İngilizce dilinde oku

Aracılığıyla paylaş


Canlı yanıt kullanarak cihazlardaki varlıkları araştırma

Şunlar için geçerlidir:

Uç nokta için Defender'i deneyimlemek ister misiniz? Ücretsiz deneme için kaydolun.

Canlı yanıt, güvenlik operasyonları ekiplerine uzak kabuk bağlantısı kullanarak bir cihaza (makine olarak da adlandırılır) anında erişim sağlar. Canlı yanıt, ayrıntılı araştırma çalışmaları yapma ve belirlenen tehditleri anında gerçek zamanlı olarak içermek için anında yanıt eylemleri gerçekleştirme gücü sağlar.

Canlı yanıt, güvenlik operasyonları ekibinizin adli verileri toplamasına, betik çalıştırmasına, şüpheli varlıkları analiz için göndermesine, tehditleri düzeltmesine ve yeni ortaya çıkan tehditleri proaktif olarak avlamasına olanak tanıyarak araştırmalarınızı geliştirmek için tasarlanmıştır.

Analistler canlı yanıtla aşağıdaki görevlerin tümünü gerçekleştirebilir:

  • Bir cihazda araştırma çalışması yapmak için temel ve gelişmiş komutları çalıştırın.
  • Kötü amaçlı yazılım örnekleri ve PowerShell betiklerinin sonuçları gibi dosyaları indirin.
  • Arka planda dosyaları indirin (yeni!).
  • PowerShell betiğini veya yürütülebilir dosyasını kitaplığa yükleyin ve kiracı düzeyinden bir cihazda çalıştırın.
  • Düzeltme eylemlerini gerçekleştirme veya geri alma.

Başlamadan önce

Bir cihazda oturum başlatabilmeniz için önce aşağıdaki gereksinimleri karşıladığınızdan emin olun:

  • Windows'un desteklenen bir sürümünü çalıştırdığınızı doğrulayın.

    Cihazlar Windows'un aşağıdaki sürümlerinden birini çalıştırıyor olmalıdır

  • Gelişmiş ayarlar sayfasından canlı yanıtı etkinleştirin.

    Gelişmiş özellikler ayarları sayfasında canlı yanıt özelliğini etkinleştirmeniz gerekir.

    Not

    Yalnızca "Portal Ayarlarını Yönet" izinlerine sahip yöneticiler ve kullanıcılar canlı yanıtı etkinleştirebilir.

  • Gelişmiş ayarlar sayfasından sunucular için canlı yanıtı etkinleştirin (önerilir).

    Not

    Yalnızca "Portal Ayarlarını Yönet" izinlerine sahip yöneticiler ve kullanıcılar canlı yanıtı etkinleştirebilir.

  • Canlı yanıt imzalanmamış betik yürütmeyi etkinleştirin (isteğe bağlı).

    Önemli

    İmza doğrulaması yalnızca PowerShell betikleri için geçerlidir.

    Uyarı

    İmzasız betiklerin kullanılmasına izin vermek, tehditlere maruz kalmanızı artırabilir.

    İmzasız betiklerin çalıştırılması önerilmez çünkü tehditlere maruz kalmanızı artırabilir. Ancak bunları kullanmanız gerekiyorsa, Gelişmiş özellikler ayarları sayfasında ayarı etkinleştirmeniz gerekir.

  • Uygun izinlere sahip olduğunuzdan emin olun.

    Yalnızca uygun izinlerle sağlanan kullanıcılar oturum başlatabilir. Rol atamaları hakkında daha fazla bilgi için bkz. rolleri İçerik Oluşturucu ve yönetme.

    Önemli

    Bir dosyayı kitaplığa yükleme seçeneği yalnızca "Güvenlik Ayarlarını Yönet" iznine sahip kullanıcılar tarafından kullanılabilir. Düğme, yalnızca temsilci izinleri olan kullanıcılar için gri renktedir.

    Size verilen role bağlı olarak, temel veya gelişmiş canlı yanıt komutlarını çalıştırabilirsiniz. Kullanıcı izinleri RBAC özel rolü tarafından denetlenmektedir.

Canlı yanıt panosuna genel bakış

Bir cihazda canlı yanıt oturumu başlattığınızda bir pano açılır. Pano oturum hakkında aşağıdaki gibi bilgiler sağlar:

  • Oturumu kim oluşturdu?
  • Oturum başlatıldığında
  • Oturumun süresi

Pano ayrıca aşağıdakilere erişmenizi sağlar:

  • Oturumun bağlantısını kes
  • Dosyaları kitaplığa yükleme
  • Komut konsolu
  • Komut günlüğü

Cihazda canlı yanıt oturumu başlatma

Not

Cihaz sayfasından başlatılan canlı yanıt eylemleri machineactions API'sinde kullanılamaz.

  1. Microsoft Defender portalında oturum açın.

  2. Uç Noktalar > Cihaz envanterine gidin ve araştıracak bir cihaz seçin. Cihazlar sayfası açılır.

  3. Canlı yanıt oturumunu başlat'ı seçerek canlı yanıt oturumunu başlatın. Bir komut konsolu görüntülenir. Oturum cihaza bağlanırken bekleyin.

  4. Araştırma çalışması yapmak için yerleşik komutları kullanın. Daha fazla bilgi için bkz . Canlı yanıt komutları.

  5. Araştırmanızı tamamladıktan sonra Oturumu kes'i ve ardından Onayla'yı seçin.

Canlı yanıt komutları

Size verilen role bağlı olarak, temel veya gelişmiş canlı yanıt komutlarını çalıştırabilirsiniz. Kullanıcı izinleri RBAC özel rolleri tarafından denetlenmektedir. Rol atamaları hakkında daha fazla bilgi için bkz. rolleri İçerik Oluşturucu ve yönetme.

Not

Canlı yanıt bulut tabanlı etkileşimli bir kabuk olduğundan, belirli komut deneyimi son kullanıcı ile hedef cihaz arasındaki ağ kalitesine ve sistem yüküne bağlı olarak yanıt süresinde değişebilir.

Temel komutlar

Aşağıdaki komutlar, temel canlı yanıt komutlarını çalıştırma özelliği verilen kullanıcı rolleri için kullanılabilir. Rol atamaları hakkında daha fazla bilgi için bkz. rolleri İçerik Oluşturucu ve yönetme.

Komut Açıklama Windows ve Windows Server macOS Linux
cd Geçerli dizini değiştirir. E E E
cls Konsol ekranını temizler. E E E
connect Cihaza canlı yanıt oturumu başlatır. E E E
connections Tüm etkin bağlantıları gösterir. E N N
dir Dizindeki dosyaların ve alt dizinlerin listesini gösterir. E E E
drivers Cihazda yüklü olan tüm sürücüleri gösterir. E N N
fg <command ID> Belirtilen işi ön plana yerleştirerek geçerli iş haline getirir. fg PiD değil işlerden kullanılabilir bir alan aldığına command ID dikkat edin. E E E
fileinfo Dosya hakkında bilgi edinin. E E E
findfile Cihazdaki belirli bir ada göre dosyaları bulur. E E E
getfile <file_path> Bir dosya indirir. E E E
help Canlı yanıt komutları için yardım bilgileri sağlar. E E E
jobs Çalışmakta olan işleri, kimliklerini ve durumlarını gösterir. E E E
persistence Cihazda bilinen tüm kalıcılık yöntemlerini gösterir. E N N
processes Cihazda çalışan tüm işlemleri gösterir. E E E
registry Kayıt defteri değerlerini gösterir. E N N
scheduledtasks Cihazdaki tüm zamanlanmış görevleri gösterir. E N N
services Cihazdaki tüm hizmetleri gösterir. E N N
startupfolders Cihazdaki başlangıç klasörlerindeki tüm bilinen dosyaları gösterir. E N N
status Belirli bir komutun durumunu ve çıkışını gösterir. E E E
trace Hata ayıklamak için terminalin günlük modunu ayarlar. E E E

Gelişmiş komutlar

Gelişmiş canlı yanıt komutlarını çalıştırma yeteneği verilen kullanıcı rolleri için aşağıdaki komutlar kullanılabilir. Rol atamaları hakkında daha fazla bilgi için bkz. rolleri İçerik Oluşturucu ve yönetme.

Komut Açıklama Windows ve Windows Server macOS Linux
analyze Bir karara ulaşmak için varlığı çeşitli eğim altyapılarıyla analiz eder. E N N
collect Cihazdan adli tıp paketini toplar. N E E
isolate Uç Nokta için Defender hizmetine bağlantıyı korurken cihazın ağ bağlantısını keser. N E N
release Bir cihazı ağ yalıtımından serbest bırakır. N E N
run Cihazdaki kitaplıktan bir PowerShell betiği çalıştırır. E E E
library Canlı yanıt kitaplığına yüklenen dosyaları Listeler. E E E
putfile Kitaplıktan cihaza bir dosya yerleştirir. Dosyalar çalışma klasörüne kaydedilir ve cihaz varsayılan olarak yeniden başlatıldığında silinir. E E E
remediate Cihazdaki bir varlığı düzeltin. Düzeltme eylemi, varlık türüne bağlı olarak değişir:
- Dosya: silme
- İşlem: görüntü dosyasını durdurma, silme
- Hizmet: görüntü dosyasını durdurma, silme
- Kayıt defteri girdisi: delete
- Zamanlanmış görev: kaldırma
- Başlangıç klasörü öğesi: dosyayı silme

Bu komutun bir önkoşul komutu vardır. Önkoşul komutunu otomatik olarak çalıştırmak için komutunu düzeltme ile birlikte kullanabilirsiniz -auto .
E E E
scan Kötü amaçlı yazılımları tanımlamaya ve düzeltmeye yardımcı olmak için hızlı bir virüsten koruma taraması çalıştırır. N E E
undo Düzeltilmiş bir varlığı geri yükler. E N N

Not

Canlı yanıt komutu için putfile aşağıdaki dosya boyutu sınırları geçerlidir:

  • Windows: 300 MB
  • Diğer platformlar: 10 MB

Canlı yanıt komutlarını kullanma

Konsolunda kullanabileceğiniz komutlar , Windows Komutları ile benzer ilkeleri izler.

Gelişmiş komutlar, bir dosyayı indirip karşıya yükleme, betikleri cihazda çalıştırma ve bir varlıkta düzeltme eylemleri gerçekleştirme gibi daha güçlü eylemler gerçekleştirmenize olanak sağlayan daha güçlü bir eylem kümesi sunar.

Cihazdan dosya alma

Araştırdığınız bir cihazdan dosya almak istediğiniz senaryolar için komutunu kullanabilirsiniz getfile . Bu, daha fazla araştırma için dosyayı cihazdan kaydetmenizi sağlar.

Not

Aşağıdaki dosya boyutu sınırları geçerlidir:

  • getfile sınır: 3 GB
  • fileinfo sınır: 30 GB
  • library sınır: 250 MB

Arka planda dosya indirme

Güvenlik operasyonları ekibinizin etkilenen bir cihazı araştırmaya devam edebilmesi için dosyalar artık arka planda indirilebilir.

  • Arka planda bir dosya indirmek için canlı yanıt komut konsoluna yazın download <file_path> &.
  • Bir dosyanın indirilmesi için bekliyorsanız, Ctrl + Z tuşlarını kullanarak dosyayı arka plana taşıyabilirsiniz.
  • Bir dosya indirmesini ön plana getirmek için canlı yanıt komut konsoluna yazın fg <command_id>.

İşte birkaç örnek:

Komut Ne işe yarıyor?
getfile "C:\windows\some_file.exe" & Arka planda some_file.exe adlı bir dosyayı indirmeye başlar.
fg 1234 Ön plana 1234 komut kimliğine sahip bir indirme döndürür.

Bir dosyayı kitaplığa yerleştirme

Canlı yanıt, dosyaları yerleştirebileceğiniz bir kitaplığa sahiptir. Kitaplık, kiracı düzeyinde canlı yanıt oturumunda çalıştırılabilir dosyaları (betikler gibi) depolar.

Canlı yanıt PowerShell betiklerinin çalıştırılmasına izin verir, ancak dosyaları çalıştırabilmek için önce kitaplığa yerleştirmeniz gerekir.

Canlı yanıt oturumları başlattığınız cihazlarda çalıştırabileceğiniz bir PowerShell betikleri koleksiyonunuz olabilir.

Kitaplığa dosya yüklemek için

  1. Dosyayı kitaplığa yükle'ye tıklayın.

  2. Gözat'a tıklayın ve dosyayı seçin.

  3. Kısa bir açıklama sağlayın.

  4. Aynı ada sahip bir dosyanın üzerine yazmak isteyip istediğinizi belirtin.

  5. Betik için hangi parametrelerin gerekli olduğunu öğrenmek istiyorsanız, betik parametreleri onay kutusunu seçin. Metin alanına bir örnek ve açıklama girin.

  6. Onayla'ya tıklayın.

  7. (İsteğe bağlı) Dosyanın kitaplığa yüklendiğini doğrulamak için komutunu çalıştırın library .

Komutu iptal etme

Oturum sırasında istediğiniz zaman CTRL + C tuşlarına basarak bir komutu iptal edebilirsiniz.

Uyarı

Bu kısayolu kullanmak aracı tarafında komutu durdurmaz. Yalnızca portaldaki komutu iptal eder. Bu nedenle, komut iptal edilirken "düzeltme" gibi işlemlerin değiştirilmesi devam edebilir.

Betik çalıştırma

PowerShell/Bash betiğini çalıştırabilmeniz için önce bunu kitaplığa yüklemeniz gerekir.

Betiği kitaplığa yükledikten sonra komutunu kullanarak run betiği çalıştırın.

Oturumda imzalanmamış bir PowerShell betiği kullanmayı planlıyorsanız, Gelişmiş özellikler ayarları sayfasında ayarı etkinleştirmeniz gerekir.

Uyarı

İmzasız betiklerin kullanılmasına izin vermek, tehditlere maruz kalmanızı artırabilir.

Komut parametrelerini uygulama

  • Komut parametreleri hakkında bilgi edinmek için konsol yardımını görüntüleyin. Tek bir komut hakkında bilgi edinmek için şunu çalıştırın:

    PowerShell
    help <command name>
    
  • Komutlara parametre uygularken, parametrelerin sabit bir düzene göre işlendiğini unutmayın:

    PowerShell
    <command name> param1 param2
    
  • Parametreleri sabit sıranın dışında belirtirken, değeri sağlamadan önce parametrenin adını kısa çizgiyle belirtin:

    PowerShell
    <command name> -param2_name param2
    
  • Önkoşul komutları olan komutları kullanırken bayrakları kullanabilirsiniz:

    PowerShell
    <command name> -type file -id <file path> - auto
    

    veya

    PowerShell
    remediate file <file path> - auto`
    

Desteklenen çıkış türleri

Canlı yanıt, tablo ve JSON biçimi çıkış türlerini destekler. Her komut için varsayılan bir çıkış davranışı vardır. Aşağıdaki komutları kullanarak tercih ettiğiniz çıkış biçimindeki çıkışı değiştirebilirsiniz:

  • -output json
  • -output table

Not

Sınırlı alan nedeniyle daha az alan tablo biçiminde gösterilir. Çıktıda daha fazla ayrıntı görmek için JSON çıkış komutunu kullanarak daha fazla ayrıntı gösterebilirsiniz.

Desteklenen çıkış kanalları

Canlı yanıt, CLI ve dosyaya giden çıkış borularını destekler. CLI, varsayılan çıkış davranışıdır. Şu komutu kullanarak çıkışı bir dosyaya aktarabilirsiniz: [command] > [filename].txt.

Örneğin:

Console
processes > output.txt

Komut günlüğünü görüntüleme

Oturum sırasında cihazda kullanılan komutları görmek için Komut günlüğü sekmesini seçin. Her komut, şu gibi tüm ayrıntılarla izlenir:

  • Kimlik
  • Komut satırı
  • Süre
  • Durum ve giriş veya çıkış yan çubuğu

Sınırlamalar

  • Canlı yanıt oturumları, aynı anda 25 canlı yanıt oturumuyla sınırlıdır.
  • Etkin olmayan canlı yanıt oturumu zaman aşımı değeri 30 dakikadır.
  • Tek tek canlı yanıt komutlarının 30 dakika sınırı olan , findfileve rundışında getfile10 dakikalık bir zaman sınırı vardır.
  • Bir kullanıcı en fazla 10 eşzamanlı oturum başlatabilir.
  • Bir cihaz aynı anda yalnızca bir oturumda olabilir.
  • Aşağıdaki dosya boyutu sınırları geçerlidir:
    • getfile sınır: 3 GB
    • fileinfo sınır: 30 GB
    • library sınır: 250 MB

İlgili makale

İpucu

Daha fazla bilgi edinmek mi istiyorsunuz? Teknoloji Topluluğumuzdaki Microsoft Güvenlik topluluğuyla Engage: Uç Nokta için Microsoft Defender Teknoloji Topluluğu.