Undersöka entiteter på enheter med livesvar
Gäller för:
Vill du uppleva Microsoft Defender för Endpoint? Registrera dig för en kostnadsfri utvärderingsversion.
Livesvar ger säkerhetsåtgärdsteam omedelbar åtkomst till en enhet (kallas även en dator) med hjälp av en fjärrgränssnittsanslutning. Livesvar ger dig befogenhet att utföra djupgående utredningsarbete och vidta omedelbara åtgärder för att snabbt begränsa identifierade hot i realtid.
Livesvar är utformat för att förbättra utredningarna genom att göra det möjligt för ditt säkerhetsteam att samla in kriminaltekniska data, köra skript, skicka misstänkta entiteter för analys, åtgärda hot och proaktivt jaga nya hot.
Med livesvar kan analytiker utföra alla följande uppgifter:
- Kör grundläggande och avancerade kommandon för att utföra undersökande arbete på en enhet.
- Ladda ned filer som exempel på skadlig kod och resultat av PowerShell-skript.
- Ladda ned filer i bakgrunden (ny!).
- Ladda upp ett PowerShell-skript eller en körbar fil till biblioteket och kör det på en enhet från klientorganisationsnivå.
- Vidta eller ångra reparationsåtgärder.
Innan du kan starta en session på en enhet måste du uppfylla följande krav:
Kontrollera att du kör en version av Windows som stöds.
Enheterna måste köra någon av följande versioner av Windows
Windows 10 & 11
- Version 1909 eller senare
- Version 1903 med KB4515384
- Version 1809 (RS 5) med KB4537818
- Version 1803 (RS 4) med KB4537795
- Version 1709 (RS 3) med KB4537816
macOS – Lägsta version som krävs: 101.43.84. Stöds för Intel-baserade och ARM-baserade macOS-enheter.
Linux – Lägsta version som krävs: 101.45.13
Windows Server 2012 R2 – med KB5005292
Windows Server 2016 - med KB5005292
Anteckning
För Windows Server 2012R2 eller 2016 måste du ha Unified Agent installerat och vi rekommenderar att du korrigerar till den senaste sensorversionen med KB5005292.
Windows Server 2019
Windows Server 2022
Aktivera livesvar från sidan avancerade inställningar.
Du måste aktivera funktionen för livesvar på sidan Inställningar för avancerade funktioner .
Anteckning
Endast administratörer och användare som har behörigheten "Hantera portalinställningar" kan aktivera livesvar.
Aktivera livesvar för servrar från sidan avancerade inställningar (rekommenderas).
Anteckning
Endast administratörer och användare som har behörigheten "Hantera portalinställningar" kan aktivera livesvar.
Aktivera körning av osignerade skript för livesvar (valfritt).
Viktigt
Signaturverifiering gäller endast för PowerShell-skript.
Varning
Om du tillåter användning av osignerade skript kan du öka din exponering för hot.
Att köra osignerade skript rekommenderas inte eftersom det kan öka din exponering för hot. Om du måste använda dem måste du dock aktivera inställningen på sidan Inställningar för avancerade funktioner .
Kontrollera att du har rätt behörigheter.
Endast användare som har etablerats med lämpliga behörigheter kan initiera en session. Mer information om rolltilldelningar finns i Skapa och hantera roller.
Viktigt
Alternativet att ladda upp en fil till biblioteket är bara tillgängligt för användare med behörigheten "Hantera säkerhetsinställningar". Knappen är nedtonad för användare med endast delegerade behörigheter.
Beroende på vilken roll som har beviljats dig kan du köra grundläggande eller avancerade live-svarskommandon. Användarbehörigheter styrs av en anpassad RBAC-roll.
När du initierar en live-svarssession på en enhet öppnas en instrumentpanel. Instrumentpanelen innehåller information om sessionen, till exempel följande:
- Vem som skapade sessionen
- När sessionen startades
- Sessionens varaktighet
Instrumentpanelen ger dig också åtkomst till:
- Koppla från session
- Ladda upp filer till biblioteket
- Kommandokonsol
- Kommandologg
Anteckning
Livesvarsåtgärder som initieras från sidan Enhet är inte tillgängliga i API:et machineactions.
Logga in på Microsoft Defender portalen.
Gå till Slutpunkter > Enhetsinventering och välj en enhet att undersöka. Sidan Enheter öppnas.
Starta live-svarssessionen genom att välja Initiera livesvarssession. En kommandokonsol visas. Vänta medan sessionen ansluter till enheten.
Använd de inbyggda kommandona för att utföra undersökande arbete. Mer information finns i Live-svarskommandon.
När du har slutfört undersökningen väljer du Koppla från session och sedan Bekräfta.
Beroende på vilken roll som har beviljats dig kan du köra grundläggande eller avancerade live-svarskommandon. Användarbehörigheter styrs av anpassade RBAC-roller. Mer information om rolltilldelningar finns i Skapa och hantera roller.
Anteckning
Livesvar är ett molnbaserat interaktivt gränssnitt, vilket gör att den specifika kommandoupplevelsen kan variera i svarstiden beroende på nätverkskvalitet och systembelastning mellan slutanvändaren och målenheten.
Följande kommandon är tillgängliga för användarroller som beviljas möjlighet att köra grundläggande livesvarskommandon. Mer information om rolltilldelningar finns i Skapa och hantera roller.
Kommando | Beskrivning | Windows och Windows Server | macOS | Linux |
---|---|---|---|---|
cd |
Ändrar den aktuella katalogen. | J | J | J |
cls |
Rensar konsolskärmen. | J | J | J |
connect |
Initierar en live-svarssession till enheten. | J | J | J |
connections |
Visar alla aktiva anslutningar. | J | N | N |
dir |
Visar en lista över filer och underkataloger i en katalog. | J | J | J |
drivers |
Visar alla drivrutiner som är installerade på enheten. | J | N | N |
fg <command ID> |
Placera det angivna jobbet i förgrunden, vilket gör det till det aktuella jobbet. Observera att fg tar en command ID tillgänglig från jobb, inte en PID. |
J | J | J |
fileinfo |
Hämta information om en fil. | J | J | J |
findfile |
Letar upp filer med ett angivet namn på enheten. | J | J | J |
getfile <file_path> |
Laddar ned en fil. | J | J | J |
help |
Innehåller hjälpinformation för live-svarskommandon. | J | J | J |
jobs |
Visar jobb som körs, deras ID och status. | J | J | J |
persistence |
Visar alla kända beständighetsmetoder på enheten. | J | N | N |
processes |
Visar alla processer som körs på enheten. | J | J | J |
registry |
Visar registervärden. | J | N | N |
scheduledtasks |
Visar alla schemalagda aktiviteter på enheten. | J | N | N |
services |
Visar alla tjänster på enheten. | J | N | N |
startupfolders |
Visar alla kända filer i startmappar på enheten. | J | N | N |
status |
Visar status och utdata för ett specifikt kommando. | J | J | J |
trace |
Anger att terminalens loggningsläge ska felsökas. | J | J | J |
Följande kommandon är tillgängliga för användarroller som beviljas möjlighet att köra avancerade livesvarskommandon. Mer information om rolltilldelningar finns i Skapa och hantera roller.
Kommando | Beskrivning | Windows och Windows Server | macOS | Linux |
---|---|---|---|---|
analyze |
Analyserar entiteten med olika beskyllningsmotorer för att nå en dom. | J | N | N |
collect |
Samlar in kriminaltekniska paket från enheten. | N | J | J |
isolate |
Kopplar från enheten från nätverket samtidigt som anslutningen till Tjänsten Defender för Endpoint behålls. | N | J | N |
release |
Frigör en enhet från nätverksisolering. | N | J | N |
run |
Kör ett PowerShell-skript från biblioteket på enheten. | J | J | J |
library |
Listor filer som har laddats upp till livesvarsbiblioteket. | J | J | J |
putfile |
Placerar en fil från biblioteket till enheten. Filer sparas i en arbetsmapp och tas bort när enheten startas om som standard. | J | J | J |
remediate |
Åtgärdar en entitet på enheten. Reparationsåtgärden varierar beroende på entitetstyp: – Fil: ta bort – Process: stoppa, ta bort bildfil – Tjänst: stoppa, ta bort bildfil – Registerpost: ta bort – Schemalagd aktivitet: ta bort – Objekt i startmappen: ta bort fil Det här kommandot har ett kravkommando. Du kan använda -auto kommandot tillsammans med remediate för att automatiskt köra det nödvändiga kommandot. |
J | J | J |
scan |
Kör en snabb antivirusgenomsökning för att identifiera och åtgärda skadlig kod. | N | J | J |
undo |
Återställer en entitet som har åtgärdats. | J | N | N |
Anteckning
Följande filstorleksgränser gäller för putfile
live-svarskommandot:
- Windows: 300 MB
- Andra plattformar: 10 MB
De kommandon som du kan använda i -konsolen följer liknande principer som Windows-kommandon.
De avancerade kommandona erbjuder en mer robust uppsättning åtgärder som gör att du kan vidta mer kraftfulla åtgärder, till exempel ladda ned och ladda upp en fil, köra skript på enheten och vidta åtgärder på en entitet.
För scenarier där du vill hämta en fil från en enhet som du undersöker kan du använda getfile
kommandot . På så sätt kan du spara filen från enheten för vidare undersökning.
Anteckning
Följande filstorleksgränser gäller:
getfile
gräns: 3 GBfileinfo
gräns: 30 GBlibrary
gräns: 250 MB
För att ditt säkerhetsteam ska kunna fortsätta undersöka en enhet som påverkas kan filer nu laddas ned i bakgrunden.
- Om du vill ladda ned en fil i bakgrunden skriver du i kommandokonsolen
download <file_path> &
för livesvar . - Om du väntar på att en fil ska laddas ned kan du flytta den till bakgrunden med hjälp av Ctrl + Z.
- Om du vill hämta en fil till förgrunden skriver du i kommandokonsolen
fg <command_id>
för livesvar .
Här är några exempel:
Kommando | Vad den gör |
---|---|
getfile "C:\windows\some_file.exe" & |
Börjar ladda ned en fil med namnet some_file.exe i bakgrunden. |
fg 1234 |
Returnerar en nedladdning med kommando-ID 1234 till förgrunden. |
Livesvaret har ett bibliotek där du kan placera filer i. Biblioteket lagrar filer (till exempel skript) som kan köras i en live-svarssession på klientorganisationsnivå.
Live-svar gör att PowerShell-skript kan köras, men du måste först placera filerna i biblioteket innan du kan köra dem.
Du kan ha en samling PowerShell-skript som kan köras på enheter som du initierar live-svarssessioner med.
Klicka på Ladda upp fil till bibliotek.
Klicka på Bläddra och välj filen.
Ange en kort beskrivning.
Ange om du vill skriva över en fil med samma namn.
Om du vill veta vilka parametrar som behövs för skriptet markerar du kryssrutan skriptparametrar. I textfältet anger du ett exempel och en beskrivning.
Klicka på Bekräfta.
(Valfritt) Kontrollera att filen har laddats upp till biblioteket genom att
library
köra kommandot .
När som helst under en session kan du avbryta ett kommando genom att trycka på CTRL + C.
Varning
Om du använder den här genvägen stoppas inte kommandot på agentsidan. Kommandot avbryts bara i portalen. Därför kan ändringar av åtgärder som "reparation" fortsätta medan kommandot avbryts.
Innan du kan köra ett PowerShell/Bash-skript måste du först ladda upp det till biblioteket.
När du har laddat upp skriptet till biblioteket använder du run
kommandot för att köra skriptet.
Om du planerar att använda ett osignerat PowerShell-skript i sessionen måste du aktivera inställningen på sidan Avancerade inställningar för funktioner .
Varning
Om du tillåter användning av osignerade skript kan du öka din exponering för hot.
Visa konsolhjälpen om du vill veta mer om kommandoparametrar. Om du vill veta mer om ett enskilt kommando kör du:
help <command name>
Observera att parametrar hanteras baserat på en fast ordning när parametrar tillämpas på kommandon:
<command name> param1 param2
När du anger parametrar utanför den fasta ordningen anger du namnet på parametern med ett bindestreck innan du anger värdet:
<command name> -param2_name param2
När du använder kommandon som har nödvändiga kommandon kan du använda flaggor:
<command name> -type file -id <file path> - auto
eller
remediate file <file path> - auto`
Live-svar stöder utdatatyper för tabell- och JSON-format. För varje kommando finns det ett standardbeteende för utdata. Du kan ändra utdata i önskat utdataformat med hjälp av följande kommandon:
-output json
-output table
Anteckning
Färre fält visas i tabellformat på grund av det begränsade utrymmet. Om du vill se mer information i utdata kan du använda JSON-utdatakommandot så att mer information visas.
Livesvar stöder utdatapipa till CLI och fil. CLI är standardbeteendet för utdata. Du kan skicka utdata till en fil med följande kommando: [kommando] > [filnamn].txt.
Exempel:
processes > output.txt
Välj fliken Kommandologg för att se de kommandon som används på enheten under en session. Varje kommando spåras med fullständig information, till exempel:
- ID
- Kommandoraden
- Varaktighet
- Sidofält för status och indata eller utdata
- Livesvarssessioner är begränsade till 25 live-svarssessioner åt gången.
- Tidsgränsvärdet för livesvarssessionen är 30 minuter.
- Enskilda live-svarskommandon har en tidsgräns på 10 minuter, med undantag för
getfile
,findfile
ochrun
, som har en gräns på 30 minuter. - En användare kan initiera upp till 10 samtidiga sessioner.
- En enhet kan bara vara i en session i taget.
- Följande filstorleksgränser gäller:
getfile
gräns: 3 GBfileinfo
gräns: 30 GBlibrary
gräns: 250 MB
Tips
Vill du veta mer? Engage med Microsofts säkerhetscommunity i vår Tech Community: Microsoft Defender för Endpoint Tech Community.