Investigar entidades em dispositivos usando resposta ao vivo

Aplica-se a:

Deseja experimentar o Defender para Ponto de Extremidade? Inscreva-se para uma avaliação gratuita.

A resposta ao vivo fornece às equipes de operações de segurança acesso instantâneo a um dispositivo (também chamado de computador) usando uma conexão de shell remota. A resposta ao vivo dá a você o poder de fazer um trabalho investigativo aprofundado e tomar ações de resposta imediatas para conter prontamente ameaças identificadas em tempo real.

A resposta ao vivo foi projetada para aprimorar as investigações, permitindo que sua equipe de operações de segurança colete dados forenses, execute scripts, envie entidades suspeitas para análise, corrija ameaças e procure proativamente ameaças emergentes.

Com a resposta ao vivo, os analistas podem fazer todas as seguintes tarefas:

  • Execute comandos básicos e avançados para fazer um trabalho investigativo em um dispositivo.
  • Baixe arquivos como exemplos de malware e resultados de scripts do PowerShell.
  • Baixe arquivos em segundo plano (novo!).
  • Carregue um script ou executável do PowerShell na biblioteca e execute-o em um dispositivo a partir de um nível de locatário.
  • Tome ou desfaça ações de correção.

Antes de começar

Antes de iniciar uma sessão em um dispositivo, verifique se você atende aos seguintes requisitos:

  • Verifique se você está executando uma versão com suporte do Windows.

    Os dispositivos devem estar executando uma das versões a seguir do Windows

  • Habilite a resposta ao vivo da página de configurações avançadas.

    Você precisa habilitar o recurso de resposta ao vivo na página Configurações de recursos avançados .

    Observação

    Somente administradores e usuários que têm permissões "Gerenciar Configurações do Portal" podem habilitar a resposta ao vivo.

  • Habilite a resposta ao vivo para servidores na página de configurações avançadas (recomendado).

    Observação

    Somente administradores e usuários que têm permissões "Gerenciar Configurações do Portal" podem habilitar a resposta ao vivo.

  • Habilitar a execução de script sem sinal de resposta ao vivo (opcional).

    Importante

    A verificação de assinatura só se aplica a scripts do PowerShell.

    Aviso

    Permitir o uso de scripts não assinados pode aumentar sua exposição a ameaças.

    A execução de scripts não assinados não é recomendada, pois pode aumentar sua exposição a ameaças. No entanto, se você precisar usá-las, você precisará habilitar a configuração na página Configurações de recursos avançados .

  • Verifique se você tem as permissões apropriadas.

    Somente usuários provisionados com as permissões apropriadas podem iniciar uma sessão. Para obter mais informações sobre atribuições de função, consulte Create e gerenciar funções.

    Importante

    A opção de carregar um arquivo na biblioteca só está disponível para usuários com permissão "Gerenciar Configurações de Segurança". O botão é acinzenado para usuários com apenas permissões delegadas.

    Dependendo da função concedida a você, você pode executar comandos de resposta ao vivo básicos ou avançados. As permissões dos usuários são controladas pela função personalizada RBAC.

Visão geral do dashboard de resposta ao vivo

Quando você inicia uma sessão de resposta ao vivo em um dispositivo, um dashboard é aberto. O dashboard fornece informações sobre a sessão, como o seguinte:

  • Quem criou a sessão
  • Quando a sessão começou
  • A duração da sessão

O dashboard também dá acesso a:

  • Desconectar sessão
  • Carregar arquivos na biblioteca
  • Console de comando
  • Log de comando

Iniciar uma sessão de resposta ao vivo em um dispositivo

Observação

As ações de resposta dinâmica iniciadas a partir da página Dispositivo não estão disponíveis na API de machineactions.

  1. Entre no portal Microsoft Defender.

  2. Navegue até Pontos de > Extremidade Inventário de dispositivo e selecione um dispositivo para investigar. A página de dispositivos é aberta.

  3. Inicie a sessão de resposta ao vivo selecionando Iniciar sessão de resposta ao vivo. Um console de comando é exibido. Aguarde enquanto a sessão se conecta ao dispositivo.

  4. Use os comandos internos para fazer um trabalho investigativo. Para obter mais informações, confira Comandos de resposta ao vivo.

  5. Depois de concluir a investigação, selecione Desconectar sessão e selecione Confirmar.

Comandos de resposta ao vivo

Dependendo da função concedida a você, você pode executar comandos de resposta ao vivo básicos ou avançados. As permissões de usuário são controladas por funções personalizadas do RBAC. Para obter mais informações sobre atribuições de função, consulte Create e gerenciar funções.

Observação

A resposta ao vivo é um shell interativo baseado em nuvem, como tal, a experiência de comando específica pode variar no tempo de resposta, dependendo da qualidade da rede e da carga do sistema entre o usuário final e o dispositivo de destino.

Comandos básicos

Os comandos a seguir estão disponíveis para funções de usuário que recebem a capacidade de executar comandos básicos de resposta ao vivo. Para obter mais informações sobre atribuições de função, consulte Create e gerenciar funções.

Comando Descrição Windows e Windows Server macOS Linux
cd Altera o diretório atual. S S S
cls Limpa a tela do console. S S S
connect Inicia uma sessão de resposta ao vivo para o dispositivo. S S S
connections Mostra todas as conexões ativas. Y N N
dir Mostra uma lista de arquivos e subdiretórios em um diretório. S S S
drivers Mostra todos os drivers instalados no dispositivo. Y N N
fg <command ID> Coloque o trabalho especificado em primeiro plano, tornando-o o trabalho atual. Observe que fg usa um command ID disponível de trabalhos, não um PID. S S S
fileinfo Obtenha informações sobre um arquivo. S S S
findfile Localiza arquivos por um determinado nome no dispositivo. S S S
getfile <file_path> Baixa um arquivo. S S S
help Fornece informações de ajuda para comandos de resposta ao vivo. S S S
jobs Mostra trabalhos em execução no momento, sua ID e status. S S S
persistence Mostra todos os métodos de persistência conhecidos no dispositivo. Y N N
processes Mostra todos os processos em execução no dispositivo. S S S
registry Mostra valores de registro. Y N N
scheduledtasks Mostra todas as tarefas agendadas no dispositivo. Y N N
services Mostra todos os serviços no dispositivo. Y N N
startupfolders Mostra todos os arquivos conhecidos em pastas de inicialização no dispositivo. Y N N
status Mostra o status e a saída de um comando específico. S S S
trace Define o modo de registro em log do terminal como depuração. S S S

Comandos avançados

Os comandos a seguir estão disponíveis para funções de usuário que recebem a capacidade de executar comandos avançados de resposta ao vivo. Para obter mais informações sobre atribuições de função, consulte Create e gerenciar funções.

Comando Descrição Windows e Windows Server macOS Linux
analyze Analisa a entidade com vários mecanismos de incriminação para chegar a um veredicto. Y N N
collect Coleta o pacote forense do dispositivo. N S S
isolate Desconecta o dispositivo da rede ao manter a conectividade com o serviço Defender para Ponto de Extremidade. N Y N
release Libera um dispositivo do isolamento de rede. N Y N
run Executa um script do PowerShell da biblioteca no dispositivo. S S S
library Listas arquivos que foram carregados na biblioteca de resposta ao vivo. S S S
putfile Coloca um arquivo da biblioteca no dispositivo. Os arquivos são salvos em uma pasta de trabalho e são excluídos quando o dispositivo é reiniciado por padrão. S S S
remediate Correção de uma entidade no dispositivo. A ação de correção varia, dependendo do tipo de entidade:
– Arquivo: excluir
– Processo: parar, excluir arquivo de imagem
– Serviço: parar, excluir arquivo de imagem
– Entrada do Registro: excluir
– Tarefa agendada: remover
– Item de pasta de inicialização: excluir arquivo

Esse comando tem um comando de pré-requisito. Você pode usar o -auto comando em conjunto com correção para executar automaticamente o comando de pré-requisito.
S S S
scan Executa uma verificação rápida de antivírus para ajudar a identificar e corrigir malware. N S S
undo Restaura uma entidade que foi corrigida. Y N N

Observação

Os seguintes limites de tamanho de arquivo se aplicam ao putfile comando de resposta ao vivo:

  • Windows: 300 MB
  • Outras plataformas: 10 MB

Usar comandos de resposta ao vivo

Os comandos que você pode usar no console seguem princípios semelhantes aos comandos do Windows.

Os comandos avançados oferecem um conjunto mais robusto de ações que permitem que você tome ações mais poderosas, como baixar e carregar um arquivo, executar scripts no dispositivo e executar ações de correção em uma entidade.

Obter um arquivo do dispositivo

Para cenários em que você deseja obter um arquivo de um dispositivo que está investigando, você pode usar o getfile comando. Isso permite que você salve o arquivo do dispositivo para uma investigação mais aprofundada.

Observação

Os seguintes limites de tamanho de arquivo se aplicam:

  • getfile limite: 3 GB
  • fileinfo limite: 30 GB
  • library limite: 250 MB

Baixar um arquivo em segundo plano

Para permitir que sua equipe de operações de segurança continue investigando um dispositivo afetado, os arquivos agora podem ser baixados em segundo plano.

  • Para baixar um arquivo em segundo plano, no console de comando de resposta ao vivo, digite download <file_path> &.
  • Se você estiver esperando um arquivo ser baixado, poderá movê-lo para o plano de fundo usando Ctrl + Z.
  • Para trazer um download de arquivo para o primeiro plano, no console de comando de resposta ao vivo, digite fg <command_id>.

Aqui estão alguns exemplos:

Comando Função
getfile "C:\windows\some_file.exe" & Começa a baixar um arquivo chamado some_file.exe em segundo plano.
fg 1234 Retorna um download com a ID de comando 1234 em primeiro plano.

Colocar um arquivo na biblioteca

A resposta ao vivo tem uma biblioteca na qual você pode colocar arquivos. A biblioteca armazena arquivos (como scripts) que podem ser executados em uma sessão de resposta ao vivo no nível do locatário.

A resposta ao vivo permite que os scripts do PowerShell sejam executados, no entanto, você deve primeiro colocar os arquivos na biblioteca antes de poder executá-los.

Você pode ter uma coleção de scripts do PowerShell que podem ser executados em dispositivos com os quais você inicia sessões de resposta ao vivo.

Para carregar um arquivo na biblioteca

  1. Clique em Carregar arquivo na biblioteca.

  2. Clique em Procurar e selecione o arquivo.

  3. Forneça uma breve descrição.

  4. Especifique se deseja substituir um arquivo com o mesmo nome.

  5. Se você quiser estar, saiba quais parâmetros são necessários para o script, selecione os parâmetros de script marcar caixa. No campo de texto, insira um exemplo e uma descrição.

  6. Clique em Confirmar.

  7. (Opcional) Para verificar se o arquivo foi carregado na biblioteca, execute o library comando.

Cancelar um comando

A qualquer momento durante uma sessão, você pode cancelar um comando pressionando CTRL + C.

Aviso

O uso desse atalho não interromperá o comando no lado do agente. Ele só cancelará o comando no portal. Portanto, a alteração de operações como "correção" pode continuar, enquanto o comando é cancelado.

Executar um script

Antes de executar um script do PowerShell/Bash, primeiro você deve carregá-lo na biblioteca.

Depois de carregar o script na biblioteca, use o run comando para executar o script.

Se você planeja usar um script do PowerShell não assinado na sessão, precisará habilitar a configuração na página Configurações de recursos avançados .

Aviso

Permitir o uso de scripts não assinados pode aumentar sua exposição a ameaças.

Aplicar parâmetros de comando

  • Exiba a ajuda do console para saber mais sobre parâmetros de comando. Para saber mais sobre um comando individual, execute:

    help <command name>
    
  • Ao aplicar parâmetros a comandos, observe que os parâmetros são manipulados com base em uma ordem fixa:

    <command name> param1 param2
    
  • Ao especificar parâmetros fora da ordem fixa, especifique o nome do parâmetro com um hifen antes de fornecer o valor:

    <command name> -param2_name param2
    
  • Ao usar comandos que têm comandos de pré-requisito, você pode usar sinalizadores:

    <command name> -type file -id <file path> - auto
    

    ou

    remediate file <file path> - auto`
    

Tipos de saída com suporte

A resposta ao vivo dá suporte a tipos de saída de formato JSON e de tabela. Para cada comando, há um comportamento de saída padrão. Você pode modificar a saída no formato de saída preferencial usando os seguintes comandos:

  • -output json
  • -output table

Observação

Menos campos são mostrados no formato de tabela devido ao espaço limitado. Para ver mais detalhes na saída, você pode usar o comando de saída JSON para que mais detalhes sejam mostrados.

Pipes de saída com suporte

A resposta ao vivo dá suporte à tubulação de saída para a CLI e o arquivo. CLI é o comportamento de saída padrão. Você pode canalizar a saída para um arquivo usando o seguinte comando: [comando] > [nome do arquivo].txt.

Exemplo:

processes > output.txt

Exibir o log de comandos

Selecione a guia Log de comando para ver os comandos usados no dispositivo durante uma sessão. Cada comando é acompanhado com detalhes completos, como:

  • ID
  • Linha de comando
  • Duração
  • Barra lateral de status e entrada ou saída

Limitações

  • As sessões de resposta ao vivo são limitadas a 25 sessões de resposta ao vivo por vez.
  • O valor de tempo limite inativo da sessão de resposta ao vivo é de 30 minutos.
  • Os comandos de resposta ao vivo individuais têm um limite de tempo de 10 minutos, com exceção de getfile, findfilee run, que têm um limite de 30 minutos.
  • Um usuário pode iniciar até 10 sessões simultâneas.
  • Um dispositivo só pode estar em uma sessão por vez.
  • Os seguintes limites de tamanho de arquivo se aplicam:
    • getfile limite: 3 GB
    • fileinfo limite: 30 GB
    • library limite: 250 MB

Artigo relacionado

Dica

Você deseja aprender mais? Engage com a comunidade de Segurança da Microsoft em nossa Comunidade Tecnológica: Microsoft Defender para Ponto de Extremidade Tech Community.