Undersöka entiteter på enheter med livesvar

Gäller för:

• Microsoft Defender för Endpoint Abonnemang 2
• Microsoft Defender XDR

Vill du uppleva Microsoft Defender för Endpoint? Registrera dig för en kostnadsfri utvärderingsversion.

Livesvar ger säkerhetsåtgärdsteam omedelbar åtkomst till en enhet (kallas även en dator) med hjälp av en fjärrgränssnittsanslutning. Livesvar ger dig befogenhet att utföra djupgående utredningsarbete och vidta omedelbara åtgärder för att snabbt begränsa identifierade hot i realtid.

Livesvar är utformat för att förbättra utredningarna genom att göra det möjligt för ditt säkerhetsteam att samla in kriminaltekniska data, köra skript, skicka misstänkta entiteter för analys, åtgärda hot och proaktivt jaga nya hot.

Med livesvar kan analytiker utföra alla följande uppgifter:

• Kör grundläggande och avancerade kommandon för att utföra undersökande arbete på en enhet.
• Ladda ned filer som exempel på skadlig kod och resultat av PowerShell-skript.
• Ladda ned filer i bakgrunden (ny!).
• Ladda upp ett PowerShell-skript eller en körbar fil till biblioteket och kör det på en enhet från klientorganisationsnivå.
• Vidta eller ångra reparationsåtgärder.

Innan du börjar

Innan du kan starta en session på en enhet måste du uppfylla följande krav:

• Kontrollera att du kör en version av Windows som stöds.

  Enheterna måste köra någon av följande versioner av Windows

  • Windows 10 & 11

    • Version 1909 eller senare
    • Version 1903 med KB4515384
    • Version 1809 (RS 5) med KB4537818
    • Version 1803 (RS 4) med KB4537795
    • Version 1709 (RS 3) med KB4537816

  • macOS – Lägsta version som krävs: 101.43.84. Stöds för Intel-baserade och ARM-baserade macOS-enheter.

  • Linux – Lägsta version som krävs: 101.45.13

  • Windows Server 2012 R2 – med KB5005292

  • Windows Server 2016 - med KB5005292

    Obs!

    För Windows Server 2012R2 eller 2016 måste du ha Unified Agent installerat och vi rekommenderar att du korrigerar till den senaste sensorversionen med KB5005292.

  • Windows Server 2019

    • Version 1903 eller (med KB4515384) senare
    • Version 1809 (med KB4537818)

  • Windows Server 2022

• Aktivera livesvar från sidan avancerade inställningar.

  Du måste aktivera funktionen för livesvar på sidan Inställningar för avancerade funktioner .

  Obs!

  Endast administratörer och användare som har behörigheten "Hantera portalinställningar" kan aktivera livesvar.

• Aktivera livesvar för servrar från sidan avancerade inställningar (rekommenderas).

  Obs!

  Endast administratörer och användare som har behörigheten "Hantera portalinställningar" kan aktivera livesvar.

• Aktivera körning av osignerade skript för livesvar (valfritt).

  Viktigt

  Signaturverifiering gäller endast för PowerShell-skript.

  Varning

  Om du tillåter användning av osignerade skript kan du öka din exponering för hot.

  Att köra osignerade skript rekommenderas inte eftersom det kan öka din exponering för hot. Om du måste använda dem måste du dock aktivera inställningen på sidan Inställningar för avancerade funktioner .

• Kontrollera att du har rätt behörigheter.

  Endast användare som har etablerats med lämpliga behörigheter kan initiera en session. Mer information om rolltilldelningar finns i Skapa och hantera roller.

  Viktigt

  Alternativet att ladda upp en fil till biblioteket är bara tillgängligt för användare med behörigheten "Hantera säkerhetsinställningar". Knappen är nedtonad för användare med endast delegerade behörigheter.

  Beroende på vilken roll som har beviljats dig kan du köra grundläggande eller avancerade live-svarskommandon. Användarbehörigheter styrs av en anpassad RBAC-roll.

Översikt över instrumentpanelen för livesvar

När du initierar en live-svarssession på en enhet öppnas en instrumentpanel. Instrumentpanelen innehåller information om sessionen, till exempel följande:

• Vem som skapade sessionen
• När sessionen startades
• Sessionens varaktighet

Instrumentpanelen ger dig också åtkomst till:

• Koppla från session
• Ladda upp filer till biblioteket
• Kommandokonsol
• Kommandologg

Initiera en live-svarssession på en enhet

Obs!

Livesvarsåtgärder som initieras från sidan Enhet är inte tillgängliga i API:et machineactions.

1. Logga in på Microsoft Defender portalen.

2. Gå till Slutpunkter > Enhetsinventering och välj en enhet att undersöka. Sidan Enheter öppnas.

3. Starta live-svarssessionen genom att välja Initiera livesvarssession. En kommandokonsol visas. Vänta medan sessionen ansluter till enheten.

4. Använd de inbyggda kommandona för att utföra undersökande arbete. Mer information finns i Live-svarskommandon.

5. När du har slutfört undersökningen väljer du Koppla från session och sedan Bekräfta.

Live-svarskommandon

Beroende på vilken roll som har beviljats dig kan du köra grundläggande eller avancerade live-svarskommandon. Användarbehörigheter styrs av anpassade RBAC-roller. Mer information om rolltilldelningar finns i Skapa och hantera roller.

Obs!

Livesvar är ett molnbaserat interaktivt gränssnitt, vilket gör att den specifika kommandoupplevelsen kan variera i svarstiden beroende på nätverkskvalitet och systembelastning mellan slutanvändaren och målenheten.

Grundläggande kommandon

Följande kommandon är tillgängliga för användarroller som beviljas möjlighet att köra grundläggande livesvarskommandon. Mer information om rolltilldelningar finns i Skapa och hantera roller.

Kommando	Beskrivning	Windows och Windows Server	macOS	Linux
cd	Ändrar den aktuella katalogen.	J	J	J
cls	Rensar konsolskärmen.	J	J	J
connect	Initierar en live-svarssession till enheten.	J	J	J
connections	Visar alla aktiva anslutningar.	J	N	N
dir	Visar en lista över filer och underkataloger i en katalog.	J	J	J
drivers	Visar alla drivrutiner som är installerade på enheten.	J	N	N
fg <command ID>	Placera det angivna jobbet i förgrunden, vilket gör det till det aktuella jobbet. Observera att fg tar en command ID tillgänglig från jobb, inte en PID.	J	J	J
fileinfo	Hämta information om en fil.	J	J	J
findfile	Letar upp filer med ett angivet namn på enheten.	J	J	J
getfile <file_path>	Laddar ned en fil.	J	J	J
help	Innehåller hjälpinformation för live-svarskommandon.	J	J	J
jobs	Visar jobb som körs, deras ID och status.	J	J	J
persistence	Visar alla kända beständighetsmetoder på enheten.	J	N	N
processes	Visar alla processer som körs på enheten.	J	J	J
registry	Visar registervärden.	J	N	N
scheduledtasks	Visar alla schemalagda aktiviteter på enheten.	J	N	N
services	Visar alla tjänster på enheten.	J	N	N
startupfolders	Visar alla kända filer i startmappar på enheten.	J	N	N
status	Visar status och utdata för ett specifikt kommando.	J	J	J
trace	Anger att terminalens loggningsläge ska felsökas.	J	J	J

Avancerade kommandon

Följande kommandon är tillgängliga för användarroller som beviljas möjlighet att köra avancerade livesvarskommandon. Mer information om rolltilldelningar finns i Skapa och hantera roller.

Kommando	Beskrivning	Windows och Windows Server	macOS	Linux
analyze	Analyserar entiteten med olika beskyllningsmotorer för att nå en dom.	J	N	N
collect	Samlar in kriminaltekniska paket från enheten.	N	J	J
isolate	Kopplar från enheten från nätverket samtidigt som anslutningen till Tjänsten Defender för Endpoint behålls.	N	J	N
release	Frigör en enhet från nätverksisolering.	N	J	N
run	Kör ett PowerShell-skript från biblioteket på enheten.	J	J	J
library	Listor filer som har laddats upp till livesvarsbiblioteket.	J	J	J
putfile	Placerar en fil från biblioteket till enheten. Filer sparas i en arbetsmapp och tas bort när enheten startas om som standard.	J	J	J
remediate	Åtgärdar en entitet på enheten. Reparationsåtgärden varierar beroende på entitetstyp: – Fil: ta bort – Process: stoppa, ta bort bildfil – Tjänst: stoppa, ta bort bildfil – Registerpost: ta bort – Schemalagd aktivitet: ta bort – Objekt i startmappen: ta bort fil Det här kommandot har ett kravkommando. Du kan använda -auto kommandot tillsammans med remediate för att automatiskt köra det nödvändiga kommandot.	J	J	J
scan	Kör en snabb antivirusgenomsökning för att identifiera och åtgärda skadlig kod.	N	J	J
undo	Återställer en entitet som har åtgärdats.	J	N	N

Obs!

Följande filstorleksgränser gäller för putfile live-svarskommandot:

• Windows: 300 MB
• Andra plattformar: 10 MB

Använda live-svarskommandon

De kommandon som du kan använda i -konsolen följer liknande principer som Windows-kommandon.

De avancerade kommandona erbjuder en mer robust uppsättning åtgärder som gör att du kan vidta mer kraftfulla åtgärder, till exempel ladda ned och ladda upp en fil, köra skript på enheten och vidta åtgärder på en entitet.

Hämta en fil från enheten

För scenarier där du vill hämta en fil från en enhet som du undersöker kan du använda getfile kommandot . På så sätt kan du spara filen från enheten för vidare undersökning.

Obs!

Följande filstorleksgränser gäller:

• getfile gräns: 3 GB
• fileinfo gräns: 30 GB
• library gräns: 250 MB

Ladda ned en fil i bakgrunden

För att ditt säkerhetsteam ska kunna fortsätta undersöka en enhet som påverkas kan filer nu laddas ned i bakgrunden.

• Om du vill ladda ned en fil i bakgrunden skriver du i kommandokonsolen download <file_path> &för livesvar .
• Om du väntar på att en fil ska laddas ned kan du flytta den till bakgrunden med hjälp av Ctrl + Z.
• Om du vill hämta en fil till förgrunden skriver du i kommandokonsolen fg <command_id>för livesvar .

Här är några exempel:

Kommando	Vad den gör
getfile "C:\windows\some_file.exe" &	Börjar ladda ned en fil med namnet some_file.exe i bakgrunden.
fg 1234	Returnerar en nedladdning med kommando-ID 1234 till förgrunden.

Placera en fil i biblioteket

Livesvaret har ett bibliotek där du kan placera filer i. Biblioteket lagrar filer (till exempel skript) som kan köras i en live-svarssession på klientorganisationsnivå.

Live-svar gör att PowerShell-skript kan köras, men du måste först placera filerna i biblioteket innan du kan köra dem.

Du kan ha en samling PowerShell-skript som kan köras på enheter som du initierar live-svarssessioner med.

Ladda upp en fil i biblioteket

1. Klicka på Ladda upp fil till bibliotek.

2. Klicka på Bläddra och välj filen.

3. Ange en kort beskrivning.

4. Ange om du vill skriva över en fil med samma namn.

5. Om du vill veta vilka parametrar som behövs för skriptet markerar du kryssrutan skriptparametrar. I textfältet anger du ett exempel och en beskrivning.

6. Klicka på Bekräfta.

7. (Valfritt) Kontrollera att filen har laddats upp till biblioteket genom att library köra kommandot .

Avbryt ett kommando

När som helst under en session kan du avbryta ett kommando genom att trycka på CTRL + C.

Varning

Om du använder den här genvägen stoppas inte kommandot på agentsidan. Kommandot avbryts bara i portalen. Därför kan ändringar av åtgärder som "reparation" fortsätta medan kommandot avbryts.

Kör ett skript

Innan du kan köra ett PowerShell/Bash-skript måste du först ladda upp det till biblioteket.

När du har laddat upp skriptet till biblioteket använder du run kommandot för att köra skriptet.

Om du planerar att använda ett osignerat PowerShell-skript i sessionen måste du aktivera inställningen på sidan Avancerade inställningar för funktioner .

Varning

Om du tillåter användning av osignerade skript kan du öka din exponering för hot.

Använda kommandoparametrar

• Visa konsolhjälpen om du vill veta mer om kommandoparametrar. Om du vill veta mer om ett enskilt kommando kör du:

  help <command name>
  

• Observera att parametrar hanteras baserat på en fast ordning när parametrar tillämpas på kommandon:

  <command name> param1 param2
  

• När du anger parametrar utanför den fasta ordningen anger du namnet på parametern med ett bindestreck innan du anger värdet:

  <command name> -param2_name param2
  

• När du använder kommandon som har nödvändiga kommandon kan du använda flaggor:

  <command name> -type file -id <file path> - auto
  

  eller

  remediate file <file path> - auto`
  

Utdatatyper som stöds

Live-svar stöder utdatatyper för tabell- och JSON-format. För varje kommando finns det ett standardbeteende för utdata. Du kan ändra utdata i önskat utdataformat med hjälp av följande kommandon:

• -output json
• -output table

Obs!

Färre fält visas i tabellformat på grund av det begränsade utrymmet. Om du vill se mer information i utdata kan du använda JSON-utdatakommandot så att mer information visas.

Utdatapipor som stöds

Livesvar stöder utdatapipa till CLI och fil. CLI är standardbeteendet för utdata. Du kan skicka utdata till en fil med följande kommando: [kommando] > [filnamn].txt.

Exempel:

processes > output.txt

Visa kommandologgen

Välj fliken Kommandologg för att se de kommandon som används på enheten under en session. Varje kommando spåras med fullständig information, till exempel:

• ID
• Kommandoraden
• Varaktighet
• Sidofält för status och indata eller utdata

Begränsningar

• Livesvarssessioner är begränsade till 25 live-svarssessioner åt gången.
• Tidsgränsvärdet för livesvarssessionen är 30 minuter.
• Enskilda live-svarskommandon har en tidsgräns på 10 minuter, med undantag för getfile, findfileoch run, som har en gräns på 30 minuter.
• En användare kan initiera upp till 10 samtidiga sessioner.
• En enhet kan bara vara i en session i taget.
• Följande filstorleksgränser gäller:
  • getfile gräns: 3 GB
  • fileinfo gräns: 30 GB
  • library gräns: 250 MB

Relaterad artikel

• Kommandoexempel för livesvar

Tips

Vill du veta mer? Engage med Microsofts säkerhetscommunity i vår Tech Community: Microsoft Defender för Endpoint Tech Community.