Canlı yanıt kullanarak cihazlardaki varlıkları araştırma

Şunlar için geçerlidir:

• Uç Nokta için Microsoft Defender Planı 2
• Microsoft Defender XDR

Uç nokta için Defender'i deneyimlemek ister misiniz? Ücretsiz deneme için kaydolun.

Canlı yanıt, güvenlik operasyonları ekiplerine uzak kabuk bağlantısı kullanarak bir cihaza (makine olarak da adlandırılır) anında erişim sağlar. Canlı yanıt, ayrıntılı araştırma çalışmaları yapma ve belirlenen tehditleri anında gerçek zamanlı olarak içermek için anında yanıt eylemleri gerçekleştirme gücü sağlar.

Canlı yanıt, güvenlik operasyonları ekibinizin adli verileri toplamasına, betik çalıştırmasına, şüpheli varlıkları analiz için göndermesine, tehditleri düzeltmesine ve yeni ortaya çıkan tehditleri proaktif olarak avlamasına olanak tanıyarak araştırmalarınızı geliştirmek için tasarlanmıştır.

Analistler canlı yanıtla aşağıdaki görevlerin tümünü gerçekleştirebilir:

• Bir cihazda araştırma çalışması yapmak için temel ve gelişmiş komutları çalıştırın.
• Kötü amaçlı yazılım örnekleri ve PowerShell betiklerinin sonuçları gibi dosyaları indirin.
• Arka planda dosyaları indirin (yeni!).
• PowerShell betiğini veya yürütülebilir dosyasını kitaplığa yükleyin ve kiracı düzeyinden bir cihazda çalıştırın.
• Düzeltme eylemlerini gerçekleştirme veya geri alma.

Başlamadan önce

Bir cihazda oturum başlatabilmeniz için önce aşağıdaki gereksinimleri karşıladığınızdan emin olun:

• Windows'un desteklenen bir sürümünü çalıştırdığınızı doğrulayın.

  Cihazlar Windows'un aşağıdaki sürümlerinden birini çalıştırıyor olmalıdır

  • Windows 10 & 11

    • Sürüm 1909 veya üzeri
    • KB4515384 ile Sürüm 1903
    • KB4537818 ile sürüm 1809 (RS 5)
    • KB4537795 ile Sürüm 1803 (RS 4)
    • KB4537816 ile Sürüm 1709 (RS 3)

  • macOS - En düşük gerekli sürüm: 101.43.84. Intel tabanlı ve ARM tabanlı macOS cihazları için desteklenir.

  • Linux - En düşük gerekli sürüm: 101.45.13

  • Windows Server 2012 R2 - KB5005292 ile

  • Windows Server 2016 - KB5005292 ile

    Not

    Windows Server 2012R2 veya 2016 için Birleşik Aracı'nın yüklü olması gerekir ve KB5005292 ile en son algılayıcı sürümüne düzeltme eki uygulamanız önerilir.

  • Windows Server 2019

    • Sürüm 1903 veya ( KB4515384 ile) daha sonra
    • Sürüm 1809 ( KB4537818 ile)

  • Windows Server 2022

• Gelişmiş ayarlar sayfasından canlı yanıtı etkinleştirin.

  Gelişmiş özellikler ayarları sayfasında canlı yanıt özelliğini etkinleştirmeniz gerekir.

  Not

  Yalnızca "Portal Ayarlarını Yönet" izinlerine sahip yöneticiler ve kullanıcılar canlı yanıtı etkinleştirebilir.

• Gelişmiş ayarlar sayfasından sunucular için canlı yanıtı etkinleştirin (önerilir).

  Not

  Yalnızca "Portal Ayarlarını Yönet" izinlerine sahip yöneticiler ve kullanıcılar canlı yanıtı etkinleştirebilir.

• Canlı yanıt imzalanmamış betik yürütmeyi etkinleştirin (isteğe bağlı).

  Önemli

  İmza doğrulaması yalnızca PowerShell betikleri için geçerlidir.

  Uyarı

  İmzasız betiklerin kullanılmasına izin vermek, tehditlere maruz kalmanızı artırabilir.

  İmzasız betiklerin çalıştırılması önerilmez çünkü tehditlere maruz kalmanızı artırabilir. Ancak bunları kullanmanız gerekiyorsa, Gelişmiş özellikler ayarları sayfasında ayarı etkinleştirmeniz gerekir.

• Uygun izinlere sahip olduğunuzdan emin olun.

  Yalnızca uygun izinlerle sağlanan kullanıcılar oturum başlatabilir. Rol atamaları hakkında daha fazla bilgi için bkz. rolleri İçerik Oluşturucu ve yönetme.

  Önemli

  Bir dosyayı kitaplığa yükleme seçeneği yalnızca "Güvenlik Ayarlarını Yönet" iznine sahip kullanıcılar tarafından kullanılabilir. Düğme, yalnızca temsilci izinleri olan kullanıcılar için gri renktedir.

  Size verilen role bağlı olarak, temel veya gelişmiş canlı yanıt komutlarını çalıştırabilirsiniz. Kullanıcı izinleri RBAC özel rolü tarafından denetlenmektedir.

Canlı yanıt panosuna genel bakış

Bir cihazda canlı yanıt oturumu başlattığınızda bir pano açılır. Pano oturum hakkında aşağıdaki gibi bilgiler sağlar:

• Oturumu kim oluşturdu?
• Oturum başlatıldığında
• Oturumun süresi

Pano ayrıca aşağıdakilere erişmenizi sağlar:

• Oturumun bağlantısını kes
• Dosyaları kitaplığa yükleme
• Komut konsolu
• Komut günlüğü

Cihazda canlı yanıt oturumu başlatma

Not

Cihaz sayfasından başlatılan canlı yanıt eylemleri machineactions API'sinde kullanılamaz.

1. Microsoft Defender portalında oturum açın.

2. Uç Noktalar > Cihaz envanterine gidin ve araştıracak bir cihaz seçin. Cihazlar sayfası açılır.

3. Canlı yanıt oturumunu başlat'ı seçerek canlı yanıt oturumunu başlatın. Bir komut konsolu görüntülenir. Oturum cihaza bağlanırken bekleyin.

4. Araştırma çalışması yapmak için yerleşik komutları kullanın. Daha fazla bilgi için bkz . Canlı yanıt komutları.

5. Araştırmanızı tamamladıktan sonra Oturumu kes'i ve ardından Onayla'yı seçin.

Canlı yanıt komutları

Size verilen role bağlı olarak, temel veya gelişmiş canlı yanıt komutlarını çalıştırabilirsiniz. Kullanıcı izinleri RBAC özel rolleri tarafından denetlenmektedir. Rol atamaları hakkında daha fazla bilgi için bkz. rolleri İçerik Oluşturucu ve yönetme.

Not

Canlı yanıt bulut tabanlı etkileşimli bir kabuk olduğundan, belirli komut deneyimi son kullanıcı ile hedef cihaz arasındaki ağ kalitesine ve sistem yüküne bağlı olarak yanıt süresinde değişebilir.

Temel komutlar

Aşağıdaki komutlar, temel canlı yanıt komutlarını çalıştırma özelliği verilen kullanıcı rolleri için kullanılabilir. Rol atamaları hakkında daha fazla bilgi için bkz. rolleri İçerik Oluşturucu ve yönetme.

Komut	Açıklama	Windows ve Windows Server	macOS	Linux
cd	Geçerli dizini değiştirir.	E	E	E
cls	Konsol ekranını temizler.	E	E	E
connect	Cihaza canlı yanıt oturumu başlatır.	E	E	E
connections	Tüm etkin bağlantıları gösterir.	E	N	N
dir	Dizindeki dosyaların ve alt dizinlerin listesini gösterir.	E	E	E
drivers	Cihazda yüklü olan tüm sürücüleri gösterir.	E	N	N
fg <command ID>	Belirtilen işi ön plana yerleştirerek geçerli iş haline getirir. fg PiD değil işlerden kullanılabilir bir alan aldığına command ID dikkat edin.	E	E	E
fileinfo	Dosya hakkında bilgi edinin.	E	E	E
findfile	Cihazdaki belirli bir ada göre dosyaları bulur.	E	E	E
getfile <file_path>	Bir dosya indirir.	E	E	E
help	Canlı yanıt komutları için yardım bilgileri sağlar.	E	E	E
jobs	Çalışmakta olan işleri, kimliklerini ve durumlarını gösterir.	E	E	E
persistence	Cihazda bilinen tüm kalıcılık yöntemlerini gösterir.	E	N	N
processes	Cihazda çalışan tüm işlemleri gösterir.	E	E	E
registry	Kayıt defteri değerlerini gösterir.	E	N	N
scheduledtasks	Cihazdaki tüm zamanlanmış görevleri gösterir.	E	N	N
services	Cihazdaki tüm hizmetleri gösterir.	E	N	N
startupfolders	Cihazdaki başlangıç klasörlerindeki tüm bilinen dosyaları gösterir.	E	N	N
status	Belirli bir komutun durumunu ve çıkışını gösterir.	E	E	E
trace	Hata ayıklamak için terminalin günlük modunu ayarlar.	E	E	E

Gelişmiş komutlar

Gelişmiş canlı yanıt komutlarını çalıştırma yeteneği verilen kullanıcı rolleri için aşağıdaki komutlar kullanılabilir. Rol atamaları hakkında daha fazla bilgi için bkz. rolleri İçerik Oluşturucu ve yönetme.

Komut	Açıklama	Windows ve Windows Server	macOS	Linux
analyze	Bir karara ulaşmak için varlığı çeşitli eğim altyapılarıyla analiz eder.	E	N	N
collect	Cihazdan adli tıp paketini toplar.	N	E	E
isolate	Uç Nokta için Defender hizmetine bağlantıyı korurken cihazın ağ bağlantısını keser.	N	E	N
release	Bir cihazı ağ yalıtımından serbest bırakır.	N	E	N
run	Cihazdaki kitaplıktan bir PowerShell betiği çalıştırır.	E	E	E
library	Canlı yanıt kitaplığına yüklenen dosyaları Listeler.	E	E	E
putfile	Kitaplıktan cihaza bir dosya yerleştirir. Dosyalar çalışma klasörüne kaydedilir ve cihaz varsayılan olarak yeniden başlatıldığında silinir.	E	E	E
remediate	Cihazdaki bir varlığı düzeltin. Düzeltme eylemi, varlık türüne bağlı olarak değişir: - Dosya: silme - İşlem: görüntü dosyasını durdurma, silme - Hizmet: görüntü dosyasını durdurma, silme - Kayıt defteri girdisi: delete - Zamanlanmış görev: kaldırma - Başlangıç klasörü öğesi: dosyayı silme Bu komutun bir önkoşul komutu vardır. Önkoşul komutunu otomatik olarak çalıştırmak için komutunu düzeltme ile birlikte kullanabilirsiniz -auto .	E	E	E
scan	Kötü amaçlı yazılımları tanımlamaya ve düzeltmeye yardımcı olmak için hızlı bir virüsten koruma taraması çalıştırır.	N	E	E
undo	Düzeltilmiş bir varlığı geri yükler.	E	N	N

Not

Canlı yanıt komutu için putfile aşağıdaki dosya boyutu sınırları geçerlidir:

• Windows: 300 MB
• Diğer platformlar: 10 MB

Canlı yanıt komutlarını kullanma

Konsolunda kullanabileceğiniz komutlar , Windows Komutları ile benzer ilkeleri izler.

Gelişmiş komutlar, bir dosyayı indirip karşıya yükleme, betikleri cihazda çalıştırma ve bir varlıkta düzeltme eylemleri gerçekleştirme gibi daha güçlü eylemler gerçekleştirmenize olanak sağlayan daha güçlü bir eylem kümesi sunar.

Cihazdan dosya alma

Araştırdığınız bir cihazdan dosya almak istediğiniz senaryolar için komutunu kullanabilirsiniz getfile . Bu, daha fazla araştırma için dosyayı cihazdan kaydetmenizi sağlar.

Not

Aşağıdaki dosya boyutu sınırları geçerlidir:

• getfile sınır: 3 GB
• fileinfo sınır: 30 GB
• library sınır: 250 MB

Arka planda dosya indirme

Güvenlik operasyonları ekibinizin etkilenen bir cihazı araştırmaya devam edebilmesi için dosyalar artık arka planda indirilebilir.

• Arka planda bir dosya indirmek için canlı yanıt komut konsoluna yazın download <file_path> &.
• Bir dosyanın indirilmesi için bekliyorsanız, Ctrl + Z tuşlarını kullanarak dosyayı arka plana taşıyabilirsiniz.
• Bir dosya indirmesini ön plana getirmek için canlı yanıt komut konsoluna yazın fg <command_id>.

İşte birkaç örnek:

Komut	Ne işe yarıyor?
getfile "C:\windows\some_file.exe" &	Arka planda some_file.exe adlı bir dosyayı indirmeye başlar.
fg 1234	Ön plana 1234 komut kimliğine sahip bir indirme döndürür.

Bir dosyayı kitaplığa yerleştirme

Canlı yanıt, dosyaları yerleştirebileceğiniz bir kitaplığa sahiptir. Kitaplık, kiracı düzeyinde canlı yanıt oturumunda çalıştırılabilir dosyaları (betikler gibi) depolar.

Canlı yanıt PowerShell betiklerinin çalıştırılmasına izin verir, ancak dosyaları çalıştırabilmek için önce kitaplığa yerleştirmeniz gerekir.

Canlı yanıt oturumları başlattığınız cihazlarda çalıştırabileceğiniz bir PowerShell betikleri koleksiyonunuz olabilir.

Kitaplığa dosya yüklemek için

1. Dosyayı kitaplığa yükle'ye tıklayın.

2. Gözat'a tıklayın ve dosyayı seçin.

3. Kısa bir açıklama sağlayın.

4. Aynı ada sahip bir dosyanın üzerine yazmak isteyip istediğinizi belirtin.

5. Betik için hangi parametrelerin gerekli olduğunu öğrenmek istiyorsanız, betik parametreleri onay kutusunu seçin. Metin alanına bir örnek ve açıklama girin.

6. Onayla'ya tıklayın.

7. (İsteğe bağlı) Dosyanın kitaplığa yüklendiğini doğrulamak için komutunu çalıştırın library .

Komutu iptal etme

Oturum sırasında istediğiniz zaman CTRL + C tuşlarına basarak bir komutu iptal edebilirsiniz.

Uyarı

Bu kısayolu kullanmak aracı tarafında komutu durdurmaz. Yalnızca portaldaki komutu iptal eder. Bu nedenle, komut iptal edilirken "düzeltme" gibi işlemlerin değiştirilmesi devam edebilir.

Betik çalıştırma

PowerShell/Bash betiğini çalıştırabilmeniz için önce bunu kitaplığa yüklemeniz gerekir.

Betiği kitaplığa yükledikten sonra komutunu kullanarak run betiği çalıştırın.

Oturumda imzalanmamış bir PowerShell betiği kullanmayı planlıyorsanız, Gelişmiş özellikler ayarları sayfasında ayarı etkinleştirmeniz gerekir.

Uyarı

İmzasız betiklerin kullanılmasına izin vermek, tehditlere maruz kalmanızı artırabilir.

Komut parametrelerini uygulama

• Komut parametreleri hakkında bilgi edinmek için konsol yardımını görüntüleyin. Tek bir komut hakkında bilgi edinmek için şunu çalıştırın:

  help <command name>
  

• Komutlara parametre uygularken, parametrelerin sabit bir düzene göre işlendiğini unutmayın:

  <command name> param1 param2
  

• Parametreleri sabit sıranın dışında belirtirken, değeri sağlamadan önce parametrenin adını kısa çizgiyle belirtin:

  <command name> -param2_name param2
  

• Önkoşul komutları olan komutları kullanırken bayrakları kullanabilirsiniz:

  <command name> -type file -id <file path> - auto
  

  veya

  remediate file <file path> - auto`
  

Desteklenen çıkış türleri

Canlı yanıt, tablo ve JSON biçimi çıkış türlerini destekler. Her komut için varsayılan bir çıkış davranışı vardır. Aşağıdaki komutları kullanarak tercih ettiğiniz çıkış biçimindeki çıkışı değiştirebilirsiniz:

• -output json
• -output table

Not

Sınırlı alan nedeniyle daha az alan tablo biçiminde gösterilir. Çıktıda daha fazla ayrıntı görmek için JSON çıkış komutunu kullanarak daha fazla ayrıntı gösterebilirsiniz.

Desteklenen çıkış kanalları

Canlı yanıt, CLI ve dosyaya giden çıkış borularını destekler. CLI, varsayılan çıkış davranışıdır. Şu komutu kullanarak çıkışı bir dosyaya aktarabilirsiniz: [command] > [filename].txt.

Örneğin:

processes > output.txt

Komut günlüğünü görüntüleme

Oturum sırasında cihazda kullanılan komutları görmek için Komut günlüğü sekmesini seçin. Her komut, şu gibi tüm ayrıntılarla izlenir:

• Kimlik
• Komut satırı
• Süre
• Durum ve giriş veya çıkış yan çubuğu

Sınırlamalar

• Canlı yanıt oturumları, aynı anda 25 canlı yanıt oturumuyla sınırlıdır.
• Etkin olmayan canlı yanıt oturumu zaman aşımı değeri 30 dakikadır.
• Tek tek canlı yanıt komutlarının 30 dakika sınırı olan , findfileve rundışında getfile10 dakikalık bir zaman sınırı vardır.
• Bir kullanıcı en fazla 10 eşzamanlı oturum başlatabilir.
• Bir cihaz aynı anda yalnızca bir oturumda olabilir.
• Aşağıdaki dosya boyutu sınırları geçerlidir:
  • getfile sınır: 3 GB
  • fileinfo sınır: 30 GB
  • library sınır: 250 MB

İlgili makale

• Canlı yanıt komut örnekleri

İpucu

Daha fazla bilgi edinmek mi istiyorsunuz? Teknoloji Topluluğumuzdaki Microsoft Güvenlik topluluğuyla Engage: Uç Nokta için Microsoft Defender Teknoloji Topluluğu.