Canlı yanıt, güvenlik operasyonları ekiplerine uzak kabuk bağlantısı kullanarak bir cihaza (makine olarak da adlandırılır) anında erişim sağlar. Canlı yanıt, ayrıntılı araştırma çalışmaları yapma ve belirlenen tehditleri anında gerçek zamanlı olarak içermek için anında yanıt eylemleri gerçekleştirme gücü sağlar.
Canlı yanıt, güvenlik operasyonları ekibinizin adli verileri toplamasına, betik çalıştırmasına, şüpheli varlıkları analiz için göndermesine, tehditleri düzeltmesine ve yeni ortaya çıkan tehditleri proaktif olarak avlamasına olanak tanıyarak araştırmalarınızı geliştirmek için tasarlanmıştır.
Analistler canlı yanıtla aşağıdaki görevlerin tümünü gerçekleştirebilir:
Bir cihazda araştırma çalışması yapmak için temel ve gelişmiş komutları çalıştırın.
Kötü amaçlı yazılım örnekleri ve PowerShell betiklerinin sonuçları gibi dosyaları indirin.
Arka planda dosyaları indirin (yeni!).
PowerShell betiğini veya yürütülebilir dosyasını kitaplığa yükleyin ve kiracı düzeyinden bir cihazda çalıştırın.
Düzeltme eylemlerini gerçekleştirme veya geri alma.
Başlamadan önce
Bir cihazda oturum başlatabilmeniz için önce aşağıdaki gereksinimleri karşıladığınızdan emin olun:
Windows'un desteklenen bir sürümünü çalıştırdığınızı doğrulayın.
Cihazlar Windows'un aşağıdaki sürümlerinden birini çalıştırıyor olmalıdır
Windows Server 2012R2 veya 2016 için Birleşik Aracı'nın yüklü olması gerekir ve KB5005292 ile en son algılayıcı sürümüne düzeltme eki uygulamanız önerilir.
Yalnızca "Portal Ayarlarını Yönet" izinlerine sahip yöneticiler ve kullanıcılar canlı yanıtı etkinleştirebilir.
Gelişmiş ayarlar sayfasından sunucular için canlı yanıtı etkinleştirin (önerilir).
Not
Yalnızca "Portal Ayarlarını Yönet" izinlerine sahip yöneticiler ve kullanıcılar canlı yanıtı etkinleştirebilir.
Canlı yanıt imzalanmamış betik yürütmeyi etkinleştirin (isteğe bağlı).
Önemli
İmza doğrulaması yalnızca PowerShell betikleri için geçerlidir.
Uyarı
İmzasız betiklerin kullanılmasına izin vermek, tehditlere maruz kalmanızı artırabilir.
İmzasız betiklerin çalıştırılması önerilmez çünkü tehditlere maruz kalmanızı artırabilir. Ancak bunları kullanmanız gerekiyorsa, Gelişmiş özellikler ayarları sayfasında ayarı etkinleştirmeniz gerekir.
Uygun izinlere sahip olduğunuzdan emin olun.
Yalnızca uygun izinlerle sağlanan kullanıcılar oturum başlatabilir. Rol atamaları hakkında daha fazla bilgi için bkz. rolleri İçerik Oluşturucu ve yönetme.
Önemli
Bir dosyayı kitaplığa yükleme seçeneği yalnızca "Güvenlik Ayarlarını Yönet" iznine sahip kullanıcılar tarafından kullanılabilir.
Düğme, yalnızca temsilci izinleri olan kullanıcılar için gri renktedir.
Size verilen role bağlı olarak, temel veya gelişmiş canlı yanıt komutlarını çalıştırabilirsiniz. Kullanıcı izinleri RBAC özel rolü tarafından denetlenmektedir.
Canlı yanıt panosuna genel bakış
Bir cihazda canlı yanıt oturumu başlattığınızda bir pano açılır. Pano oturum hakkında aşağıdaki gibi bilgiler sağlar:
Oturumu kim oluşturdu?
Oturum başlatıldığında
Oturumun süresi
Pano ayrıca aşağıdakilere erişmenizi sağlar:
Oturumun bağlantısını kes
Dosyaları kitaplığa yükleme
Komut konsolu
Komut günlüğü
Cihazda canlı yanıt oturumu başlatma
Not
Cihaz sayfasından başlatılan canlı yanıt eylemleri machineactions API'sinde kullanılamaz.
Microsoft Defender portalında oturum açın.
Uç Noktalar > Cihaz envanterine gidin ve araştıracak bir cihaz seçin. Cihazlar sayfası açılır.
Canlı yanıt oturumunu başlat'ı seçerek canlı yanıt oturumunu başlatın. Bir komut konsolu görüntülenir. Oturum cihaza bağlanırken bekleyin.
Araştırma çalışması yapmak için yerleşik komutları kullanın. Daha fazla bilgi için bkz . Canlı yanıt komutları.
Araştırmanızı tamamladıktan sonra Oturumu kes'i ve ardından Onayla'yı seçin.
Canlı yanıt komutları
Size verilen role bağlı olarak, temel veya gelişmiş canlı yanıt komutlarını çalıştırabilirsiniz. Kullanıcı izinleri RBAC özel rolleri tarafından denetlenmektedir. Rol atamaları hakkında daha fazla bilgi için bkz. rolleri İçerik Oluşturucu ve yönetme.
Not
Canlı yanıt bulut tabanlı etkileşimli bir kabuk olduğundan, belirli komut deneyimi son kullanıcı ile hedef cihaz arasındaki ağ kalitesine ve sistem yüküne bağlı olarak yanıt süresinde değişebilir.
Temel komutlar
Aşağıdaki komutlar, temel canlı yanıt komutlarını çalıştırma özelliği verilen kullanıcı rolleri için kullanılabilir. Rol atamaları hakkında daha fazla bilgi için bkz. rolleri İçerik Oluşturucu ve yönetme.
Komut
Açıklama
Windows ve Windows Server
macOS
Linux
cd
Geçerli dizini değiştirir.
E
E
E
cls
Konsol ekranını temizler.
E
E
E
connect
Cihaza canlı yanıt oturumu başlatır.
E
E
E
connections
Tüm etkin bağlantıları gösterir.
E
N
N
dir
Dizindeki dosyaların ve alt dizinlerin listesini gösterir.
E
E
E
drivers
Cihazda yüklü olan tüm sürücüleri gösterir.
E
N
N
fg <command ID>
Belirtilen işi ön plana yerleştirerek geçerli iş haline getirir. fg PiD değil işlerden kullanılabilir bir alan aldığına command ID dikkat edin.
E
E
E
fileinfo
Dosya hakkında bilgi edinin.
E
E
E
findfile
Cihazdaki belirli bir ada göre dosyaları bulur.
E
E
E
getfile <file_path>
Bir dosya indirir.
E
E
E
help
Canlı yanıt komutları için yardım bilgileri sağlar.
E
E
E
jobs
Çalışmakta olan işleri, kimliklerini ve durumlarını gösterir.
E
E
E
persistence
Cihazda bilinen tüm kalıcılık yöntemlerini gösterir.
E
N
N
processes
Cihazda çalışan tüm işlemleri gösterir.
E
E
E
registry
Kayıt defteri değerlerini gösterir.
E
N
N
scheduledtasks
Cihazdaki tüm zamanlanmış görevleri gösterir.
E
N
N
services
Cihazdaki tüm hizmetleri gösterir.
E
N
N
startupfolders
Cihazdaki başlangıç klasörlerindeki tüm bilinen dosyaları gösterir.
E
N
N
status
Belirli bir komutun durumunu ve çıkışını gösterir.
E
E
E
trace
Hata ayıklamak için terminalin günlük modunu ayarlar.
E
E
E
Gelişmiş komutlar
Gelişmiş canlı yanıt komutlarını çalıştırma yeteneği verilen kullanıcı rolleri için aşağıdaki komutlar kullanılabilir. Rol atamaları hakkında daha fazla bilgi için bkz. rolleri İçerik Oluşturucu ve yönetme.
Komut
Açıklama
Windows ve Windows Server
macOS
Linux
analyze
Bir karara ulaşmak için varlığı çeşitli eğim altyapılarıyla analiz eder.
E
N
N
collect
Cihazdan adli tıp paketini toplar.
N
E
E
isolate
Uç Nokta için Defender hizmetine bağlantıyı korurken cihazın ağ bağlantısını keser.
N
E
N
release
Bir cihazı ağ yalıtımından serbest bırakır.
N
E
N
run
Cihazdaki kitaplıktan bir PowerShell betiği çalıştırır.
E
E
E
library
Canlı yanıt kitaplığına yüklenen dosyaları Listeler.
E
E
E
putfile
Kitaplıktan cihaza bir dosya yerleştirir. Dosyalar çalışma klasörüne kaydedilir ve cihaz varsayılan olarak yeniden başlatıldığında silinir.
E
E
E
remediate
Cihazdaki bir varlığı düzeltin. Düzeltme eylemi, varlık türüne bağlı olarak değişir: - Dosya: silme - İşlem: görüntü dosyasını durdurma, silme - Hizmet: görüntü dosyasını durdurma, silme - Kayıt defteri girdisi: delete - Zamanlanmış görev: kaldırma - Başlangıç klasörü öğesi: dosyayı silme
Bu komutun bir önkoşul komutu vardır. Önkoşul komutunu otomatik olarak çalıştırmak için komutunu düzeltme ile birlikte kullanabilirsiniz -auto .
E
E
E
scan
Kötü amaçlı yazılımları tanımlamaya ve düzeltmeye yardımcı olmak için hızlı bir virüsten koruma taraması çalıştırır.
N
E
E
undo
Düzeltilmiş bir varlığı geri yükler.
E
N
N
Not
Canlı yanıt komutu için putfile aşağıdaki dosya boyutu sınırları geçerlidir:
Windows: 300 MB
Diğer platformlar: 10 MB
Canlı yanıt komutlarını kullanma
Konsolunda kullanabileceğiniz komutlar , Windows Komutları ile benzer ilkeleri izler.
Gelişmiş komutlar, bir dosyayı indirip karşıya yükleme, betikleri cihazda çalıştırma ve bir varlıkta düzeltme eylemleri gerçekleştirme gibi daha güçlü eylemler gerçekleştirmenize olanak sağlayan daha güçlü bir eylem kümesi sunar.
Cihazdan dosya alma
Araştırdığınız bir cihazdan dosya almak istediğiniz senaryolar için komutunu kullanabilirsiniz getfile . Bu, daha fazla araştırma için dosyayı cihazdan kaydetmenizi sağlar.
Not
Aşağıdaki dosya boyutu sınırları geçerlidir:
getfile sınır: 3 GB
fileinfo sınır: 30 GB
library sınır: 250 MB
Arka planda dosya indirme
Güvenlik operasyonları ekibinizin etkilenen bir cihazı araştırmaya devam edebilmesi için dosyalar artık arka planda indirilebilir.
Arka planda bir dosya indirmek için canlı yanıt komut konsoluna yazın download <file_path> &.
Bir dosyanın indirilmesi için bekliyorsanız, Ctrl + Z tuşlarını kullanarak dosyayı arka plana taşıyabilirsiniz.
Bir dosya indirmesini ön plana getirmek için canlı yanıt komut konsoluna yazın fg <command_id>.
İşte birkaç örnek:
Komut
Ne işe yarıyor?
getfile "C:\windows\some_file.exe" &
Arka planda some_file.exe adlı bir dosyayı indirmeye başlar.
fg 1234
Ön plana 1234 komut kimliğine sahip bir indirme döndürür.
Bir dosyayı kitaplığa yerleştirme
Canlı yanıt, dosyaları yerleştirebileceğiniz bir kitaplığa sahiptir. Kitaplık, kiracı düzeyinde canlı yanıt oturumunda çalıştırılabilir dosyaları (betikler gibi) depolar.
Canlı yanıt PowerShell betiklerinin çalıştırılmasına izin verir, ancak dosyaları çalıştırabilmek için önce kitaplığa yerleştirmeniz gerekir.
Canlı yanıt oturumları başlattığınız cihazlarda çalıştırabileceğiniz bir PowerShell betikleri koleksiyonunuz olabilir.
Kitaplığa dosya yüklemek için
Dosyayı kitaplığa yükle'ye tıklayın.
Gözat'a tıklayın ve dosyayı seçin.
Kısa bir açıklama sağlayın.
Aynı ada sahip bir dosyanın üzerine yazmak isteyip istediğinizi belirtin.
Betik için hangi parametrelerin gerekli olduğunu öğrenmek istiyorsanız, betik parametreleri onay kutusunu seçin. Metin alanına bir örnek ve açıklama girin.
Oturum sırasında istediğiniz zaman CTRL + C tuşlarına basarak bir komutu iptal edebilirsiniz.
Uyarı
Bu kısayolu kullanmak aracı tarafında komutu durdurmaz. Yalnızca portaldaki komutu iptal eder. Bu nedenle, komut iptal edilirken "düzeltme" gibi işlemlerin değiştirilmesi devam edebilir.
Betik çalıştırma
PowerShell/Bash betiğini çalıştırabilmeniz için önce bunu kitaplığa yüklemeniz gerekir.
Betiği kitaplığa yükledikten sonra komutunu kullanarak run betiği çalıştırın.
Oturumda imzalanmamış bir PowerShell betiği kullanmayı planlıyorsanız, Gelişmiş özellikler ayarları sayfasında ayarı etkinleştirmeniz gerekir.
Uyarı
İmzasız betiklerin kullanılmasına izin vermek, tehditlere maruz kalmanızı artırabilir.
Komut parametrelerini uygulama
Komut parametreleri hakkında bilgi edinmek için konsol yardımını görüntüleyin. Tek bir komut hakkında bilgi edinmek için şunu çalıştırın:
PowerShell
help <command name>
Komutlara parametre uygularken, parametrelerin sabit bir düzene göre işlendiğini unutmayın:
PowerShell
<command name> param1 param2
Parametreleri sabit sıranın dışında belirtirken, değeri sağlamadan önce parametrenin adını kısa çizgiyle belirtin:
PowerShell
<command name> -param2_nameparam2
Önkoşul komutları olan komutları kullanırken bayrakları kullanabilirsiniz:
PowerShell
<command name> -type file -id <file path> - auto
veya
PowerShell
remediate file <file path> - auto`
Desteklenen çıkış türleri
Canlı yanıt, tablo ve JSON biçimi çıkış türlerini destekler. Her komut için varsayılan bir çıkış davranışı vardır. Aşağıdaki komutları kullanarak tercih ettiğiniz çıkış biçimindeki çıkışı değiştirebilirsiniz:
-output json
-output table
Not
Sınırlı alan nedeniyle daha az alan tablo biçiminde gösterilir. Çıktıda daha fazla ayrıntı görmek için JSON çıkış komutunu kullanarak daha fazla ayrıntı gösterebilirsiniz.
Desteklenen çıkış kanalları
Canlı yanıt, CLI ve dosyaya giden çıkış borularını destekler. CLI, varsayılan çıkış davranışıdır. Şu komutu kullanarak çıkışı bir dosyaya aktarabilirsiniz: [command] > [filename].txt.
Örneğin:
Console
processes > output.txt
Komut günlüğünü görüntüleme
Oturum sırasında cihazda kullanılan komutları görmek için Komut günlüğü sekmesini seçin. Her komut, şu gibi tüm ayrıntılarla izlenir:
Kimlik
Komut satırı
Süre
Durum ve giriş veya çıkış yan çubuğu
Sınırlamalar
Canlı yanıt oturumları, aynı anda 25 canlı yanıt oturumuyla sınırlıdır.
Etkin olmayan canlı yanıt oturumu zaman aşımı değeri 30 dakikadır.
Tek tek canlı yanıt komutlarının 30 dakika sınırı olan , findfileve rundışında getfile10 dakikalık bir zaman sınırı vardır.
Bir kullanıcı en fazla 10 eşzamanlı oturum başlatabilir.
Bir cihaz aynı anda yalnızca bir oturumda olabilir.