Canlı yanıt kullanarak cihazlardaki varlıkları araştırma

Canlı yanıt, güvenlik operasyonları ekiplerine uzak kabuk bağlantısı kullanarak bir cihaza (makine olarak da adlandırılır) anında erişim sağlar. Canlı yanıt, ayrıntılı araştırma çalışmaları yapma ve belirlenen tehditleri anında gerçek zamanlı olarak içermek için anında yanıt eylemleri gerçekleştirme gücü sağlar.

Canlı yanıt, güvenlik operasyonları ekibinizin adli verileri toplamasına, betik çalıştırmasına, şüpheli varlıkları analiz için göndermesine, tehditleri düzeltmesine ve yeni ortaya çıkan tehditleri proaktif olarak avlamasına olanak tanıyarak araştırmalarınızı geliştirmek için tasarlanmıştır.

Analistler canlı yanıtla aşağıdaki görevlerin tümünü gerçekleştirebilir:

• Bir cihazda araştırma çalışması yapmak için temel ve gelişmiş komutları çalıştırın.
• Kötü amaçlı yazılım örnekleri ve PowerShell betiklerinin sonuçları gibi dosyaları indirin.
• Arka planda dosyaları indirin (yeni!).
• PowerShell betiğini veya yürütülebilir dosyasını kitaplığa yükleyin ve kiracı düzeyinden bir cihazda çalıştırın.
• Düzeltme eylemlerini gerçekleştirme veya geri alma.

Önkoşullar

Cihazlar Windows'un aşağıdaki sürümlerinden birini çalıştırıyor olmalıdır

Desteklenen işletim sistemleri

• Windows 11

• Windows 10:

  • Sürüm 1909 veya üzeri.
  • KB4515384 sürüm 1903.
  • KB4537818 sürüm 1809 (RS 5).
  • KB4537795 sürüm 1803 (RS 4).
  • KB4537816 sürüm 1709 (RS 3).

• macOS: Sürüm 101.43.84 veya üzeri. Intel tabanlı ve ARM tabanlı macOS cihazlarda desteklenir.

• Linux: Sürüm 101.45.13 veya üzeri.

• Windows Server 2022 veya üzeri.

• Windows Server 2019:

  • Sürüm 1903 ( KB4515384 ile) veya üzeri.
  • Sürüm 1809 ( KB4537818 ile).

• R2 Windows Server 2016 ve Windows Server 2012:

  • Birleşik Aracı gerektirir.
  • En son algılayıcı sürümü için düzeltme eki de önerilir: KB5005292.
  • Statik ara sunucu kullanıyorsanız, kolaylaştırılmış yöntem kullanılarak eklenen çevrimdışı alt düzey sunucular için canlı yanıt beklendiği gibi çalışmaz. Bunun yerine bir sistem proxy'si kullanmayı düşünün.

• Azure Stack HCI işletim sistemi: Sürüm 23H2 veya üzeri.

Diğer gereksinimler

• Gelişmiş ayarlar sayfasından canlı yanıtı etkinleştirme: Gelişmiş özellikler ayarları sayfasında canlı yanıt özelliğini etkinleştirmeniz gerekir.

  Not

  Yalnızca "Portal Ayarlarını Yönet" izinlerine sahip yöneticiler ve kullanıcılar canlı yanıtı etkinleştirebilir.

• Gelişmiş ayarlar sayfasından sunucular için canlı yanıtı etkinleştirin (önerilir).

  Not

  Yalnızca "Portal Ayarlarını Yönet" izinlerine sahip yöneticiler ve kullanıcılar canlı yanıtı etkinleştirebilir.

• Canlı yanıt imzalanmamış betik yürütmeyi etkinleştirin (isteğe bağlı).

  Önemli

  İmza doğrulaması yalnızca PowerShell betikleri için geçerlidir.

  Uyarı

  İmzasız betiklerin kullanılmasına izin vermek, tehditlere maruz kalmanızı artırabilir. Bunları kullanmanız gerekiyorsa, Gelişmiş özellikler ayarları sayfasında ayarı etkinleştirmeniz gerekir.

• Uygun izinlere sahip olduğunuzdan emin olun: Yalnızca uygun izinlerle sağlanan kullanıcılar oturum başlatabilir. Rol atamaları hakkında daha fazla bilgi için bkz. Rol oluşturma ve yönetme.

  Önemli

  Bir dosyayı kitaplığa yükleme seçeneği yalnızca "Güvenlik Ayarlarını Yönet" iznine sahip kullanıcılar tarafından kullanılabilir. Düğme, yalnızca temsilci izinleri olan kullanıcılar için gri renktedir.

  Size verilen role bağlı olarak, temel veya gelişmiş canlı yanıt komutlarını çalıştırabilirsiniz. Kullanıcı izinleri RBAC özel rolü tarafından denetlenmektedir.

Canlı yanıt panosuna genel bakış

Bir cihazda canlı yanıt oturumu başlattığınızda bir pano açılır. Pano oturum hakkında bilgi sağlar. Örneğin:

• Oturumu kim oluşturdu?
• Oturum başlatıldığında
• Oturumun süresi

Pano ayrıca oturum için eylemlere erişmenizi sağlar. Örneğin:

• Oturumun bağlantısını kes
• Dosyaları kitaplığa yükleme
• Komut konsolu
• Komut günlüğü

Cihazda canlı yanıt oturumu başlatma

Not

Cihaz sayfasından başlatılan canlı yanıt eylemleri MachineActions API'sinde kullanılamaz.

1. Microsoft Defender portalında oturum açın.

2. Uç Noktalar>Cihaz envanterine gidin ve araştıracak bir cihaz seçin. Cihazlar sayfası açılır.

3. Canlı yanıt oturumunu başlat'ı seçerek canlı yanıt oturumunu başlatın. Bir komut konsolu görüntülenir. Oturum cihaza bağlanırken bekleyin.

4. Araştırma çalışması yapmak için yerleşik komutları kullanın. Daha fazla bilgi için bkz . Canlı yanıt komutları.

5. Araştırmanızı tamamladıktan sonra Oturumu kes'i ve ardından Onayla'yı seçin.

Canlı yanıt komutları

Size verilen role bağlı olarak, temel veya gelişmiş canlı yanıt komutlarını çalıştırabilirsiniz. Kullanıcı izinleri RBAC özel rolleri tarafından denetlenmektedir. Rol atamaları hakkında daha fazla bilgi için bkz. Rol oluşturma ve yönetme.

Not

Canlı yanıt bulut tabanlı etkileşimli bir kabuk olduğundan, belirli komut deneyimi son kullanıcı ile hedef cihaz arasındaki ağ kalitesine ve sistem yüküne bağlı olarak yanıt süresinde değişebilir.

Temel komutlar

Aşağıdaki komutlar, temel canlı yanıt komutlarını çalıştırma özelliği verilen kullanıcı rolleri için kullanılabilir. Rol atamaları hakkında daha fazla bilgi için bkz. Rol oluşturma ve yönetme.

Komut	Açıklama	Windows ve Windows Server	macOS	Linux
cd	Geçerli dizini değiştirir.	E	E	E
cls	Konsol ekranını temizler.	E	E	E
connect	Cihaza canlı yanıt oturumu başlatır.	E	E	E
connections	Tüm etkin bağlantıları gösterir.	E	N	N
dir	Dizindeki dosyaların ve alt dizinlerin listesini gösterir.	E	E	E
drivers	Cihazda yüklü olan tüm sürücüleri gösterir.	E	N	N
fg <command ID>	Belirtilen işi ön plana yerleştirerek geçerli iş haline getirir. fg command ID piD değil, işlerden kullanılabilir bir alan alır.	E	E	E
fileinfo	Dosya hakkında bilgi edinin.	E	E	E
findfile	Cihazdaki belirli bir ada göre dosyaları bulur.	E	E	E
getfile <file_path>	Bir dosya indirir.	E	E	E
help	Canlı yanıt komutları için yardım bilgileri sağlar.	E	E	E
jobs	Çalışmakta olan işleri, kimliklerini ve durumlarını gösterir.	E	E	E
persistence	Cihazda bilinen tüm kalıcılık yöntemlerini gösterir.	E	N	N
processes	Cihazda çalışan tüm işlemleri gösterir.	E	E	E
registry	Kayıt defteri değerlerini gösterir.	E	N	N
scheduledtasks	Cihazdaki tüm zamanlanmış görevleri gösterir.	E	N	N
services	Cihazdaki tüm hizmetleri gösterir.	E	N	N
startupfolders	Cihazdaki başlangıç klasörlerindeki tüm bilinen dosyaları gösterir.	E	N	N
status	Belirli bir komutun durumunu ve çıkışını gösterir.	E	E	E
trace	Hata ayıklamak için terminalin günlük modunu ayarlar.	E	E	E

Gelişmiş komutlar

Gelişmiş canlı yanıt komutlarını çalıştırma yeteneği verilen kullanıcı rolleri için aşağıdaki komutlar kullanılabilir. Rol atamaları hakkında daha fazla bilgi için bkz. Rol oluşturma ve yönetme.

Komut	Açıklama	Windows ve Windows Server	macOS	Linux
analyze	Bir karara ulaşmak için varlığı çeşitli eğim altyapılarıyla analiz eder.	E	N	N
collect	Cihazdan adli tıp paketini toplar.	N	E	E
isolate	Uç Nokta için Defender hizmetine bağlantıyı korurken cihazın ağ bağlantısını keser.	N	E	N
release	Bir cihazı ağ yalıtımından serbest bırakır.	N	E	N
run	Cihazdaki kitaplıktan bir PowerShell betiği çalıştırır.	E	E	E
library	Canlı yanıt kitaplığına yüklenen dosyaları listeler.	E	E	E
putfile	Kitaplıktan cihaza bir dosya yerleştirir. Dosyalar çalışma klasörüne kaydedilir ve cihaz varsayılan olarak yeniden başlatıldığında silinir.	E	E	E
remediate	Cihazdaki bir varlığı düzeltin. Düzeltme eylemi, varlık türüne bağlı olarak değişir: Dosya: silme İşlem: durdurma, resim dosyasını silme Hizmet: görüntü dosyasını durdurma, silme Kayıt defteri girdisi: delete Zamanlanmış görev: kaldırma Başlangıç klasörü öğesi: dosyayı silme Bu komutun bir önkoşul komutu vardır. Önkoşul komutunu otomatik olarak çalıştırmak için komutunu düzeltme ile birlikte kullanabilirsiniz -auto .	E	E	E
scan	Kötü amaçlı yazılımları tanımlamaya ve düzeltmeye yardımcı olmak için hızlı bir virüsten koruma taraması çalıştırır.	N	E	E
undo	Düzeltilmiş bir varlığı geri yükler.	E	N	N

Not

Canlı yanıt komutu için putfile aşağıdaki dosya boyutu sınırları geçerlidir:

• Windows: 300 MB
• Diğer platformlar: 10 MB

Canlı yanıt komutlarını kullanma

Konsolunda kullanabileceğiniz komutlar , Windows Komutları ile benzer ilkeleri izler.

Gelişmiş komutlar, bir dosyayı indirip karşıya yükleme, betikleri cihazda çalıştırma ve bir varlıkta düzeltme eylemleri gerçekleştirme gibi daha güçlü eylemler gerçekleştirmenize olanak sağlayan daha güçlü bir eylem kümesi sunar.

Cihazdan dosya alma

Araştırdığınız bir cihazdan dosya almak istediğiniz senaryolar için komutunu kullanabilirsiniz getfile . Bu, daha fazla araştırma için dosyayı cihazdan kaydetmenizi sağlar.

Not

Aşağıdaki dosya boyutu sınırları geçerlidir:

• getfile sınır: 3 GB
• fileinfo sınır: 30 GB
• library sınır: 250 MB

Arka planda dosya indirme

Güvenlik operasyonları ekibinizin etkilenen bir cihazı araştırmaya devam edebilmesi için dosyalar artık arka planda indirilebilir.

• Arka planda bir dosya indirmek için canlı yanıt komut konsoluna yazın download <file_path> &.
• Bir dosyanın indirilmesi için bekliyorsanız, Ctrl + Z tuşlarını kullanarak dosyayı arka plana taşıyabilirsiniz.
• Bir dosya indirmesini ön plana getirmek için canlı yanıt komut konsoluna yazın fg <command_id>.

İşte birkaç örnek:

Komut	Ne işe yarıyor?
getfile "C:\windows\some_file.exe" &	Arka planda some_file.exe adlı bir dosyayı indirmeye başlar.
fg 1234	Ön plana 1234 komut kimliğine sahip bir indirme döndürür.

Bir dosyayı kitaplığa yerleştirme

Canlı yanıt, dosyaları yerleştirebileceğiniz bir kitaplığa sahiptir. Kitaplık, kiracı düzeyinde canlı yanıt oturumunda çalıştırılabilir dosyaları (betikler gibi) depolar.

Canlı yanıt PowerShell ve Bash betiklerinin çalıştırılmasına olanak tanır; ancak, dosyaları çalıştırabilmeniz için önce kitaplığa yerleştirmeniz gerekir.

Canlı yanıt oturumları başlattığınız cihazlarda çalıştırabileceğiniz bir PowerShell ve Bash betikleri koleksiyonunuz olabilir.

Kitaplığa dosya yüklemek için

Not

Kitaplığa yüklenebilecek karakterler üzerinde kısıtlamalar vardır. Alfasayısal karakterleri ve bazı simgeleri (özellikle , -_veya .) kullanın.

1. Dosyayı kitaplığa yükle'yi seçin.

2. Gözat'ı seçin ve dosyayı seçin.

3. Kısa bir açıklama sağlayın.

4. Aynı ada sahip bir dosyanın üzerine yazmak isteyip istediğinizi belirtin.

5. Betik için hangi parametrelerin gerekli olduğunu öğrenmek istiyorsanız, betik parametreleri onay kutusunu seçin. Metin alanına bir örnek ve açıklama girin.

6. Onayla'yı seçin.

7. (İsteğe bağlı) Dosyanın kitaplığa yüklendiğini doğrulamak için komutunu çalıştırın library .

Komutu iptal etme

Oturum sırasında istediğiniz zaman CTRL + C tuşlarına basarak bir komutu iptal edebilirsiniz.

Uyarı

Bu kısayolu kullanmak aracı tarafındaki komutu durdurmaz. Yalnızca Microsoft Defender portalındaki komutu iptal eder. Bu nedenle, komut iptal edilse bile "düzeltme" gibi işlemlerin değiştirilmesi devam edebilir.

Betik çalıştırma

PowerShell/Bash betiğini çalıştırabilmeniz için önce bunu kitaplığa yüklemeniz gerekir.

Betiği kitaplığa yükledikten sonra komutunu kullanarak run betiği çalıştırın.

Oturumda imzalanmamış bir PowerShell betiği kullanmayı planlıyorsanız, Gelişmiş özellikler ayarları sayfasında ayarı etkinleştirmeniz gerekir.

Uyarı

İmzasız betiklerin kullanılmasına izin vermek, tehditlere maruz kalmanızı artırabilir.

Komut parametrelerini uygulama

• Komut parametreleri hakkında bilgi edinmek için konsol yardımını görüntüleyin. Tek bir komut hakkında bilgi edinmek için şunu çalıştırın:

  help <command name>
  

• Komutlara parametre uygularken, parametrelerin sabit bir düzene göre işlendiğini unutmayın:

  <command name> param1 param2
  

• Parametreleri sabit sıranın dışında belirtirken, değeri sağlamadan önce parametrenin adını kısa çizgiyle belirtin:

  <command name> -param2_name param2
  

• Önkoşul komutları olan komutları kullanırken bayrakları kullanabilirsiniz:

  <command name> -type file -id <file path> - auto
  

  veya

  remediate file <file path> - auto`
  

Desteklenen çıkış türleri

Canlı yanıt, tablo ve JSON biçimi çıkış türlerini destekler. Her komut için varsayılan bir çıkış davranışı vardır. Aşağıdaki komutları kullanarak tercih ettiğiniz çıkış biçimindeki çıkışı değiştirebilirsiniz:

• -output json
• -output table

Not

Sınırlı alan nedeniyle daha az alan tablo biçiminde gösterilir. Çıktıda daha fazla ayrıntı görmek için JSON çıkış komutunu kullanarak daha fazla ayrıntı gösterebilirsiniz.

Desteklenen çıkış kanalları

Canlı yanıt, CLI ve dosyaya giden çıkış borularını destekler. CLI, varsayılan çıkış davranışıdır. Aşağıdaki komutu kullanarak çıkışı bir dosyaya aktarabilirsiniz: [command] > [filename].txt.

Örneğin:

processes > output.txt

Komut günlüğünü görüntüleme

Oturum sırasında cihazda kullanılan komutları görmek için Komut günlüğü sekmesini seçin. Her komut, şu gibi tüm ayrıntılarla izlenir:

• Kimlik
• Komut satırı
• Süre
• Durum ve giriş veya çıkış yan çubuğu

Sınırlamalar

• Canlı yanıt oturumları aynı anda 50 canlı yanıt oturumuyla sınırlıdır.
• Etkin olmayan canlı yanıt oturumu zaman aşımı değeri 30 dakikadır.
• Tek tek canlı yanıt komutlarının 30 dakika sınırı olan , findfileve rundışında getfile10 dakikalık bir zaman sınırı vardır.
• Bir kullanıcı en fazla beş eşzamanlı oturum başlatabilir.
• Bir cihaz aynı anda yalnızca bir oturumda olabilir.
• Aşağıdaki dosya boyutu sınırları geçerlidir:
  • getfile sınır: 3 GB
  • fileinfo sınır: 30 GB
  • library sınır: 250 MB

İlgili makale

• Canlı yanıt komut örnekleri