Investigar entidades em dispositivos com resposta em direto

Aplica-se a:

Quer experimentar o Defender para Ponto Final? Inscrever-se para uma avaliação gratuita.

A resposta em direto dá às equipas de operações de segurança acesso instantâneo a um dispositivo (também conhecido como computador) através de uma ligação de shell remota. Isto dá-lhe o poder de realizar trabalhos de investigação aprofundados e tomar medidas de resposta imediatas para conter prontamente ameaças identificadas em tempo real.

A resposta em direto foi concebida para melhorar as investigações ao permitir que a sua equipa de operações de segurança recolha dados forenses, execute scripts, envie entidades suspeitas para análise, remediar ameaças e procure proativamente ameaças emergentes.

Com a resposta em direto, os analistas podem realizar todas as seguintes tarefas:

  • Execute comandos básicos e avançados para realizar trabalhos de investigação num dispositivo.
  • Transfira ficheiros como exemplos de software maligno e resultados de scripts do PowerShell.
  • Transfira ficheiros em segundo plano (novo!).
  • Carregue um script do PowerShell ou executável para a biblioteca e execute-o num dispositivo a partir de um nível de inquilino.
  • Executar ou anular ações de remediação.

Antes de começar

Antes de poder iniciar uma sessão num dispositivo, certifique-se de que cumpre os seguintes requisitos:

  • Verifique se está a executar uma versão suportada do Windows.

    Os dispositivos têm de estar a executar uma das seguintes versões do Windows

  • Ative a resposta em direto a partir da página de definições avançadas.

    Terá de ativar a capacidade de resposta em direto na página Definições de funcionalidades avançadas .

    Nota

    Apenas os administradores e utilizadores com permissões "Gerir Definições do Portal" podem ativar a resposta em direto.

  • Ative a resposta em direto para os servidores a partir da página de definições avançadas (recomendado).

    Nota

    Apenas os administradores e utilizadores com permissões "Gerir Definições do Portal" podem ativar a resposta em direto.

  • Ativar a execução de scripts não assinados de resposta em direto (opcional).

    Importante

    A verificação de assinaturas aplica-se apenas a scripts do PowerShell.

    Aviso

    Permitir a utilização de scripts não assinados pode aumentar a exposição a ameaças.

    A execução de scripts não assinados não é recomendada, uma vez que pode aumentar a sua exposição a ameaças. No entanto, se tiver de utilizá-las, terá de ativar a definição na página Definições de funcionalidades avançadas .

  • Certifique-se de que tem as permissões adequadas.

    Apenas os utilizadores que tenham sido aprovisionados com as permissões adequadas podem iniciar uma sessão. Para obter mais informações sobre atribuições de funções, veja Criar e gerir funções.

    Importante

    A opção para carregar um ficheiro para a biblioteca só está disponível para os utilizadores com a permissão "Gerir Definições de Segurança". O botão está desativado para utilizadores com apenas permissões delegadas.

    Dependendo da função que lhe foi concedida, pode executar comandos de resposta em direto básicos ou avançados. As permissões dos utilizadores são controladas pela função personalizada RBAC.

Descrição geral do dashboard de resposta dinâmica

Quando inicia uma sessão de resposta em direto num dispositivo, é aberto um dashboard. O dashboard fornece informações sobre a sessão, tais como o seguinte:

  • Quem criou a sessão
  • Quando a sessão começou
  • A duração da sessão

O dashboard também lhe dá acesso a:

  • Desligar sessão
  • Carregar ficheiros para a biblioteca
  • Consola de comandos
  • Registo de comandos

Iniciar uma sessão de resposta em direto num dispositivo

Nota

As ações de resposta em direto iniciadas a partir da página Dispositivo não estão disponíveis na API machineactions.

  1. Inicie sessão no portal Microsoft Defender.

  2. Navegue para Pontos Finais Inventário de dispositivos > e selecione um dispositivo para investigar. A página dispositivos é aberta.

  3. Inicie a sessão de resposta em direto ao selecionar Iniciar sessão de resposta em direto. É apresentada uma consola de comandos. Aguarde enquanto a sessão se liga ao dispositivo.

  4. Utilize os comandos incorporados para realizar trabalhos de investigação. Para obter mais informações, veja Comandos de resposta em direto.

  5. Depois de concluir a investigação, selecione Desligar sessão e, em seguida, selecione Confirmar.

Comandos de resposta em direto

Dependendo da função que lhe foi concedida, pode executar comandos de resposta em direto básicos ou avançados. As permissões de utilizador são controladas por funções personalizadas RBAC. Para obter mais informações sobre atribuições de funções, veja Criar e gerir funções.

Nota

A resposta em direto é uma shell interativa baseada na cloud, como tal, a experiência de comando específica pode variar em tempo de resposta, dependendo da qualidade da rede e da carga do sistema entre o utilizador final e o dispositivo de destino.

Comandos básicos

Os seguintes comandos estão disponíveis para funções de utilizador que têm a capacidade de executar comandos básicos de resposta em direto. Para obter mais informações sobre atribuições de funções, veja Criar e gerir funções.

Comando Descrição Windows e Windows Server macOS Linux
cd Altera o diretório atual. Y Y Y
cls Limpa o ecrã da consola. Y Y Y
ligar Inicia uma sessão de resposta em direto para o dispositivo. Y Y Y
ligações Mostra todas as ligações ativas. Y N N
dir Mostra uma lista de ficheiros e subdiretórios num diretório. Y Y Y
controladores Mostra todos os controladores instalados no dispositivo. Y N N
fg <command ID> Coloque a tarefa especificada em primeiro plano, tornando-a a tarefa atual. NOTA: a fg utiliza um "ID de comando" disponível a partir de trabalhos e não de um PID. Y Y Y
fileinfo Obtenha informações sobre um ficheiro. Y Y Y
findfile Localiza ficheiros por um determinado nome no dispositivo. Y Y Y
getfile <file_path> Transfere um ficheiro. Y Y Y
ajuda Fornece informações de ajuda para comandos de resposta em direto. Y Y Y
tarefas Mostra as tarefas atualmente em execução, o respetivo ID e estado. Y Y Y
persistência Mostra todos os métodos de persistência conhecidos no dispositivo. Y N N
processos Mostra todos os processos em execução no dispositivo. Y Y Y
registo Mostra os valores do registo. Y N N
scheduledtasks Mostra todas as tarefas agendadas no dispositivo. Y N N
serviços Mostra todos os serviços no dispositivo. Y N N
startupfolders Mostra todos os ficheiros conhecidos em pastas de arranque no dispositivo. Y N N
estado Mostra o estado e a saída de um comando específico. Y Y Y
rastreio Define o modo de registo do terminal para depurar. Y Y Y

Comandos avançados

Os seguintes comandos estão disponíveis para funções de utilizador às quais é concedida a capacidade de executar comandos de resposta em direto avançados . Para obter mais informações sobre atribuições de funções, veja Criar e gerir funções.

Comando Descrição Windows e Windows Server macOS Linux
analisar Analisa a entidade com vários motores de incriminação para chegar a um veredicto. Y N N
recolher Recolhe o pacote forense do dispositivo. N Y Y
isolar Desliga o dispositivo da rede enquanto mantém a conectividade ao serviço Defender para Endpoint. N Y N
versão Liberta um dispositivo do isolamento de rede. N Y N
executar Executa um script do PowerShell a partir da biblioteca no dispositivo. Y Y Y
biblioteca Listas ficheiros que foram carregados para a biblioteca de resposta em direto. Y Y Y
putfile Coloca um ficheiro da biblioteca no dispositivo. Os ficheiros são guardados numa pasta de trabalho e são eliminados quando o dispositivo é reiniciado por predefinição. Y Y Y
remediar Corrija uma entidade no dispositivo. A ação de remediação irá variar consoante o tipo de entidade: Ficheiro: eliminar Processo: parar, eliminar ficheiro de imagem Serviço: parar, eliminar ficheiro de imagem Entrada de registo: eliminar tarefa agendada: remover item de pasta de Arranque: eliminar ficheiro NOTA: este comando tem um comando de pré-requisito. Pode utilizar o comando -auto em conjunto com remediar para executar automaticamente o comando de pré-requisito. Y Y Y
análise Executa uma Análise rápida do antivírus para ajudar a identificar e remediar software maligno. N Y Y
anular Restaura uma entidade que foi remediada. Y N N

Utilizar comandos de resposta em direto

Os comandos que pode utilizar na consola seguem princípios semelhantes aos comandos do Windows.

Os comandos avançados oferecem um conjunto mais robusto de ações que lhe permitem efetuar ações mais poderosas, como transferir e carregar um ficheiro, executar scripts no dispositivo e realizar ações de remediação numa entidade.

Obter um ficheiro do dispositivo

Para cenários em que gostaria de obter um ficheiro de um dispositivo que está a investigar, pode utilizar o getfile comando . Isto permite-lhe guardar o ficheiro do dispositivo para uma investigação mais aprofundada.

Nota

Aplicam-se os seguintes limites de tamanho de ficheiro:

  • getfile limite: 3 GB
  • fileinfo limite: 30 GB
  • library limite: 250 MB

Transferir um ficheiro em segundo plano

Para permitir que a equipa de operações de segurança continue a investigar um dispositivo afetado, os ficheiros podem agora ser transferidos em segundo plano.

  • Para transferir um ficheiro em segundo plano, na consola de comandos de resposta dinâmica, escreva download <file_path> &.
  • Se estiver à espera que um ficheiro seja transferido, pode movê-lo para segundo plano com Ctrl + Z.
  • Para colocar uma transferência de ficheiro em primeiro plano, na consola de comandos de resposta dinâmica, escreva fg <command_id>.

Eis alguns exemplos:

Comando O que faz
getfile "C:\windows\some_file.exe" & Começa a transferir um ficheiro com o nome some_file.exe em segundo plano.
fg 1234 Devolve uma transferência com o ID de comando 1234 em primeiro plano.

Colocar um ficheiro na biblioteca

A resposta em direto tem uma biblioteca na qual pode colocar ficheiros. A biblioteca armazena ficheiros (como scripts) que podem ser executados numa sessão de resposta em direto ao nível do inquilino.

A resposta em direto permite que os scripts do PowerShell sejam executados. No entanto, primeiro tem de colocar os ficheiros na biblioteca antes de os poder executar.

Pode ter uma coleção de scripts do PowerShell que podem ser executados em dispositivos com os quais inicia sessões de resposta em direto.

Para carregar um ficheiro na biblioteca

  1. Clique em Carregar ficheiro para biblioteca.

  2. Clique em Procurar e selecione o ficheiro.

  3. Forneça uma breve descrição.

  4. Especifique se pretende substituir um ficheiro com o mesmo nome.

  5. Se quiser estar, saiba que parâmetros são necessários para o script, selecione a caixa de verificação parâmetros de script. No campo de texto, introduza um exemplo e uma descrição.

  6. Clique em Confirmar.

  7. (Opcional) Para verificar se o ficheiro foi carregado para a biblioteca, execute o library comando .

Cancelar um comando

Em qualquer altura durante uma sessão, pode cancelar um comando premindo CTRL + C.

Aviso

A utilização deste atalho não irá parar o comando no lado do agente. Apenas cancelará o comando no portal. Assim, a alteração de operações como "remediar" pode continuar, enquanto o comando é cancelado.

Executar um script

Antes de poder executar um script do PowerShell/Bash, primeiro tem de carregá-lo para a biblioteca.

Depois de carregar o script para a biblioteca, utilize o run comando para executar o script.

Se planear utilizar um script do PowerShell não assinado na sessão, terá de ativar a definição na página Definições de funcionalidades avançadas .

Aviso

Permitir a utilização de scripts não assinados pode aumentar a exposição a ameaças.

Aplicar parâmetros de comando

  • Veja a ajuda da consola para saber mais sobre os parâmetros de comando. Para saber mais sobre um comando individual, execute:

    help <command name>
    
  • Ao aplicar parâmetros a comandos, tenha em atenção que os parâmetros são processados com base numa ordem fixa:

    <command name> param1 param2
    
  • Ao especificar parâmetros fora da ordem fixa, especifique o nome do parâmetro com um hífen antes de fornecer o valor:

    <command name> -param2_name param2
    
  • Ao utilizar comandos com comandos de pré-requisitos, pode utilizar sinalizadores:

    <command name> -type file -id <file path> - auto
    

    ou

    remediate file <file path> - auto`
    

Tipos de saída suportados

A resposta em direto suporta tipos de saída de formato JSON e tabela. Para cada comando, existe um comportamento de saída predefinido. Pode modificar a saída no seu formato de saída preferencial com os seguintes comandos:

  • -output json
  • -output table

Nota

São apresentados menos campos no formato de tabela devido ao espaço limitado. Para ver mais detalhes na saída, pode utilizar o comando de saída JSON para que sejam apresentados mais detalhes.

Pipes de saída suportados

A resposta dinâmica suporta o encaminhamento de saída para a CLI e o ficheiro. A CLI é o comportamento de saída predefinido. Pode encaminhar a saída para um ficheiro com o seguinte comando: [comando] > [nomedoficheiro].txt.

Exemplo:

processes > output.txt

Ver o registo de comandos

Selecione o separador Registo de comandos para ver os comandos utilizados no dispositivo durante uma sessão. Cada comando é controlado com todos os detalhes, tais como:

  • ID
  • Linha de comandos
  • Duração
  • Barra lateral de estado e entrada ou saída

Limitações

  • As sessões de resposta em direto estão limitadas a 25 sessões de resposta em direto de cada vez.
  • O valor de tempo limite inativo da sessão de resposta em direto é de 30 minutos.
  • Os comandos de resposta em direto individuais têm um limite de tempo de 10 minutos, com exceção de getfile, findfilee run, que têm um limite de 30 minutos.
  • Um utilizador pode iniciar até 10 sessões simultâneas.
  • Um dispositivo só pode estar numa sessão de cada vez.
  • Aplicam-se os seguintes limites de tamanho de ficheiro:
    • getfile limite: 3 GB
    • fileinfo limite: 30 GB
    • library limite: 250 MB

Artigo relacionado

Sugestão

Quer saber mais? Engage com a comunidade de Segurança da Microsoft na nossa Comunidade Tecnológica: Microsoft Defender para Endpoint Tech Community.