Investigar entidades em dispositivos com resposta em direto
Aplica-se a:
Quer experimentar o Defender para Ponto Final? Inscrever-se para uma avaliação gratuita.
A resposta em direto dá às equipas de operações de segurança acesso instantâneo a um dispositivo (também conhecido como computador) através de uma ligação de shell remota. A resposta em direto dá-lhe o poder de realizar trabalhos de investigação aprofundados e tomar medidas de resposta imediatas para conter prontamente ameaças identificadas em tempo real.
A resposta em direto foi concebida para melhorar as investigações ao permitir que a sua equipa de operações de segurança recolha dados forenses, execute scripts, envie entidades suspeitas para análise, remediar ameaças e procure proativamente ameaças emergentes.
Com a resposta em direto, os analistas podem realizar todas as seguintes tarefas:
- Execute comandos básicos e avançados para realizar trabalhos de investigação num dispositivo.
- Transfira ficheiros como exemplos de software maligno e resultados de scripts do PowerShell.
- Transfira ficheiros em segundo plano (novo!).
- Carregue um script do PowerShell ou executável para a biblioteca e execute-o num dispositivo a partir de um nível de inquilino.
- Executar ou anular ações de remediação.
Before you begin
Antes de poder iniciar uma sessão num dispositivo, certifique-se de que cumpre os seguintes requisitos:
Verifique se está a executar uma versão suportada do Windows.
Os dispositivos têm de estar a executar uma das seguintes versões do Windows
Windows 10 & 11
- Versão 1909 ou posterior
- Versão 1903 com KB4515384
- Versão 1809 (RS 5) com KB4537818
- Versão 1803 (RS 4) com KB4537795
- Versão 1709 (RS 3) com KB4537816
macOS - Versão mínima necessária: 101.43.84. Suportado para dispositivos macOS baseados em Intel e arm.
Linux – Versão mínima necessária: 101.45.13
Windows Server 2012 R2 - com KB5005292
Windows Server 2016 - com KB5005292
Nota
Para o Windows Server 2012R2 ou 2016, tem de ter o Agente Unificado instalado e é recomendado aplicar patches à versão mais recente do sensor com KB5005292.
Windows Server 2019
Windows Server 2022
Ative a resposta em direto a partir da página de definições avançadas.
Tem de ativar a capacidade de resposta em direto na página Definições de funcionalidades avançadas .
Nota
Apenas os administradores e utilizadores com permissões "Gerir Definições do Portal" podem ativar a resposta em direto.
Ative a resposta em direto para os servidores a partir da página de definições avançadas (recomendado).
Nota
Apenas os administradores e utilizadores com permissões "Gerir Definições do Portal" podem ativar a resposta em direto.
Ativar a execução de scripts não assinados de resposta em direto (opcional).
Importante
A verificação de assinaturas aplica-se apenas a scripts do PowerShell.
Aviso
Permitir a utilização de scripts não assinados pode aumentar a exposição a ameaças.
A execução de scripts não assinados não é recomendada, uma vez que pode aumentar a sua exposição a ameaças. No entanto, se tiver de utilizá-las, terá de ativar a definição na página Definições de funcionalidades avançadas .
Certifique-se de que tem as permissões adequadas.
Apenas os utilizadores aprovisionados com as permissões adequadas podem iniciar uma sessão. Para obter mais informações sobre atribuições de funções, veja Create e gerir funções.
Importante
A opção para carregar um ficheiro para a biblioteca só está disponível para os utilizadores com a permissão "Gerir Definições de Segurança". O botão está desativado para utilizadores com apenas permissões delegadas.
Dependendo da função que lhe foi concedida, pode executar comandos de resposta em direto básicos ou avançados. As permissões dos utilizadores são controladas pela função personalizada RBAC.
Descrição geral do dashboard de resposta dinâmica
Quando inicia uma sessão de resposta em direto num dispositivo, é aberto um dashboard. O dashboard fornece informações sobre a sessão, tais como o seguinte:
- Quem criou a sessão
- Quando a sessão começou
- A duração da sessão
O dashboard também lhe dá acesso a:
- Desligar sessão
- Carregar ficheiros para a biblioteca
- Consola de comandos
- Registo de comandos
Iniciar uma sessão de resposta em direto num dispositivo
Nota
As ações de resposta em direto iniciadas a partir da página Dispositivo não estão disponíveis na API machineactions.
Inicie sessão no portal Microsoft Defender.
Navegue para Pontos Finais Inventário de dispositivos > e selecione um dispositivo para investigar. A página dispositivos é aberta.
Inicie a sessão de resposta em direto ao selecionar Iniciar sessão de resposta em direto. É apresentada uma consola de comandos. Aguarde enquanto a sessão se liga ao dispositivo.
Utilize os comandos incorporados para realizar trabalhos de investigação. Para obter mais informações, veja Comandos de resposta em direto.
Depois de concluir a investigação, selecione Desligar sessão e, em seguida, selecione Confirmar.
Comandos de resposta em direto
Dependendo da função que lhe foi concedida, pode executar comandos de resposta em direto básicos ou avançados. As permissões de utilizador são controladas por funções personalizadas RBAC. Para obter mais informações sobre atribuições de funções, veja Create e gerir funções.
Nota
A resposta em direto é uma shell interativa baseada na cloud, como tal, a experiência de comando específica pode variar em tempo de resposta, dependendo da qualidade da rede e da carga do sistema entre o utilizador final e o dispositivo de destino.
Comandos básicos
Os seguintes comandos estão disponíveis para funções de utilizador que têm a capacidade de executar comandos básicos de resposta em direto. Para obter mais informações sobre atribuições de funções, veja Create e gerir funções.
| Comando | Descrição | Windows e Windows Server | macOS | Linux |
|---|---|---|---|---|
cd |
Altera o diretório atual. | Y | Y | Y |
cls |
Limpa o ecrã da consola. | Y | Y | Y |
connect |
Inicia uma sessão de resposta em direto para o dispositivo. | Y | Y | Y |
connections |
Mostra todas as ligações ativas. | Y | N | N |
dir |
Mostra uma lista de ficheiros e subdiretórios num diretório. | Y | Y | Y |
drivers |
Mostra todos os controladores instalados no dispositivo. | Y | N | N |
fg <command ID> |
Coloque a tarefa especificada em primeiro plano, tornando-a a tarefa atual. Tenha em atenção que fg utiliza um command ID disponível a partir de trabalhos, não de um PID. |
Y | Y | Y |
fileinfo |
Obtenha informações sobre um ficheiro. | Y | Y | Y |
findfile |
Localiza ficheiros por um determinado nome no dispositivo. | Y | Y | Y |
getfile <file_path> |
Transfere um ficheiro. | Y | Y | Y |
help |
Fornece informações de ajuda para comandos de resposta em direto. | Y | Y | Y |
jobs |
Mostra as tarefas atualmente em execução, o respetivo ID e estado. | Y | Y | Y |
persistence |
Mostra todos os métodos de persistência conhecidos no dispositivo. | Y | N | N |
processes |
Mostra todos os processos em execução no dispositivo. | Y | Y | Y |
registry |
Mostra os valores do registo. | Y | N | N |
scheduledtasks |
Mostra todas as tarefas agendadas no dispositivo. | Y | N | N |
services |
Mostra todos os serviços no dispositivo. | Y | N | N |
startupfolders |
Mostra todos os ficheiros conhecidos em pastas de arranque no dispositivo. | Y | N | N |
status |
Mostra o estado e a saída de um comando específico. | Y | Y | Y |
trace |
Define o modo de registo do terminal para depurar. | Y | Y | Y |
Comandos avançados
Os seguintes comandos estão disponíveis para funções de utilizador às quais é concedida a capacidade de executar comandos de resposta em direto avançados . Para obter mais informações sobre atribuições de funções, veja Create e gerir funções.
| Comando | Descrição | Windows e Windows Server | macOS | Linux |
|---|---|---|---|---|
analyze |
Analisa a entidade com vários motores de incriminação para chegar a um veredicto. | Y | N | N |
collect |
Recolhe o pacote forense do dispositivo. | N | Y | Y |
isolate |
Desliga o dispositivo da rede enquanto mantém a conectividade ao serviço Defender para Endpoint. | N | Y | N |
release |
Liberta um dispositivo do isolamento de rede. | N | Y | N |
run |
Executa um script do PowerShell a partir da biblioteca no dispositivo. | Y | Y | Y |
library |
Listas ficheiros que foram carregados para a biblioteca de resposta em direto. | Y | Y | Y |
putfile |
Coloca um ficheiro da biblioteca no dispositivo. Os ficheiros são guardados numa pasta de trabalho e são eliminados quando o dispositivo é reiniciado por predefinição. | Y | Y | Y |
remediate |
Corrija uma entidade no dispositivo. A ação de remediação varia consoante o tipo de entidade: - Ficheiro: eliminar - Processo: parar, eliminar ficheiro de imagem - Serviço: parar, eliminar ficheiro de imagem - Entrada de registo: eliminar - Tarefa agendada: remover - Item da pasta de arranque: eliminar ficheiro Este comando tem um comando de pré-requisito. Pode utilizar o -auto comando em conjunto com remediar para executar automaticamente o comando de pré-requisitos. |
Y | Y | Y |
scan |
Executa uma análise rápida do antivírus para ajudar a identificar e remediar software maligno. | N | Y | Y |
undo |
Restaura uma entidade que foi remediada. | Y | N | N |
Nota
Os seguintes limites de tamanho de ficheiro aplicam-se ao putfile comando de resposta dinâmica:
- Windows: 300 MB
- Outras plataformas: 10 MB
Utilizar comandos de resposta em direto
Os comandos que pode utilizar na consola seguem princípios semelhantes aos comandos do Windows.
Os comandos avançados oferecem um conjunto mais robusto de ações que lhe permitem efetuar ações mais poderosas, como transferir e carregar um ficheiro, executar scripts no dispositivo e realizar ações de remediação numa entidade.
Obter um ficheiro do dispositivo
Para cenários em que gostaria de obter um ficheiro de um dispositivo que está a investigar, pode utilizar o getfile comando . Isto permite-lhe guardar o ficheiro do dispositivo para uma investigação mais aprofundada.
Nota
Aplicam-se os seguintes limites de tamanho de ficheiro:
getfilelimite: 3 GBfileinfolimite: 30 GBlibrarylimite: 250 MB
Transferir um ficheiro em segundo plano
Para permitir que a equipa de operações de segurança continue a investigar um dispositivo afetado, os ficheiros podem agora ser transferidos em segundo plano.
- Para transferir um ficheiro em segundo plano, na consola de comandos de resposta dinâmica, escreva
download <file_path> &. - Se estiver à espera que um ficheiro seja transferido, pode movê-lo para segundo plano com Ctrl + Z.
- Para colocar uma transferência de ficheiro em primeiro plano, na consola de comandos de resposta dinâmica, escreva
fg <command_id>.
Eis alguns exemplos:
| Comando | O que faz |
|---|---|
getfile "C:\windows\some_file.exe" & |
Começa a transferir um ficheiro com o nome some_file.exe em segundo plano. |
fg 1234 |
Devolve uma transferência com o ID de comando 1234 em primeiro plano. |
Colocar um ficheiro na biblioteca
A resposta em direto tem uma biblioteca na qual pode colocar ficheiros. A biblioteca armazena ficheiros (como scripts) que podem ser executados numa sessão de resposta em direto ao nível do inquilino.
A resposta em direto permite que os scripts do PowerShell sejam executados. No entanto, primeiro tem de colocar os ficheiros na biblioteca antes de os poder executar.
Pode ter uma coleção de scripts do PowerShell que podem ser executados em dispositivos com os quais inicia sessões de resposta em direto.
Para carregar um ficheiro na biblioteca
Clique em Carregar ficheiro para biblioteca.
Clique em Procurar e selecione o ficheiro.
Forneça uma breve descrição.
Especifique se pretende substituir um ficheiro com o mesmo nome.
Se quiser estar, saiba que parâmetros são necessários para o script, selecione a caixa de verificação parâmetros de script. No campo de texto, introduza um exemplo e uma descrição.
Clique em Confirmar.
(Opcional) Para verificar se o ficheiro foi carregado para a biblioteca, execute o
librarycomando .
Cancelar um comando
Em qualquer altura durante uma sessão, pode cancelar um comando premindo CTRL + C.
Aviso
A utilização deste atalho não irá parar o comando no lado do agente. Apenas cancelará o comando no portal. Assim, a alteração de operações como "remediar" pode continuar, enquanto o comando é cancelado.
Executar um script
Antes de poder executar um script do PowerShell/Bash, primeiro tem de carregá-lo para a biblioteca.
Depois de carregar o script para a biblioteca, utilize o run comando para executar o script.
Se planear utilizar um script do PowerShell não assinado na sessão, terá de ativar a definição na página Definições de funcionalidades avançadas .
Aviso
Permitir a utilização de scripts não assinados pode aumentar a exposição a ameaças.
Aplicar parâmetros de comando
Veja a ajuda da consola para saber mais sobre os parâmetros de comando. Para saber mais sobre um comando individual, execute:
help <command name>Ao aplicar parâmetros a comandos, tenha em atenção que os parâmetros são processados com base numa ordem fixa:
<command name> param1 param2Ao especificar parâmetros fora da ordem fixa, especifique o nome do parâmetro com um hífen antes de fornecer o valor:
<command name> -param2_name param2Ao utilizar comandos com comandos de pré-requisitos, pode utilizar sinalizadores:
<command name> -type file -id <file path> - autoou
remediate file <file path> - auto`
Tipos de saída suportados
A resposta em direto suporta tipos de saída de formato JSON e tabela. Para cada comando, existe um comportamento de saída predefinido. Pode modificar a saída no seu formato de saída preferencial com os seguintes comandos:
-output json-output table
Nota
São apresentados menos campos no formato de tabela devido ao espaço limitado. Para ver mais detalhes na saída, pode utilizar o comando de saída JSON para que sejam apresentados mais detalhes.
Pipes de saída suportados
A resposta dinâmica suporta o encaminhamento de saída para a CLI e o ficheiro. A CLI é o comportamento de saída predefinido. Pode encaminhar a saída para um ficheiro com o seguinte comando: [comando] > [nomedoficheiro].txt.
Exemplo:
processes > output.txt
Ver o registo de comandos
Selecione o separador Registo de comandos para ver os comandos utilizados no dispositivo durante uma sessão. Cada comando é controlado com todos os detalhes, tais como:
- ID
- Linha de comandos
- Duração
- Barra lateral de estado e entrada ou saída
Limitações
- As sessões de resposta em direto estão limitadas a 25 sessões de resposta em direto de cada vez.
- O valor de tempo limite inativo da sessão de resposta em direto é de 30 minutos.
- Os comandos de resposta em direto individuais têm um limite de tempo de 10 minutos, com exceção de
getfile,findfileerun, que têm um limite de 30 minutos. - Um utilizador pode iniciar até 10 sessões simultâneas.
- Um dispositivo só pode estar numa sessão de cada vez.
- Aplicam-se os seguintes limites de tamanho de ficheiro:
getfilelimite: 3 GBfileinfolimite: 30 GBlibrarylimite: 250 MB
Artigo relacionado
Sugestão
Quer saber mais? Engage com a comunidade de Segurança da Microsoft na nossa Comunidade Tecnológica: Microsoft Defender para Endpoint Tech Community.