Исследование сущностей на устройствах с помощью динамического ответа

  • Статья

Область применения:

Хотите попробовать Defender для конечной точки? Зарегистрироваться для бесплатной пробной версии.

Динамический ответ предоставляет группам операций безопасности мгновенный доступ к устройству (также называемому компьютером) с помощью удаленного подключения оболочки. Динамическая реакция дает вам возможность выполнять углубленное расследование и принимать немедленные меры реагирования для быстрого сдерживания выявленных угроз в режиме реального времени.

Динамическое реагирование предназначено для улучшения расследований, позволяя вашей группе по операциям безопасности собирать криминалистические данные, выполнять скрипты, отправлять подозрительные сущности для анализа, устранять угрозы и упреждающе искать новые угрозы.

С помощью динамического реагирования аналитики могут выполнять все следующие задачи:

  • Выполните базовые и расширенные команды для выполнения исследовательской работы на устройстве.
  • Скачайте файлы, например примеры вредоносных программ и результаты сценариев PowerShell.
  • Скачивание файлов в фоновом режиме (new!).
  • Отправьте сценарий PowerShell или исполняемый файл в библиотеку и запустите его на устройстве с уровня клиента.
  • Выполнение или отмена действий по исправлению.

Перед началом работы

Прежде чем начать сеанс на устройстве, убедитесь, что выполнены следующие требования:

  • Убедитесь, что используется поддерживаемая версия Windows.

    Устройства должны работать под управлением одной из следующих версий Windows.

  • Включите динамический ответ на странице дополнительных параметров.

    Необходимо включить возможность динамического реагирования на странице Параметры дополнительных функций .

    Примечание.

    Только администраторы и пользователи с разрешениями "Управление параметрами портала" могут включить динамический ответ.

  • Включите динамический ответ для серверов на странице дополнительных параметров (рекомендуется).

    Примечание.

    Только администраторы и пользователи с разрешениями "Управление параметрами портала" могут включить динамический ответ.

  • Включите выполнение скрипта без знака динамического ответа (необязательно).

    Важно!

    Проверка подписи применяется только к сценариям PowerShell.

    Предупреждение

    Если вы разрешаете использовать неподписанные скрипты, вы можете повысить уязвимость к угрозам.

    Выполнение неподписанных скриптов не рекомендуется, так как это может увеличить риск угроз. Однако если их необходимо использовать, необходимо включить этот параметр на странице Параметры дополнительных компонентов .

  • Убедитесь, что у вас есть соответствующие разрешения.

    Только пользователи, подготовленные с соответствующими разрешениями, могут инициировать сеанс. Дополнительные сведения о назначениях ролей см. в разделе Create ролей и управление ими.

    Важно!

    Параметр отправки файла в библиотеку доступен только пользователям с разрешением "Управление параметрами безопасности". Кнопка неактивна для пользователей с делегированными разрешениями.

    В зависимости от роли, которая вам была предоставлена, можно выполнять базовые или расширенные команды динамического ответа. Разрешения пользователей управляются пользовательской ролью RBAC.

Обзор панели мониторинга динамического отклика

При запуске сеанса динамического ответа на устройстве открывается панель мониторинга. На панели мониторинга содержатся следующие сведения о сеансе:

  • Кто создал сеанс
  • При запуске сеанса
  • Продолжительность сеанса

Панель мониторинга также предоставляет доступ к следующим ресурсам:

  • Завершить сеанс.
  • Отправка файлов в библиотеку
  • Консоль команд
  • Журнал команд

Запуск сеанса динамического реагирования на устройстве

Примечание.

Действия динамического ответа, инициированные на странице Устройство, недоступны в API machineactions.

  1. Войдите на портал Microsoft Defender.

  2. Перейдите в раздел Инвентаризация устройств конечных > точек и выберите устройство для исследования. Откроется страница устройства.

  3. Запустите сеанс динамического ответа, выбрав Инициировать сеанс динамического ответа. Отобразится консоль команд. Подождите, пока сеанс подключится к устройству.

  4. Используйте встроенные команды для выполнения следственных действий. Дополнительные сведения см. в разделе Команды динамического ответа.

  5. После завершения исследования выберите Отключить сеанс, а затем — Подтвердить.

Команды динамического ответа

В зависимости от роли, которая вам была предоставлена, можно выполнять базовые или расширенные команды динамического ответа. Разрешения пользователей управляются пользовательскими ролями RBAC. Дополнительные сведения о назначениях ролей см. в разделе Create ролей и управление ими.

Примечание.

Динамический ответ — это облачная интерактивная оболочка, поэтому время отклика зависит от качества сети и нагрузки системы между конечным пользователем и целевым устройством.

Базовые команды

Следующие команды доступны для ролей пользователей, которым предоставляется возможность выполнять базовые команды динамического ответа. Дополнительные сведения о назначениях ролей см. в разделе Create ролей и управление ими.

Команда Описание Windows и Windows Server macOS Linux
cd Изменяет текущий каталог. Да Да Да
cls Очищает экран консоли. Да Да Да
connect Инициирует сеанс динамического реагирования на устройство. Да Да Да
connections Отображает все активные подключения. Да Нет Нет
dir Показывает список файлов и подкаталогов в каталоге. Да Да Да
drivers Отображает все драйверы, установленные на устройстве. Да Нет Нет
fg <command ID> Поместите указанное задание на передний план, сделав его текущим. Обратите внимание, что fg принимает доступный command ID из заданий, а не PID. Да Да Да
fileinfo Получение сведений о файле. Да Да Да
findfile Находит файлы на устройстве по заданному имени. Да Да Да
getfile <file_path> Скачивает файл. Да Да Да
help Предоставляет справочные сведения для команд динамического ответа. Да Да Да
jobs Отображает текущие выполняемые задания, их идентификатор и состояние. Да Да Да
persistence Показывает все известные методы сохраняемости на устройстве. Да Нет Нет
processes Показывает все процессы, выполняемые на устройстве. Да Да Да
registry Отображаются значения реестра. Да Нет Нет
scheduledtasks Отображает все запланированные задачи на устройстве. Да Нет Нет
services Отображает все службы на устройстве. Да Нет Нет
startupfolders Отображает все известные файлы в папках запуска на устройстве. Да Нет Нет
status Показывает состояние и выходные данные конкретной команды. Да Да Да
trace Задает режим ведения журнала терминала для отладки. Да Да Да

Расширенные команды

Для ролей пользователей, которым предоставляется возможность выполнять расширенные команды динамического ответа, доступны следующие команды. Дополнительные сведения о назначениях ролей см. в разделе Create ролей и управление ими.

Команда Описание Windows и Windows Server macOS Linux
analyze Анализирует сущность с различными механизмами инкриминации для вынесения вердикта. Да Нет Нет
collect Собирает пакет криминалистики с устройства. Нет Да Да
isolate Отключает устройство от сети, сохраняя подключение к службе Defender для конечной точки. Нет Да Нет
release Освобождает устройство от сетевой изоляции. Нет Да Нет
run Выполняет скрипт PowerShell из библиотеки на устройстве. Да Да Да
library Списки файлы, отправленные в библиотеку динамических ответов. Да Да Да
putfile Помещает файл из библиотеки на устройство. Файлы сохраняются в рабочей папке и удаляются при перезапуске устройства по умолчанию. Да Да Да
remediate Исправляет сущность на устройстве. Действие исправления зависит от типа сущности:
— Файл: удаление
— Процесс: остановка, удаление файла образа
— Служба: остановка, удаление файла изображения
— Запись реестра: delete
— Запланированная задача: удаление
— Элемент папки запуска: удаление файла

У этой команды есть команда предварительных требований. Вы можете использовать команду в сочетании -auto с исправлением для автоматического выполнения команды предварительных требований.		 Да Да Да
scan Запускает быструю антивирусную проверку для выявления и устранения вредоносных программ. Нет Да Да
undo Восстанавливает сущность, которая была исправлена. Да Нет Нет

Примечание.

Для команды динамического putfile ответа применяются следующие ограничения на размер файлов:

  • Windows: 300 МБ
  • Другие платформы: 10 МБ

Использование команд динамического ответа

Команды, которые можно использовать в консоли, следуют тем же принципам, что и команды Windows.

Расширенные команды предлагают более надежный набор действий, которые позволяют выполнять более эффективные действия, такие как скачивание и отправка файла, выполнение скриптов на устройстве и выполнение действий по исправлению сущности.

Получение файла с устройства

В сценариях, когда вы хотите получить файл с исследуемого устройства, можно использовать getfile команду . Это позволяет сохранить файл с устройства для дальнейшего изучения.

Примечание.

Применяются следующие ограничения на размер файлов:

  • getfile ограничение: 3 ГБ
  • fileinfo ограничение: 30 ГБ
  • library ограничение: 250 МБ

Скачивание файла в фоновом режиме

Чтобы группа по операциям безопасности продолжала исследовать затронутое устройство, файлы теперь можно скачивать в фоновом режиме.

  • Чтобы скачать файл в фоновом режиме, в командной консоли динамического ответа введите download <file_path> &.
  • Если вы ожидаете скачивания файла, его можно переместить в фоновый режим с помощью клавиш CTRL+Z.
  • Чтобы перенести скачанный файл на передний план, в командной консоли динамического ответа введите fg <command_id>.

Ниже приводятся примеры:

Command Что делает
getfile "C:\windows\some_file.exe" & Начинает скачивание файла с именемsome_file.exe в фоновом режиме.
fg 1234 Возвращает скачивание с идентификатором команды 1234 на передний план.

Поместите файл в библиотеку

Динамический ответ содержит библиотеку, в которой можно поместить файлы. В библиотеке хранятся файлы (например, скрипты), которые можно запустить в сеансе динамического реагирования на уровне клиента.

Динамический ответ позволяет выполнять скрипты PowerShell, однако сначала необходимо поместить файлы в библиотеку, прежде чем их можно будет запустить.

Вы можете иметь коллекцию сценариев PowerShell, которые могут выполняться на устройствах, с которыми вы инициируете динамические сеансы ответа.

Отправка файла в библиотеку

  1. Щелкните Отправить файл в библиотеку.

  2. Нажмите кнопку Обзор и выберите файл.

  3. Укажите краткое описание.

  4. Укажите, нужно ли перезаписать файл с тем же именем.

  5. Если вы хотите быть, узнайте, какие параметры необходимы для скрипта, выберите параметры скрипта проверка поле. В текстовом поле введите пример и описание.

  6. Нажмите кнопку Подтвердить.

  7. (Необязательно) Чтобы убедиться, что файл отправлен в библиотеку, выполните library команду .

Отмена команды

В любое время во время сеанса можно отменить команду, нажав клавиши CTRL+C.

Предупреждение

Использование этого ярлыка не приведет к остановке команды на стороне агента. Команда будет отменена только на портале. Таким образом, операции изменения, такие как "исправление", могут продолжаться, пока команда будет отменена.

Запуск сценария

Перед запуском скрипта PowerShell или Bash необходимо сначала отправить его в библиотеку.

После отправки скрипта в библиотеку используйте run команду для запуска скрипта.

Если вы планируете использовать неподписанный скрипт PowerShell в сеансе, необходимо включить этот параметр на странице Параметры дополнительных функций .

Предупреждение

Если вы разрешаете использовать неподписанные скрипты, вы можете повысить уязвимость к угрозам.

Применение параметров команды

  • Просмотрите справку по консоли, чтобы узнать о параметрах команд. Чтобы узнать об отдельной команде, выполните следующую команду:

    help <command name>

  • При применении параметров к командам обратите внимание, что параметры обрабатываются на основе фиксированного порядка:

    <command name> param1 param2

  • При указании параметров вне фиксированного порядка укажите имя параметра с дефисом перед указанием значения:

    <command name> -param2_name param2

  • При использовании команд, имеющих необходимые команды, можно использовать флаги:

    <command name> -type file -id <file path> - auto

    или

    remediate file <file path> - auto`

Поддерживаемые типы выходных данных

Динамический ответ поддерживает типы выходных данных в формате таблиц и JSON. Для каждой команды есть поведение вывода по умолчанию. Вы можете изменить выходные данные в предпочитаемом формате вывода с помощью следующих команд:

  • -output json
  • -output table

Примечание.

Меньшее число полей отображается в табличном формате из-за ограниченного пространства. Чтобы просмотреть дополнительные сведения в выходных данных, можно использовать команду выходных данных JSON, чтобы отображались дополнительные сведения.

Поддерживаемые выходные каналы

Динамический ответ поддерживает отправку выходных данных в интерфейс командной строки и файл. Интерфейс командной строки — это поведение выходных данных по умолчанию. Выходные данные можно передать в файл с помощью следующей команды: [command] > [имя_файла].txt.

Пример:

processes > output.txt

Просмотр журнала команд

Перейдите на вкладку Журнал команд , чтобы просмотреть команды, используемые на устройстве во время сеанса. Каждая команда отслеживается с помощью полных сведений, таких как:

  • ИД
  • Командная строка
  • Duration (Длительность)
  • Состояние и входные или выходные данные боковой панели

Ограничения

  • Сеансы динамического реагирования ограничены 25 сеансами динамического реагирования за раз.
  • Неактивное время ожидания сеанса динамического ответа — 30 минут.
  • Отдельные команды динамического ответа имеют ограничение времени в 10 минут, за исключением getfile, findfileи run, которые имеют ограничение в 30 минут.
  • Пользователь может инициировать до 10 одновременных сеансов.
  • Устройство может находиться только в одном сеансе одновременно.
  • Применяются следующие ограничения на размер файлов:
    • getfile ограничение: 3 ГБ
    • fileinfo ограничение: 30 ГБ
    • library ограничение: 250 МБ

Связанная статья

Совет

Хотите узнать больше? Engage с сообществом Microsoft Security в нашем техническом сообществе: Microsoft Defender для конечной точки Техническое сообщество.