使用即時回應調查裝置上的實體
適用於:
想要體驗適用於端點的 Microsoft Defender 嗎? 注册免費試用版。
即時回應可讓安全性作業小組立即存取裝置 (也稱為使用遠端殼層連線的電腦) 。 即時回應可讓您執行深入調查工作,並立即採取回應動作,以即時立即包含已識別的威脅。
實時回應的設計目的是讓安全性作業小組收集鑑識數據、執行腳本、傳送可疑實體以進行分析、補救威脅,以及主動搜捕新興威脅,藉此加強調查。
透過即時回應,分析師可以執行下列所有工作:
- 執行基本和進階命令,以在裝置上執行調查工作。
- 下載檔案,例如惡意代碼範例和 PowerShell 腳本的結果。
- 在背景下載檔 (新的!) 。
- 將 PowerShell 腳本或可執行檔上傳至連結庫,並從租用戶層級在裝置上執行。
- 採取或復原補救動作。
開始之前
在裝置上起始會話之前,請確定您符合下列需求:
確認您正在執行支援的 Windows 版本。
裝置必須執行下列其中一個 Windows 版本
Windows 10 & 11
- 版本 1909 或更新版本
- 具有 KB4515384的 1903版
- 版本 1809 (RS 5) 與 KB4537818
- 版本 1803 (RS 4) 與 KB4537795
- 版本 1709 (RS 3) 與 KB4537816
macOS - 最低必要版本:101.43.84。 支援 Intel 型和 ARM 型 macOS 裝置。
Linux - 最低必要版本:101.45.13
Windows Server 2012 R2 - KB5005292
Windows Server 2016- KB5005292
注意事項
針對 Windows Server 2012R2 或 2016,您必須安裝 整合代理 程式,並建議您使用 KB5005292 修補到最新的感測器版本。
Windows Server 2019
Windows Server 2022
從進階設定頁面啟用實時回應。
您必須在 [進階 功能設定 ] 頁面中啟用即時回應功能。
注意事項
只有具有「管理入口網站設定」許可權的系統管理員和使用者才能啟用即時回應。
從 [進階設定] 頁面啟用伺服器的即時回應 (建議的) 。
注意事項
只有具有「管理入口網站設定」許可權的系統管理員和使用者才能啟用即時回應。
啟用即時回應未簽署的腳本執行 (選擇性) 。
重要事項
簽章驗證僅適用於PowerShell腳本。
警告
允許使用未簽署的腳本可能會增加您暴露於威脅的風險。
不建議執行未簽署的腳本,因為它可能會增加您暴露於威脅的風險。 不過,如果您必須使用它們,您必須在 [ 進階功能設定 ] 頁面中啟用設定。
請確定您具有適當的許可權。
只有使用適當許可權布建的使用者才能起始會話。 如需角色指派的詳細資訊,請參閱 Create 和管理角色。
重要事項
將檔案上傳至連結庫的選項僅適用於具有「管理安全性設定」許可權的使用者。 只有委派許可權的使用者按鈕會呈現灰色。
根據已授與您的角色,您可以執行基本或進階即時回應命令。 用戶權力是由 RBAC 自定義角色所控制。
即時回應儀錶板概觀
當您在裝置上起始即時回應會話時,儀錶板隨即開啟。 儀錶板提供會話的相關信息,如下所示:
- 建立工作階段的人員
- 工作階段啟動時
- 會話的持續時間
儀錶板也可讓您存取:
- 中斷會話連線
- 將檔案上傳至連結庫
- 命令主控台
- 命令記錄檔
在裝置上起始即時回應會話
注意事項
計算機 API 中無法使用從 [裝置] 頁面起始的即時回應動作。
登入 Microsoft Defender 入口網站。
流覽至 [端點 > 裝置清查] ,然後選取要調查的裝置。 裝置頁面隨即開啟。
選取 [ 起始實時回應會話],以啟動即時回應會話。 隨即顯示命令主控台。 等候會話連線到裝置。
使用內建命令來執行調查工作。 如需詳細資訊,請 參閱實時回應命令。
完成調查之後,選取 [ 中斷聯機會話],然後選取 [ 確認]。
即時回應命令
根據已授與您的角色,您可以執行基本或進階即時回應命令。 用戶權力是由 RBAC 自定義角色所控制。 如需角色指派的詳細資訊,請參閱 Create 和管理角色。
注意事項
實時回應是雲端式互動式殼層,因此特定的命令體驗可能會因終端使用者與目標裝置之間的網路品質和系統負載而有所不同,在回應時間上有所不同。
基本命令
下列命令適用於獲授與執行 基本 實時回應命令能力的使用者角色。 如需角色指派的詳細資訊,請參閱 Create 和管理角色。
| 命令 | 描述 | Windows 和 Windows Server | macOS | Linux |
|---|---|---|---|---|
cd |
變更當前目錄。 | Y | Y | Y |
cls |
清除主控台畫面。 | Y | Y | Y |
connect |
起始裝置的即時回應會話。 | Y | Y | Y |
connections |
顯示所有作用中的連線。 | Y | N | N |
dir |
顯示目錄中的檔案和子目錄清單。 | Y | Y | Y |
drivers |
顯示裝置上安裝的所有驅動程式。 | Y | N | N |
fg <command ID> |
將指定的作業放在前景,使其成為目前的作業。 請注意, fg 會 command ID 從作業取得可用的 ,而非 PID。 |
Y | Y | Y |
fileinfo |
取得檔案的相關信息。 | Y | Y | Y |
findfile |
在裝置上依指定名稱尋找檔案。 | Y | Y | Y |
getfile <file_path> |
下載檔案。 | Y | Y | Y |
help |
提供即時回應命令的說明資訊。 | Y | Y | Y |
jobs |
顯示目前正在執行的作業、其標識碼和狀態。 | Y | Y | Y |
persistence |
顯示裝置上所有已知的持續性方法。 | Y | N | N |
processes |
顯示在裝置上執行的所有進程。 | Y | Y | Y |
registry |
顯示登錄值。 | Y | N | N |
scheduledtasks |
顯示裝置上的所有排程工作。 | Y | N | N |
services |
顯示裝置上的所有服務。 | Y | N | N |
startupfolders |
顯示裝置上啟動資料夾中的所有已知檔案。 | Y | N | N |
status |
顯示特定命令的狀態和輸出。 | Y | Y | Y |
trace |
將終端機的記錄模式設定為偵錯。 | Y | Y | Y |
進階命令
下列命令適用於獲授與執行 進 階即時回應命令能力的使用者角色。 如需角色指派的詳細資訊,請參閱 Create 和管理角色。
| 命令 | 描述 | Windows 和 Windows Server | macOS | Linux |
|---|---|---|---|---|
analyze |
分析具有各種鑒別引擎的實體,以達成決策。 | Y | N | N |
collect |
從裝置收集鑑識套件。 | N | Y | Y |
isolate |
中斷裝置與網路的連線,同時保持對適用於端點的 Defender 服務的連線。 | N | Y | N |
release |
從網路隔離釋放裝置。 | N | Y | N |
run |
從裝置上的連結庫執行PowerShell腳本。 | Y | Y | Y |
library |
清單 上傳至即時回應連結庫的檔案。 | Y | Y | Y |
putfile |
將檔案從連結庫放入裝置。 檔案會儲存在工作資料夾中,而且預設會在裝置重新啟動時刪除。 | Y | Y | Y |
remediate |
補救裝置上的實體。 補救動作會根據實體類型而有所不同: - 檔案:刪除 - 處理:停止、刪除影像檔案 - 服務:停止、刪除圖像檔案 - 登錄專案:刪除 - 排程工作:移除 - 啟動資料夾專案:刪除檔案 此命令具有必要條件命令。 您可以使用 -auto 命令搭配補救,自動執行必要條件命令。 |
Y | Y | Y |
scan |
執行快速防病毒軟體掃描,以協助識別和補救惡意代碼。 | N | Y | Y |
undo |
還原已修復的實體。 | Y | N | N |
注意事項
即時回應命令適用 putfile 下列檔案大小限制:
- Windows:300 MB
- 其他平臺:10 MB
使用即時回應命令
您可以在控制台中使用的命令遵循與 Windows 命令類似的原則。
進階命令提供一組更健全的動作,可讓您採取更強大的動作,例如下載和上傳檔案、在裝置上執行腳本,以及對實體採取補救動作。
從裝置取得檔案
針對您想要從所調查裝置取得檔案的案例,您可以使用 getfile 命令。 這可讓您從裝置儲存盤案,以供進一步調查。
注意事項
適用下列檔案大小限制:
getfile限制:3 GBfileinfo限制:30 GBlibrary限制:250 MB
在背景下載檔案
若要讓安全性作業小組繼續調查受影響的裝置,現在可以在背景下載檔案。
- 若要在背景下載檔,請在即時回應命令控制台中輸入
download <file_path> &。 - 如果您正在等候下載檔,您可以使用 Ctrl + Z 將它移至背景。
- 若要將檔案下載帶入前景,請在即時回應命令控制台中輸入
fg <command_id>。
範例如下:
| 命令 | 功能 |
|---|---|
getfile "C:\windows\some_file.exe" & |
開始在背景下載名為 some_file.exe 的檔案。 |
fg 1234 |
傳回具有命令標識碼 1234 的下載至前景。 |
將檔案放在文檔庫中
實時回應有一個可放入檔案的連結庫。 連結庫會儲存 (檔案,例如可在租用戶層級的即時回應會話中執行的腳本) 。
實時回應可讓PowerShell腳本執行,不過您必須先將檔案放入連結庫,才能執行它們。
您可以擁有PowerShell腳本的集合,這些腳本可以在起始即時回應會話的裝置上執行。
上傳連結庫中的檔案
按兩下 [將檔案上傳至文檔庫]。
按兩下 [瀏覽 ] 並選取檔案。
提供簡短的描述。
指定您是否要以相同的名稱覆寫檔案。
如果您想要這麼做,請知道腳本需要哪些參數,請選取 [腳本參數] 複選框。 在文字欄位中,輸入範例和描述。
按兩下 [確認]。
(選擇性) 若要確認檔案已上傳至連結庫,請執行
library命令。
取消命令
每當工作階段期間,您都可以按 CTRL + C 來取消命令。
警告
使用此快捷方式並不會停止代理程式端中的命令。 它只會取消入口網站中的 命令。 因此,在取消命令時,可能會繼續變更「補救」之類的作業。
執行腳本
您必須先將其上傳至連結庫,才能執行 PowerShell/Bash 腳本。
將腳本上傳至連結庫之後,請使用 run 命令來執行腳本。
如果您打算在會話中使用未簽署的PowerShell腳本,則必須在[ 進階功能設定 ] 頁面中啟用設定。
警告
允許使用未簽署的腳本可能會增加您暴露於威脅的風險。
套用命令參數
檢視主控台說明以瞭解命令參數。 若要了解個別命令,請執行:
help <command name>將參數套用至命令時,請注意,參數是根據固定順序來處理:
<command name> param1 param2在固定順序之外指定參數時,請先指定具有連字元的參數名稱,再提供值:
<command name> -param2_name param2使用具有必要條件命令的命令時,您可以使用旗標:
<command name> -type file -id <file path> - auto或
remediate file <file path> - auto`
支援的輸出類型
即時回應支持資料表和 JSON 格式輸出類型。 每個命令都有預設的輸出行為。 您可以使用下列命令,以慣用的輸出格式修改輸出:
-output json-output table
注意事項
由於空間有限,以數據表格式顯示的欄位較少。 若要查看輸出中的更多詳細數據,您可以使用 JSON 輸出命令,以顯示更多詳細資料。
支援的輸出管道
即時回應支援 CLI 和檔案的輸出管線。 CLI 是預設的輸出行為。 您可以使用下列命令將輸出傳送至檔案:[command] > [filename].txt。
例如:
processes > output.txt
檢視命令記錄檔
選取 [ 命令記錄] 索引 標籤,以查看在會話期間裝置上使用的命令。 每個命令都會追蹤完整的詳細資料,例如:
- 識別碼
- 命令列
- 持續時間
- 狀態和輸入或輸出側邊欄
限制
- 即時回應會話一次限制為25個即時回應會話。
- 即時回應會話非作用中的逾時值為30分鐘。
- 個別實時回應命令的時間限製為10分鐘,但、
findfile和run除外getfile,其限制為30分鐘。 - 使用者最多可以起始 10 個並行會話。
- 裝置一次只能在一個會話中。
- 適用下列檔案大小限制:
getfile限制:3 GBfileinfo限制:30 GBlibrary限制:250 MB
相關文章
提示
想要深入了解? Engage 技術社群中的 Microsoft 安全性社群:適用於端點的 Microsoft Defender 技術社群。