Badanie jednostek na urządzeniach przy użyciu odpowiedzi na żywo

Dotyczy:

• Ochrona punktu końcowego w usłudze Microsoft Defender (plan 2)
• Microsoft Defender XDR

Chcesz poznać usługę ochrony punktu końcowego w usłudze Microsoft Defender? Utwórz konto, aby skorzystać z bezpłatnej wersji próbnej.

Reagowanie na żywo zapewnia zespołom operacji zabezpieczeń natychmiastowy dostęp do urządzenia (nazywanego również maszyną) przy użyciu zdalnego połączenia powłoki. Reagowanie na żywo daje możliwość wykonywania szczegółowych działań dochodzeniowych i podejmowania natychmiastowych działań reagowania w celu szybkiego powstrzymania zidentyfikowanych zagrożeń w czasie rzeczywistym.

Reagowanie na żywo ma na celu usprawnienie badań dzięki umożliwieniu zespołowi ds. operacji zabezpieczeń zbierania danych kryminalistycznych, uruchamiania skryptów, wysyłania podejrzanych jednostek do analizy, korygowania zagrożeń i proaktywnego wyszukiwania pojawiających się zagrożeń.

Dzięki odpowiedzi na żywo analitycy mogą wykonywać wszystkie następujące zadania:

• Uruchom podstawowe i zaawansowane polecenia, aby wykonać czynności śledcze na urządzeniu.
• Pobierz pliki, takie jak przykłady złośliwego oprogramowania i wyniki skryptów programu PowerShell.
• Pobierz pliki w tle (nowe!).
• Przekaż skrypt programu PowerShell lub plik wykonywalny do biblioteki i uruchom go na urządzeniu z poziomu dzierżawy.
• Wykonaj lub cofnij akcje korygowania.

Przed rozpoczęciem

Przed zainicjowaniem sesji na urządzeniu upewnij się, że spełniasz następujące wymagania:

• Sprawdź, czy używasz obsługiwanej wersji systemu Windows.

  Na urządzeniach musi być uruchomiona jedna z następujących wersji systemu Windows

  • Windows 10 & 11

    • Wersja 1909 lub nowsza
    • Wersja 1903 z KB4515384
    • Wersja 1809 (RS 5) z KB4537818
    • Wersja 1803 (RS 4) z KB4537795
    • Wersja 1709 (RS 3) z KB4537816

  • macOS — minimalna wymagana wersja: 101.43.84. Obsługiwane w przypadku urządzeń z systemem macOS opartych na technologii Intel i arm.

  • Linux — minimalna wymagana wersja: 101.45.13

  • Windows Server 2012 R2 — z KB5005292

  • Windows Server 2016 — z KB5005292

    Uwaga

    W systemie Windows Server 2012R2 lub 2016 należy zainstalować ujednoliconego agenta i zaleca się stosowanie poprawek do najnowszej wersji czujnika przy użyciu KB5005292.

  • Windows Server 2019

    • Wersja 1903 lub (z KB4515384) później
    • Wersja 1809 (z KB4537818)

  • Windows Server 2022

• Włącz odpowiedź na żywo na stronie ustawień zaawansowanych.

  Na stronie Ustawienia funkcji zaawansowanych należy włączyć funkcję odpowiedzi na żywo.

  Uwaga

  Tylko administratorzy i użytkownicy, którzy mają uprawnienia "Zarządzaj ustawieniami portalu", mogą włączyć odpowiedzi na żywo.

• Włącz odpowiedź na żywo dla serwerów na stronie ustawień zaawansowanych (zalecane).

  Uwaga

  Tylko administratorzy i użytkownicy, którzy mają uprawnienia "Zarządzaj ustawieniami portalu", mogą włączyć odpowiedzi na żywo.

• Włącz wykonywanie skryptu bez znaku odpowiedzi na żywo (opcjonalnie).

  Ważna

  Weryfikacja podpisu dotyczy tylko skryptów programu PowerShell.

  Ostrzeżenie

  Zezwolenie na używanie niepodpisanych skryptów może zwiększyć narażenie na zagrożenia.

  Uruchamianie niepodpisanych skryptów nie jest zalecane, ponieważ może zwiększyć narażenie na zagrożenia. Jeśli jednak musisz ich używać, musisz włączyć to ustawienie na stronie Ustawienia funkcji zaawansowanych .

• Upewnij się, że masz odpowiednie uprawnienia.

  Tylko użytkownicy, którzy są aprowizowane z odpowiednimi uprawnieniami, mogą zainicjować sesję. Aby uzyskać więcej informacji na temat przypisań ról, zobacz Tworzenie ról i zarządzanie nimi.

  Ważna

  Opcja przekazania pliku do biblioteki jest dostępna tylko dla użytkowników z uprawnieniem "Zarządzanie ustawieniami zabezpieczeń". Przycisk jest wyszarzony dla użytkowników z uprawnieniami delegowanymi.

  W zależności od roli, która została Ci przyznana, można uruchamiać podstawowe lub zaawansowane polecenia odpowiedzi na żywo. Uprawnienia użytkowników są kontrolowane przez rolę niestandardową RBAC.

Omówienie pulpitu nawigacyjnego odpowiedzi na żywo

Po zainicjowaniu sesji odpowiedzi na żywo na urządzeniu zostanie otwarty pulpit nawigacyjny. Pulpit nawigacyjny zawiera informacje o sesji, takie jak:

• Kto utworzył sesję
• Po rozpoczęciu sesji
• Czas trwania sesji

Pulpit nawigacyjny zapewnia również dostęp do następujących elementów:

• Rozłącz sesję
• Przekazywanie plików do biblioteki
• Konsola poleceń
• Dziennik poleceń

Inicjowanie sesji odpowiedzi na żywo na urządzeniu

Uwaga

Akcje odpowiedzi na żywo zainicjowane na stronie Urządzenie nie są dostępne w interfejsie API machineactions.

1. Zaloguj się do portalu Microsoft Defender.

2. Przejdź do pozycji Punkty końcowe > Spis urządzeń i wybierz urządzenie do zbadania. Zostanie otwarta strona urządzenia.

3. Uruchom sesję odpowiedzi na żywo, wybierając pozycję Inicjuj sesję odpowiedzi na żywo. Zostanie wyświetlona konsola poleceń. Poczekaj, aż sesja nawiąże połączenie z urządzeniem.

4. Użyj wbudowanych poleceń, aby wykonać czynności śledcze. Aby uzyskać więcej informacji, zobacz Polecenia odpowiedzi na żywo.

5. Po zakończeniu badania wybierz pozycję Rozłącz sesję, a następnie wybierz pozycję Potwierdź.

Polecenia odpowiedzi na żywo

W zależności od roli, która została Ci przyznana, można uruchamiać podstawowe lub zaawansowane polecenia odpowiedzi na żywo. Uprawnienia użytkownika są kontrolowane przez role niestandardowe RBAC. Aby uzyskać więcej informacji na temat przypisań ról, zobacz Tworzenie ról i zarządzanie nimi.

Uwaga

Odpowiedź na żywo to interaktywna powłoka oparta na chmurze, w związku z tym określone środowisko poleceń może się różnić w czasie odpowiedzi w zależności od jakości sieci i obciążenia systemu między użytkownikiem końcowym a urządzeniem docelowym.

Podstawowe polecenia

Następujące polecenia są dostępne dla ról użytkowników, którym przyznano możliwość uruchamiania podstawowych poleceń odpowiedzi na żywo. Aby uzyskać więcej informacji na temat przypisań ról, zobacz Tworzenie ról i zarządzanie nimi.

Polecenia	Opis	Windows i Windows Server	macOS	Linux
cd	Zmienia bieżący katalog.	T	T	T
cls	Czyści ekran konsoli.	T	T	T
connect	Inicjuje sesję odpowiedzi na żywo na urządzeniu.	T	T	T
connections	Pokazuje wszystkie aktywne połączenia.	T	N	N
dir	Pokazuje listę plików i podkatalogów w katalogu.	T	T	T
drivers	Pokazuje wszystkie sterowniki zainstalowane na urządzeniu.	T	N	N
fg <command ID>	Umieść określone zadanie na pierwszym planie, co czyni go bieżącym zadaniem. Należy pamiętać, że fg przyjmuje command ID dostępne z zadań, a nie PID.	T	T	T
fileinfo	Uzyskaj informacje o pliku.	T	T	T
findfile	Lokalizuje pliki według danej nazwy na urządzeniu.	T	T	T
getfile <file_path>	Pobiera plik.	T	T	T
help	Zawiera informacje o pomocy dotyczące poleceń odpowiedzi na żywo.	T	T	T
jobs	Pokazuje aktualnie uruchomione zadania, ich identyfikator i stan.	T	T	T
persistence	Pokazuje wszystkie znane metody trwałości na urządzeniu.	T	N	N
processes	Pokazuje wszystkie procesy uruchomione na urządzeniu.	T	T	T
registry	Pokazuje wartości rejestru.	T	N	N
scheduledtasks	Pokazuje wszystkie zaplanowane zadania na urządzeniu.	T	N	N
services	Pokazuje wszystkie usługi na urządzeniu.	T	N	N
startupfolders	Pokazuje wszystkie znane pliki w folderach startowych na urządzeniu.	T	N	N
status	Pokazuje stan i dane wyjściowe określonego polecenia.	T	T	T
trace	Ustawia tryb rejestrowania terminalu na debugowanie.	T	T	T

Polecenia zaawansowane

Następujące polecenia są dostępne dla ról użytkownika, którym przyznano możliwość uruchamiania zaawansowanych poleceń odpowiedzi na żywo. Aby uzyskać więcej informacji na temat przypisań ról, zobacz Tworzenie ról i zarządzanie nimi.

Polecenia	Opis	Windows i Windows Server	macOS	Linux
analyze	Analizuje jednostkę za pomocą różnych aparatów oskarżenia, aby osiągnąć werdykt.	T	N	N
collect	Zbiera pakiet kryminalistyki z urządzenia.	N	T	T
isolate	Odłącza urządzenie od sieci przy zachowaniu łączności z usługą Defender for Endpoint.	N	T	N
release	Zwalnia urządzenie z izolacji sieci.	N	T	N
run	Uruchamia skrypt programu PowerShell z biblioteki na urządzeniu.	T	T	T
library	Listy pliki przekazane do biblioteki odpowiedzi na żywo.	T	T	T
putfile	Umieszcza plik z biblioteki na urządzeniu. Pliki są zapisywane w folderze roboczym i są usuwane po domyślnym ponownym uruchomieniu urządzenia.	T	T	T
remediate	Koryguje jednostkę na urządzeniu. Akcja korygowania różni się w zależności od typu jednostki: - Plik: usuń — Proces: zatrzymywanie, usuwanie pliku obrazu - Usługa: zatrzymywanie, usuwanie pliku obrazu - Wpis rejestru: usuń - Zaplanowane zadanie: usuń — Element folderu uruchamiania: usuń plik To polecenie ma polecenie wymagań wstępnych. Możesz użyć -auto polecenia w połączeniu z korygowanie do automatycznego uruchamiania polecenia wymagań wstępnych.	T	T	T
scan	Uruchamia szybkie skanowanie antywirusowe, aby ułatwić identyfikowanie i korygowanie złośliwego oprogramowania.	N	T	T
undo	Przywraca jednostkę, która została skorygowana.	T	N	N

Używanie poleceń odpowiedzi na żywo

Polecenia, których można użyć w konsoli programu, są zgodne z podobnymi zasadami jak polecenia systemu Windows.

Zaawansowane polecenia oferują bardziej niezawodny zestaw akcji, które umożliwiają wykonywanie bardziej zaawansowanych akcji, takich jak pobieranie i przekazywanie pliku, uruchamianie skryptów na urządzeniu i wykonywanie akcji korygowania jednostki.

Pobieranie pliku z urządzenia

W przypadku scenariuszy, w których chcesz pobrać plik z badanego urządzenia, możesz użyć getfile polecenia . Dzięki temu można zapisać plik z urządzenia w celu dalszego zbadania.

Uwaga

Obowiązują następujące limity rozmiaru plików:

• getfile limit: 3 GB
• fileinfo limit: 30 GB
• library limit: 250 MB

Pobieranie pliku w tle

Aby umożliwić zespołowi ds. operacji zabezpieczeń kontynuowanie badania urządzenia, na które ma to wpływ, pliki można teraz pobrać w tle.

• Aby pobrać plik w tle, w konsoli poleceń odpowiedzi na żywo wpisz download <file_path> &.
• Jeśli czekasz na pobranie pliku, możesz przenieść go do tła przy użyciu klawiszy Ctrl + Z.
• Aby przenieść plik do pobrania na pierwszy plan, w konsoli poleceń odpowiedzi na żywo wpisz fg <command_id>.

Oto kilka przykładów:

Polecenia	Co robi
getfile "C:\windows\some_file.exe" &	Rozpoczyna pobieranie pliku o nazwie some_file.exe w tle.
fg 1234	Zwraca pobranie z identyfikatorem polecenia 1234 na pierwszy plan.

Umieszczanie pliku w bibliotece

Odpowiedź na żywo zawiera bibliotekę, w której można umieszczać pliki. Biblioteka przechowuje pliki (takie jak skrypty), które można uruchomić w sesji odpowiedzi na żywo na poziomie dzierżawy.

Odpowiedź na żywo umożliwia uruchamianie skryptów programu PowerShell, jednak przed ich uruchomieniem należy najpierw umieścić pliki w bibliotece.

Możesz mieć kolekcję skryptów programu PowerShell, które mogą być uruchamiane na urządzeniach, za pomocą których inicjujesz sesje odpowiedzi na żywo.

Aby przekazać plik w bibliotece

1. Kliknij pozycję Przekaż plik do biblioteki.

2. Kliknij przycisk Przeglądaj i wybierz plik.

3. Podaj krótki opis.

4. Określ, czy chcesz zastąpić plik o tej samej nazwie.

5. Jeśli chcesz być, dowiedz się, jakie parametry są potrzebne dla skryptu, zaznacz pole wyboru Parametry skryptu. W polu tekstowym wprowadź przykład i opis.

6. Kliknij przycisk Potwierdź.

7. (Opcjonalnie) Aby sprawdzić, czy plik został przekazany do biblioteki, uruchom library polecenie .

Anulowanie polecenia

W dowolnym momencie sesji możesz anulować polecenie, naciskając klawisze CTRL + C.

Ostrzeżenie

Użycie tego skrótu nie spowoduje zatrzymania polecenia po stronie agenta. Spowoduje to anulowanie tylko polecenia w portalu. Dlatego zmiana operacji, takich jak "korygowanie", może być kontynuowana, gdy polecenie zostanie anulowane.

Uruchom skrypt

Przed uruchomieniem skryptu programu PowerShell/powłoki Bash należy najpierw przekazać go do biblioteki.

Po przekazaniu skryptu do biblioteki użyj run polecenia , aby uruchomić skrypt.

Jeśli planujesz używać niepodpisanego skryptu programu PowerShell w sesji, musisz włączyć to ustawienie na stronie Ustawienia funkcji zaawansowanych .

Ostrzeżenie

Zezwolenie na używanie niepodpisanych skryptów może zwiększyć narażenie na zagrożenia.

Stosowanie parametrów polecenia

• Wyświetl pomoc dotyczącą konsoli, aby dowiedzieć się więcej o parametrach polecenia. Aby dowiedzieć się więcej o pojedynczym poleceniu, uruchom polecenie:

  help <command name>
  

• Podczas stosowania parametrów do poleceń należy pamiętać, że parametry są obsługiwane w oparciu o stałą kolejność:

  <command name> param1 param2
  

• Podczas określania parametrów poza stałą kolejnością określ nazwę parametru za pomocą łącznika przed podaniem wartości:

  <command name> -param2_name param2
  

• W przypadku korzystania z poleceń, które mają polecenia wymagań wstępnych, można użyć flag:

  <command name> -type file -id <file path> - auto
  

  lub

  remediate file <file path> - auto`
  

Obsługiwane typy danych wyjściowych

Odpowiedź na żywo obsługuje typy danych wyjściowych w formacie tabeli i JSON. Dla każdego polecenia istnieje domyślne zachowanie danych wyjściowych. Dane wyjściowe można modyfikować w preferowanym formacie danych wyjściowych przy użyciu następujących poleceń:

• -output json
• -output table

Uwaga

Mniej pól jest wyświetlanych w formacie tabeli ze względu na ograniczoną ilość miejsca. Aby wyświetlić więcej szczegółów w danych wyjściowych, możesz użyć polecenia wyjściowego JSON, aby wyświetlić więcej szczegółów.

Obsługiwane potoki wyjściowe

Odpowiedź na żywo obsługuje potoki wyjściowe do interfejsu wiersza polecenia i pliku. Domyślnym zachowaniem danych wyjściowych jest interfejs wiersza polecenia. Dane wyjściowe można przekazać potokiem do pliku przy użyciu następującego polecenia: [command] > [filename].txt.

Przykład:

processes > output.txt

Wyświetlanie dziennika poleceń

Wybierz kartę Dziennik poleceń , aby wyświetlić polecenia używane na urządzeniu podczas sesji. Każde polecenie jest śledzone z pełnymi szczegółami, takimi jak:

• ID
• Wiersz polecenia
• Długość
• Pasek boczny stanu i danych wejściowych lub wyjściowych

Ograniczenia

• Sesje odpowiedzi na żywo są ograniczone do 25 sesji odpowiedzi na żywo jednocześnie.
• Wartość limitu czasu nieaktywnej sesji odpowiedzi na żywo wynosi 30 minut.
• Poszczególne polecenia odpowiedzi na żywo mają limit czasu wynoszący 10 minut, z wyjątkiem getfile, findfilei run, które mają limit 30 minut.
• Użytkownik może zainicjować maksymalnie 10 współbieżnych sesji.
• Urządzenie może być jednocześnie tylko w jednej sesji.
• Obowiązują następujące limity rozmiaru plików:
  • getfile limit: 3 GB
  • fileinfo limit: 30 GB
  • library limit: 250 MB

Powiązany artykuł

• Przykłady poleceń reagowania w czasie rzeczywistym

Porada

Chcesz dowiedzieć się więcej? Engage ze społecznością microsoft security w naszej społeczności technicznej: Ochrona punktu końcowego w usłudze Microsoft Defender Tech Community.