Undersöka entiteter på enheter med livesvar

Gäller för:

Vill du uppleva Microsoft Defender för Endpoint? Registrera dig för en kostnadsfri utvärderingsversion.

Livesvar ger säkerhetsåtgärdsteam omedelbar åtkomst till en enhet (kallas även en dator) med hjälp av en fjärrgränssnittsanslutning. Livesvar ger dig befogenhet att utföra djupgående utredningsarbete och vidta omedelbara åtgärder för att snabbt begränsa identifierade hot i realtid.

Livesvar är utformat för att förbättra utredningarna genom att göra det möjligt för ditt säkerhetsteam att samla in kriminaltekniska data, köra skript, skicka misstänkta entiteter för analys, åtgärda hot och proaktivt jaga nya hot.

Med livesvar kan analytiker utföra alla följande uppgifter:

  • Kör grundläggande och avancerade kommandon för att utföra undersökande arbete på en enhet.
  • Ladda ned filer som exempel på skadlig kod och resultat av PowerShell-skript.
  • Ladda ned filer i bakgrunden (ny!).
  • Ladda upp ett PowerShell-skript eller en körbar fil till biblioteket och kör det på en enhet från klientorganisationsnivå.
  • Vidta eller ångra reparationsåtgärder.

Innan du börjar

Innan du kan starta en session på en enhet måste du uppfylla följande krav:

  • Kontrollera att du kör en version av Windows som stöds.

    Enheterna måste köra någon av följande versioner av Windows

  • Aktivera livesvar från sidan avancerade inställningar.

    Du måste aktivera funktionen för livesvar på sidan Inställningar för avancerade funktioner .

    Anteckning

    Endast administratörer och användare som har behörigheten "Hantera portalinställningar" kan aktivera livesvar.

  • Aktivera livesvar för servrar från sidan avancerade inställningar (rekommenderas).

    Anteckning

    Endast administratörer och användare som har behörigheten "Hantera portalinställningar" kan aktivera livesvar.

  • Aktivera körning av osignerade skript för livesvar (valfritt).

    Viktigt

    Signaturverifiering gäller endast för PowerShell-skript.

    Varning

    Om du tillåter användning av osignerade skript kan du öka din exponering för hot.

    Att köra osignerade skript rekommenderas inte eftersom det kan öka din exponering för hot. Om du måste använda dem måste du dock aktivera inställningen på sidan Inställningar för avancerade funktioner .

  • Kontrollera att du har rätt behörigheter.

    Endast användare som har etablerats med lämpliga behörigheter kan initiera en session. Mer information om rolltilldelningar finns i Skapa och hantera roller.

    Viktigt

    Alternativet att ladda upp en fil till biblioteket är bara tillgängligt för användare med behörigheten "Hantera säkerhetsinställningar". Knappen är nedtonad för användare med endast delegerade behörigheter.

    Beroende på vilken roll som har beviljats dig kan du köra grundläggande eller avancerade live-svarskommandon. Användarbehörigheter styrs av en anpassad RBAC-roll.

Översikt över instrumentpanelen för livesvar

När du initierar en live-svarssession på en enhet öppnas en instrumentpanel. Instrumentpanelen innehåller information om sessionen, till exempel följande:

  • Vem som skapade sessionen
  • När sessionen startades
  • Sessionens varaktighet

Instrumentpanelen ger dig också åtkomst till:

  • Koppla från session
  • Ladda upp filer till biblioteket
  • Kommandokonsol
  • Kommandologg

Initiera en live-svarssession på en enhet

Anteckning

Livesvarsåtgärder som initieras från sidan Enhet är inte tillgängliga i API:et machineactions.

  1. Logga in på Microsoft Defender portalen.

  2. Gå till Slutpunkter > Enhetsinventering och välj en enhet att undersöka. Sidan Enheter öppnas.

  3. Starta live-svarssessionen genom att välja Initiera livesvarssession. En kommandokonsol visas. Vänta medan sessionen ansluter till enheten.

  4. Använd de inbyggda kommandona för att utföra undersökande arbete. Mer information finns i Live-svarskommandon.

  5. När du har slutfört undersökningen väljer du Koppla från session och sedan Bekräfta.

Live-svarskommandon

Beroende på vilken roll som har beviljats dig kan du köra grundläggande eller avancerade live-svarskommandon. Användarbehörigheter styrs av anpassade RBAC-roller. Mer information om rolltilldelningar finns i Skapa och hantera roller.

Anteckning

Livesvar är ett molnbaserat interaktivt gränssnitt, vilket gör att den specifika kommandoupplevelsen kan variera i svarstiden beroende på nätverkskvalitet och systembelastning mellan slutanvändaren och målenheten.

Grundläggande kommandon

Följande kommandon är tillgängliga för användarroller som beviljas möjlighet att köra grundläggande livesvarskommandon. Mer information om rolltilldelningar finns i Skapa och hantera roller.

Kommando Beskrivning Windows och Windows Server macOS Linux
cd Ändrar den aktuella katalogen. J J J
cls Rensar konsolskärmen. J J J
connect Initierar en live-svarssession till enheten. J J J
connections Visar alla aktiva anslutningar. J N N
dir Visar en lista över filer och underkataloger i en katalog. J J J
drivers Visar alla drivrutiner som är installerade på enheten. J N N
fg <command ID> Placera det angivna jobbet i förgrunden, vilket gör det till det aktuella jobbet. Observera att fg tar en command ID tillgänglig från jobb, inte en PID. J J J
fileinfo Hämta information om en fil. J J J
findfile Letar upp filer med ett angivet namn på enheten. J J J
getfile <file_path> Laddar ned en fil. J J J
help Innehåller hjälpinformation för live-svarskommandon. J J J
jobs Visar jobb som körs, deras ID och status. J J J
persistence Visar alla kända beständighetsmetoder på enheten. J N N
processes Visar alla processer som körs på enheten. J J J
registry Visar registervärden. J N N
scheduledtasks Visar alla schemalagda aktiviteter på enheten. J N N
services Visar alla tjänster på enheten. J N N
startupfolders Visar alla kända filer i startmappar på enheten. J N N
status Visar status och utdata för ett specifikt kommando. J J J
trace Anger att terminalens loggningsläge ska felsökas. J J J

Avancerade kommandon

Följande kommandon är tillgängliga för användarroller som beviljas möjlighet att köra avancerade livesvarskommandon. Mer information om rolltilldelningar finns i Skapa och hantera roller.

Kommando Beskrivning Windows och Windows Server macOS Linux
analyze Analyserar entiteten med olika beskyllningsmotorer för att nå en dom. J N N
collect Samlar in kriminaltekniska paket från enheten. N J J
isolate Kopplar från enheten från nätverket samtidigt som anslutningen till Tjänsten Defender för Endpoint behålls. N J N
release Frigör en enhet från nätverksisolering. N J N
run Kör ett PowerShell-skript från biblioteket på enheten. J J J
library Listor filer som har laddats upp till livesvarsbiblioteket. J J J
putfile Placerar en fil från biblioteket till enheten. Filer sparas i en arbetsmapp och tas bort när enheten startas om som standard. J J J
remediate Åtgärdar en entitet på enheten. Reparationsåtgärden varierar beroende på entitetstyp:
– Fil: ta bort
– Process: stoppa, ta bort bildfil
– Tjänst: stoppa, ta bort bildfil
– Registerpost: ta bort
– Schemalagd aktivitet: ta bort
– Objekt i startmappen: ta bort fil

Det här kommandot har ett kravkommando. Du kan använda -auto kommandot tillsammans med remediate för att automatiskt köra det nödvändiga kommandot.
J J J
scan Kör en snabb antivirusgenomsökning för att identifiera och åtgärda skadlig kod. N J J
undo Återställer en entitet som har åtgärdats. J N N

Anteckning

Följande filstorleksgränser gäller för putfile live-svarskommandot:

  • Windows: 300 MB
  • Andra plattformar: 10 MB

Använda live-svarskommandon

De kommandon som du kan använda i -konsolen följer liknande principer som Windows-kommandon.

De avancerade kommandona erbjuder en mer robust uppsättning åtgärder som gör att du kan vidta mer kraftfulla åtgärder, till exempel ladda ned och ladda upp en fil, köra skript på enheten och vidta åtgärder på en entitet.

Hämta en fil från enheten

För scenarier där du vill hämta en fil från en enhet som du undersöker kan du använda getfile kommandot . På så sätt kan du spara filen från enheten för vidare undersökning.

Anteckning

Följande filstorleksgränser gäller:

  • getfile gräns: 3 GB
  • fileinfo gräns: 30 GB
  • library gräns: 250 MB

Ladda ned en fil i bakgrunden

För att ditt säkerhetsteam ska kunna fortsätta undersöka en enhet som påverkas kan filer nu laddas ned i bakgrunden.

  • Om du vill ladda ned en fil i bakgrunden skriver du i kommandokonsolen download <file_path> &för livesvar .
  • Om du väntar på att en fil ska laddas ned kan du flytta den till bakgrunden med hjälp av Ctrl + Z.
  • Om du vill hämta en fil till förgrunden skriver du i kommandokonsolen fg <command_id>för livesvar .

Här är några exempel:

Kommando Vad den gör
getfile "C:\windows\some_file.exe" & Börjar ladda ned en fil med namnet some_file.exe i bakgrunden.
fg 1234 Returnerar en nedladdning med kommando-ID 1234 till förgrunden.

Placera en fil i biblioteket

Livesvaret har ett bibliotek där du kan placera filer i. Biblioteket lagrar filer (till exempel skript) som kan köras i en live-svarssession på klientorganisationsnivå.

Live-svar gör att PowerShell-skript kan köras, men du måste först placera filerna i biblioteket innan du kan köra dem.

Du kan ha en samling PowerShell-skript som kan köras på enheter som du initierar live-svarssessioner med.

Ladda upp en fil i biblioteket

  1. Klicka på Ladda upp fil till bibliotek.

  2. Klicka på Bläddra och välj filen.

  3. Ange en kort beskrivning.

  4. Ange om du vill skriva över en fil med samma namn.

  5. Om du vill veta vilka parametrar som behövs för skriptet markerar du kryssrutan skriptparametrar. I textfältet anger du ett exempel och en beskrivning.

  6. Klicka på Bekräfta.

  7. (Valfritt) Kontrollera att filen har laddats upp till biblioteket genom att library köra kommandot .

Avbryt ett kommando

När som helst under en session kan du avbryta ett kommando genom att trycka på CTRL + C.

Varning

Om du använder den här genvägen stoppas inte kommandot på agentsidan. Kommandot avbryts bara i portalen. Därför kan ändringar av åtgärder som "reparation" fortsätta medan kommandot avbryts.

Kör ett skript

Innan du kan köra ett PowerShell/Bash-skript måste du först ladda upp det till biblioteket.

När du har laddat upp skriptet till biblioteket använder du run kommandot för att köra skriptet.

Om du planerar att använda ett osignerat PowerShell-skript i sessionen måste du aktivera inställningen på sidan Avancerade inställningar för funktioner .

Varning

Om du tillåter användning av osignerade skript kan du öka din exponering för hot.

Använda kommandoparametrar

  • Visa konsolhjälpen om du vill veta mer om kommandoparametrar. Om du vill veta mer om ett enskilt kommando kör du:

    help <command name>
    
  • Observera att parametrar hanteras baserat på en fast ordning när parametrar tillämpas på kommandon:

    <command name> param1 param2
    
  • När du anger parametrar utanför den fasta ordningen anger du namnet på parametern med ett bindestreck innan du anger värdet:

    <command name> -param2_name param2
    
  • När du använder kommandon som har nödvändiga kommandon kan du använda flaggor:

    <command name> -type file -id <file path> - auto
    

    eller

    remediate file <file path> - auto`
    

Utdatatyper som stöds

Live-svar stöder utdatatyper för tabell- och JSON-format. För varje kommando finns det ett standardbeteende för utdata. Du kan ändra utdata i önskat utdataformat med hjälp av följande kommandon:

  • -output json
  • -output table

Anteckning

Färre fält visas i tabellformat på grund av det begränsade utrymmet. Om du vill se mer information i utdata kan du använda JSON-utdatakommandot så att mer information visas.

Utdatapipor som stöds

Livesvar stöder utdatapipa till CLI och fil. CLI är standardbeteendet för utdata. Du kan skicka utdata till en fil med följande kommando: [kommando] > [filnamn].txt.

Exempel:

processes > output.txt

Visa kommandologgen

Välj fliken Kommandologg för att se de kommandon som används på enheten under en session. Varje kommando spåras med fullständig information, till exempel:

  • ID
  • Kommandoraden
  • Varaktighet
  • Sidofält för status och indata eller utdata

Begränsningar

  • Livesvarssessioner är begränsade till 25 live-svarssessioner åt gången.
  • Tidsgränsvärdet för livesvarssessionen är 30 minuter.
  • Enskilda live-svarskommandon har en tidsgräns på 10 minuter, med undantag för getfile, findfileoch run, som har en gräns på 30 minuter.
  • En användare kan initiera upp till 10 samtidiga sessioner.
  • En enhet kan bara vara i en session i taget.
  • Följande filstorleksgränser gäller:
    • getfile gräns: 3 GB
    • fileinfo gräns: 30 GB
    • library gräns: 250 MB

Relaterad artikel

Tips

Vill du veta mer? Engage med Microsofts säkerhetscommunity i vår Tech Community: Microsoft Defender för Endpoint Tech Community.