訓練
認證
Microsoft Certified: Security Operations Analyst Associate - Certifications
使用 Microsoft Sentinel、適用於雲端的 Microsoft Defender 和 Microsoft 365 Defender 調查、搜尋及降低威脅。
適用於:
想要體驗適用於端點的 Microsoft Defender 嗎? 注册免費試用版。
即時回應可讓安全性作業小組立即存取裝置 (也稱為使用遠端殼層連線的電腦) 。 即時回應可讓您執行深入調查工作,並立即採取回應動作,以即時立即包含已識別的威脅。
實時回應的設計目的是讓安全性作業小組收集鑑識數據、執行腳本、傳送可疑實體以進行分析、補救威脅,以及主動搜捕新興威脅,藉此加強調查。
透過即時回應,分析師可以執行下列所有工作:
在裝置上起始會話之前,請確定您符合下列需求:
確認您正在執行支援的 Windows 版本。
裝置必須執行下列其中一個 Windows 版本
Windows 10 & 11
macOS - 最低必要版本:101.43.84。 支援 Intel 型和 ARM 型 macOS 裝置。
Linux - 最低必要版本:101.45.13
Windows Server 2012 R2 - KB5005292
Windows Server 2016- KB5005292
注意
針對 Windows Server 2012R2 或 2016,您必須安裝 整合代理 程式,並建議您使用 KB5005292 修補到最新的感測器版本。
Windows Server 2019
Windows Server 2022
從進階設定頁面啟用實時回應。
您必須在 [進階 功能設定 ] 頁面中啟用即時回應功能。
注意
只有具有「管理入口網站設定」許可權的系統管理員和使用者才能啟用即時回應。
從 [進階設定] 頁面啟用伺服器的即時回應 (建議的) 。
注意
只有具有「管理入口網站設定」許可權的系統管理員和使用者才能啟用即時回應。
啟用即時回應未簽署的腳本執行 (選擇性) 。
重要
簽章驗證僅適用於PowerShell腳本。
警告
允許使用未簽署的腳本可能會增加您暴露於威脅的風險。
不建議執行未簽署的腳本,因為它可能會增加您暴露於威脅的風險。 不過,如果您必須使用它們,您必須在 [ 進階功能設定 ] 頁面中啟用設定。
請確定您具有適當的許可權。
只有使用適當許可權布建的使用者才能起始會話。 如需角色指派的詳細資訊,請參閱 Create 和管理角色。
重要
將檔案上傳至連結庫的選項僅適用於具有「管理安全性設定」許可權的使用者。 只有委派許可權的使用者按鈕會呈現灰色。
根據已授與您的角色,您可以執行基本或進階即時回應命令。 用戶權力是由 RBAC 自定義角色所控制。
當您在裝置上起始即時回應會話時,儀錶板隨即開啟。 儀錶板提供會話的相關信息,如下所示:
儀錶板也可讓您存取:
注意
計算機 API 中無法使用從 [裝置] 頁面起始的即時回應動作。
登入 Microsoft Defender 入口網站。
流覽至 [端點 > 裝置清查] ,然後選取要調查的裝置。 裝置頁面隨即開啟。
選取 [ 起始實時回應會話],以啟動即時回應會話。 隨即顯示命令主控台。 等候會話連線到裝置。
使用內建命令來執行調查工作。 如需詳細資訊,請 參閱實時回應命令。
完成調查之後,選取 [ 中斷聯機會話],然後選取 [ 確認]。
根據已授與您的角色,您可以執行基本或進階即時回應命令。 用戶權力是由 RBAC 自定義角色所控制。 如需角色指派的詳細資訊,請參閱 Create 和管理角色。
注意
實時回應是雲端式互動式殼層,因此特定的命令體驗可能會因終端使用者與目標裝置之間的網路品質和系統負載而有所不同,在回應時間上有所不同。
下列命令適用於獲授與執行 基本 實時回應命令能力的使用者角色。 如需角色指派的詳細資訊,請參閱 Create 和管理角色。
命令 | 描述 | Windows 和 Windows Server | macOS | Linux |
---|---|---|---|---|
cd |
變更當前目錄。 | Y | Y | Y |
cls |
清除主控台畫面。 | Y | Y | Y |
connect |
起始裝置的即時回應會話。 | Y | Y | Y |
connections |
顯示所有作用中的連線。 | Y | N | N |
dir |
顯示目錄中的檔案和子目錄清單。 | Y | Y | Y |
drivers |
顯示裝置上安裝的所有驅動程式。 | Y | N | N |
fg <command ID> |
將指定的作業放在前景,使其成為目前的作業。 請注意, fg 會 command ID 從作業取得可用的 ,而非 PID。 |
Y | Y | Y |
fileinfo |
取得檔案的相關信息。 | Y | Y | Y |
findfile |
在裝置上依指定名稱尋找檔案。 | Y | Y | Y |
getfile <file_path> |
下載檔案。 | Y | Y | Y |
help |
提供即時回應命令的說明資訊。 | Y | Y | Y |
jobs |
顯示目前正在執行的作業、其標識碼和狀態。 | Y | Y | Y |
persistence |
顯示裝置上所有已知的持續性方法。 | Y | N | N |
processes |
顯示在裝置上執行的所有進程。 | Y | Y | Y |
registry |
顯示登錄值。 | Y | N | N |
scheduledtasks |
顯示裝置上的所有排程工作。 | Y | N | N |
services |
顯示裝置上的所有服務。 | Y | N | N |
startupfolders |
顯示裝置上啟動資料夾中的所有已知檔案。 | Y | N | N |
status |
顯示特定命令的狀態和輸出。 | Y | Y | Y |
trace |
將終端機的記錄模式設定為偵錯。 | Y | Y | Y |
下列命令適用於獲授與執行 進 階即時回應命令能力的使用者角色。 如需角色指派的詳細資訊,請參閱 Create 和管理角色。
命令 | 描述 | Windows 和 Windows Server | macOS | Linux |
---|---|---|---|---|
analyze |
分析具有各種鑒別引擎的實體,以達成決策。 | Y | N | N |
collect |
從裝置收集鑑識套件。 | N | Y | Y |
isolate |
中斷裝置與網路的連線,同時保持對適用於端點的 Defender 服務的連線。 | N | Y | N |
release |
從網路隔離釋放裝置。 | N | Y | N |
run |
從裝置上的連結庫執行PowerShell腳本。 | Y | Y | Y |
library |
清單 上傳至即時回應連結庫的檔案。 | Y | Y | Y |
putfile |
將檔案從連結庫放入裝置。 檔案會儲存在工作資料夾中,而且預設會在裝置重新啟動時刪除。 | Y | Y | Y |
remediate |
補救裝置上的實體。 補救動作會根據實體類型而有所不同: - 檔案:刪除 - 處理:停止、刪除影像檔案 - 服務:停止、刪除圖像檔案 - 登錄專案:刪除 - 排程工作:移除 - 啟動資料夾專案:刪除檔案 此命令具有必要條件命令。 您可以使用 -auto 命令搭配補救,自動執行必要條件命令。 |
Y | Y | Y |
scan |
執行快速防病毒軟體掃描,以協助識別和補救惡意代碼。 | N | Y | Y |
undo |
還原已修復的實體。 | Y | N | N |
注意
即時回應命令適用 putfile
下列檔案大小限制:
您可以在控制台中使用的命令遵循與 Windows 命令類似的原則。
進階命令提供一組更健全的動作,可讓您採取更強大的動作,例如下載和上傳檔案、在裝置上執行腳本,以及對實體採取補救動作。
針對您想要從所調查裝置取得檔案的案例,您可以使用 getfile
命令。 這可讓您從裝置儲存盤案,以供進一步調查。
注意
適用下列檔案大小限制:
getfile
限制:3 GBfileinfo
限制:30 GBlibrary
限制:250 MB若要讓安全性作業小組繼續調查受影響的裝置,現在可以在背景下載檔案。
download <file_path> &
。fg <command_id>
。範例如下:
命令 | 功能 |
---|---|
getfile "C:\windows\some_file.exe" & |
開始在背景下載名為 some_file.exe 的檔案。 |
fg 1234 |
傳回具有命令標識碼 1234 的下載至前景。 |
實時回應有一個可放入檔案的連結庫。 連結庫會儲存 (檔案,例如可在租用戶層級的即時回應會話中執行的腳本) 。
實時回應可讓PowerShell腳本執行,不過您必須先將檔案放入連結庫,才能執行它們。
您可以擁有PowerShell腳本的集合,這些腳本可以在起始即時回應會話的裝置上執行。
按兩下 [將檔案上傳至文檔庫]。
按兩下 [瀏覽 ] 並選取檔案。
提供簡短的描述。
指定您是否要以相同的名稱覆寫檔案。
如果您想要這麼做,請知道腳本需要哪些參數,請選取 [腳本參數] 複選框。 在文字欄位中,輸入範例和描述。
按兩下 [確認]。
(選擇性) 若要確認檔案已上傳至連結庫,請執行 library
命令。
每當工作階段期間,您都可以按 CTRL + C 來取消命令。
警告
使用此快捷方式並不會停止代理程式端中的命令。 它只會取消入口網站中的 命令。 因此,在取消命令時,可能會繼續變更「補救」之類的作業。
您必須先將其上傳至連結庫,才能執行 PowerShell/Bash 腳本。
將腳本上傳至連結庫之後,請使用 run
命令來執行腳本。
如果您打算在會話中使用未簽署的PowerShell腳本,則必須在[ 進階功能設定 ] 頁面中啟用設定。
警告
允許使用未簽署的腳本可能會增加您暴露於威脅的風險。
檢視主控台說明以瞭解命令參數。 若要了解個別命令,請執行:
help <command name>
將參數套用至命令時,請注意,參數是根據固定順序來處理:
<command name> param1 param2
在固定順序之外指定參數時,請先指定具有連字元的參數名稱,再提供值:
<command name> -param2_name param2
使用具有必要條件命令的命令時,您可以使用旗標:
<command name> -type file -id <file path> - auto
或
remediate file <file path> - auto`
即時回應支持資料表和 JSON 格式輸出類型。 每個命令都有預設的輸出行為。 您可以使用下列命令,以慣用的輸出格式修改輸出:
-output json
-output table
注意
由於空間有限,以數據表格式顯示的欄位較少。 若要查看輸出中的更多詳細數據,您可以使用 JSON 輸出命令,以顯示更多詳細資料。
即時回應支援 CLI 和檔案的輸出管線。 CLI 是預設的輸出行為。 您可以使用下列命令將輸出傳送至檔案:[command] > [filename].txt。
例如:
processes > output.txt
選取 [ 命令記錄] 索引 標籤,以查看在會話期間裝置上使用的命令。 每個命令都會追蹤完整的詳細資料,例如:
findfile
和run
除外getfile
,其限制為30分鐘。getfile
限制:3 GBfileinfo
限制:30 GBlibrary
限制:250 MB提示
想要深入了解? Engage 技術社群中的 Microsoft 安全性社群:適用於端點的 Microsoft Defender 技術社群。
訓練
認證
Microsoft Certified: Security Operations Analyst Associate - Certifications
使用 Microsoft Sentinel、適用於雲端的 Microsoft Defender 和 Microsoft 365 Defender 調查、搜尋及降低威脅。