki, uruchom library polecenie .

Anulowanie polecenia

W dowolnym momencie sesji możesz anulować polecenie, naciskając klawisze CTRL + C.

Ostrzeżenie

Użycie tego skrótu nie spowoduje zatrzymania polecenia po stronie agenta. Spowoduje to anulowanie tylko polecenia w portalu. Dlatego zmiana operacji, takich jak "korygowanie", może być kontynuowana, gdy polecenie zostanie anulowane.

Uruchom skrypt

Przed uruchomieniem skryptu programu PowerShell/powłoki Bash należy najpierw przekazać go do biblioteki.

Po przekazaniu skryptu do biblioteki użyj run polecenia , aby uruchomić skrypt.

Jeśli planujesz używać niepodpisanego skryptu programu PowerShell w sesji, musisz włączyć to ustawienie na stronie Ustawienia funkcji zaawansowanych .

Ostrzeżenie

Zezwolenie na używanie niepodpisanych skryptów może zwiększyć narażenie na zagrożenia.

Stosowanie parametrów polecenia

  • Wyświetl pomoc dotyczącą konsoli, aby dowiedzieć się więcej o parametrach polecenia. Aby dowiedzieć się więcej o pojedynczym poleceniu, uruchom polecenie:

    help <command name>
    
  • Podczas stosowania parametrów do poleceń należy pamiętać, że parametry są obsługiwane w oparciu o stałą kolejność:

    <command name> param1 param2
    
  • Podczas określania parametrów poza stałą kolejnością określ nazwę parametru za pomocą łącznika przed podaniem wartości:

    <command name> -param2_name param2
    
  • W przypadku korzystania z poleceń, które mają polecenia wymagań wstępnych, można użyć flag:

    <command name> -type file -id <file path> - auto
    

    lub

    remediate file <file path> - auto`
    

Obsługiwane typy danych wyjściowych

Odpowiedź na żywo obsługuje typy danych wyjściowych w formacie tabeli i JSON. Dla każdego polecenia istnieje domyślne zachowanie danych wyjściowych. Dane wyjściowe można modyfikować w preferowanym formacie danych wyjściowych przy użyciu następujących poleceń:

  • -output json
  • -output table

Uwaga

Mniej pól jest wyświetlanych w formacie tabeli ze względu na ograniczoną ilość miejsca. Aby wyświetlić więcej szczegółów w danych wyjściowych, możesz użyć polecenia wyjściowego JSON, aby wyświetlić więcej szczegółów.

Obsługiwane potoki wyjściowe

Odpowiedź na żywo obsługuje potoki wyjściowe do interfejsu wiersza polecenia i pliku. Domyślnym zachowaniem danych wyjściowych jest interfejs wiersza polecenia. Dane wyjściowe można przekazać potokiem do pliku przy użyciu następującego polecenia: [command] > [filename].txt.

Przykład:

processes > output.txt

Wyświetlanie dziennika poleceń

Wybierz kartę Dziennik poleceń , aby wyświetlić polecenia używane na urządzeniu podczas sesji. Każde polecenie jest śledzone z pełnymi szczegółami, takimi jak:

  • ID
  • Wiersz polecenia
  • Długość
  • Pasek boczny stanu i danych wejściowych lub wyjściowych

Ograniczenia

  • Sesje odpowiedzi na żywo są ograniczone do 25 sesji odpowiedzi na żywo jednocześnie.
  • Wartość limitu czasu nieaktywnej sesji odpowiedzi na żywo wynosi 30 minut.
  • Poszczególne polecenia odpowiedzi na żywo mają limit czasu wynoszący 10 minut, z wyjątkiem getfile, findfilei run, które mają limit 30 minut.
  • Użytkownik może zainicjować maksymalnie 10 współbieżnych sesji.
  • Urządzenie może być jednocześnie tylko w jednej sesji.
  • Obowiązują następujące limity rozmiaru plików:
    • getfile limit: 3 GB
    • fileinfo limit: 30 GB
    • library limit: 250 MB

Powiązany artykuł

Porada

Chcesz dowiedzieć się więcej? Engage ze społecznością microsoft security w naszej społeczności technicznej: Ochrona punktu końcowego w usłudze Microsoft Defender Tech Community.