Investigar entidades en dispositivos con respuesta en directoInvestigate entities on devices using live response

Se aplica a:Applies to:

¿Desea experimentar Defender for Endpoint?Want to experience Defender for Endpoint? Regístrate para obtener una versión de prueba gratuita.Sign up for a free trial.

La respuesta en directo proporciona a los equipos de operaciones de seguridad acceso instantáneo a un dispositivo (también denominado máquina) mediante una conexión remota del shell.Live response gives security operations teams instantaneous access to a device (also referred to as a machine) using a remote shell connection. Esto le da la capacidad de realizar un trabajo de investigación en profundidad y tomar acciones de respuesta inmediatas para contener rápidamente las amenazas identificadas, en tiempo real.This gives you the power to do in-depth investigative work and take immediate response actions to promptly contain identified threats—in real time.

La respuesta activa está diseñada para mejorar las investigaciones, ya que permite al equipo de operaciones de seguridad recopilar datos forenses, ejecutar scripts, enviar entidades sospechosas para su análisis, corregir amenazas y buscar proactivamente amenazas emergentes.Live response is designed to enhance investigations by enabling your security operations team to collect forensic data, run scripts, send suspicious entities for analysis, remediate threats, and proactively hunt for emerging threats.

Con la respuesta en directo, los analistas pueden realizar todas las tareas siguientes:With live response, analysts can do all of the following tasks:

  • Ejecute comandos básicos y avanzados para realizar trabajos de investigación en un dispositivo.Run basic and advanced commands to do investigative work on a device.
  • Descargue archivos como ejemplos de malware y resultados de scripts de PowerShell.Download files such as malware samples and outcomes of PowerShell scripts.
  • Descargar archivos en segundo plano (¡nuevo!).Download files in the background (new!).
  • Upload un script de PowerShell o ejecutable a la biblioteca y ejecutarlo en un dispositivo desde un nivel de inquilino.Upload a PowerShell script or executable to the library and run it on a device from a tenant level.
  • Realizar o deshacer acciones de corrección.Take or undo remediation actions.

Antes de empezarBefore you begin

Antes de iniciar una sesión en un dispositivo, asegúrate de cumplir los siguientes requisitos:Before you can initiate a session on a device, make sure you fulfill the following requirements:

  • Compruebe que está ejecutando una versión compatible de Windows.Verify that you're running a supported version of Windows.
    Los dispositivos deben ejecutar una de las siguientes versiones de WindowsDevices must be running one of the following versions of Windows

  • Habilitar la respuesta en directo desde la página de configuración avanzada.Enable live response from the advanced settings page.
    Tendrás que habilitar la funcionalidad de respuesta en directo en la página Configuración de características avanzadas.You'll need to enable the live response capability in the Advanced features settings page.

    Nota

    Solo los usuarios con roles de administración global o de seguridad pueden editar esta configuración.Only users with manage security or global admin roles can edit these settings.

  • Habilitar la respuesta en directo para los servidores desde la página de configuración avanzada (recomendado).Enable live response for servers from the advanced settings page (recommended).

    Nota

    Solo los usuarios con roles de administración global o de seguridad pueden editar esta configuración.Only users with manage security or global admin roles can edit these settings.

  • Asegúrese de que el dispositivo tiene asignado un nivel de corrección de automatización .Ensure that the device has an Automation Remediation level assigned to it.
    Tendrás que habilitar, al menos, el nivel mínimo de corrección para un grupo de dispositivos determinado.You'll need to enable, at least, the minimum Remediation Level for a given Device Group. De lo contrario, no podrá establecer una sesión de live response a un miembro de ese grupo.Otherwise you won't be able to establish a Live Response session to a member of that group.

    Recibirá el siguiente error:You'll receive the following error:

    Imagen del mensaje de error

  • Habilitar la ejecución de script sin signo de respuesta en directo (opcional).Enable live response unsigned script execution (optional).

    Advertencia

    Permitir el uso de scripts sin signo puede aumentar la exposición a amenazas.Allowing the use of unsigned scripts may increase your exposure to threats.

    No se recomienda ejecutar scripts sin firma, ya que puede aumentar la exposición a amenazas.Running unsigned scripts is not recommended as it can increase your exposure to threats. Sin embargo, si debe usarlos, deberá habilitar la configuración en la página Configuración de características avanzadas.If you must use them however, you'll need to enable the setting in the Advanced features settings page.

  • Asegúrese de que tiene los permisos adecuados.Ensure that you have the appropriate permissions.
    Solo los usuarios que se han aprovisionado con los permisos adecuados pueden iniciar una sesión.Only users who have been provisioned with the appropriate permissions can initiate a session. Para obtener más información sobre las asignaciones de roles, vea Create and manage roles.For more information on role assignments, see Create and manage roles.

    Importante

    La opción para cargar un archivo en la biblioteca solo está disponible para aquellos con los permisos RBAC adecuados.The option to upload a file to the library is only available to those with the appropriate RBAC permissions. El botón está gris para los usuarios con solo permisos delegados.The button is greyed out for users with only delegated permissions.

    Según el rol que se le haya concedido, puede ejecutar comandos de respuesta en directo básicos o avanzados.Depending on the role that's been granted to you, you can run basic or advanced live response commands. Los permisos de los usuarios están controlados por el rol personalizado RBAC.Users permissions are controlled by RBAC custom role.

Introducción al panel de respuestas en directoLive response dashboard overview

Cuando inicias una sesión de respuesta en directo en un dispositivo, se abre un panel.When you initiate a live response session on a device, a dashboard opens. El panel proporciona información sobre la sesión, como la siguiente:The dashboard provides information about the session such as the following:

  • Quién la sesiónWho created the session
  • Cuando se inició la sesiónWhen the session started
  • Duración de la sesiónThe duration of the session

El panel también le da acceso a:The dashboard also gives you access to:

  • Desconectar sesiónDisconnect session
  • Upload archivos a la bibliotecaUpload files to the library
  • Consola de comandosCommand console
  • Registro de comandosCommand log

Iniciar una sesión de respuesta en directo en un dispositivoInitiate a live response session on a device

  1. Inicie sesión en Centro de seguridad de Microsoft Defender.Sign in to Microsoft Defender Security Center.

  2. Vaya a la página de lista de dispositivos y seleccione un dispositivo para investigar.Navigate to the devices list page and select a device to investigate. Se abre la página dispositivos.The devices page opens.

  3. Inicie la sesión de respuesta activa seleccionando Iniciar sesión de respuesta en directo.Launch the live response session by selecting Initiate live response session. Se muestra una consola de comandos.A command console is displayed. Espere mientras la sesión se conecta al dispositivo.Wait while the session connects to the device.

  4. Use los comandos integrados para realizar trabajos de investigación.Use the built-in commands to do investigative work. Para obtener más información, vea Comandos de respuesta en directo.For more information, see Live response commands.

  5. Después de completar la investigación, seleccione Desconectar sesión y, a continuación, seleccione Confirmar.After completing your investigation, select Disconnect session, then select Confirm.

Comandos de respuesta en directoLive response commands

Según el rol que se le haya concedido, puede ejecutar comandos de respuesta en directo básicos o avanzados.Depending on the role that's been granted to you, you can run basic or advanced live response commands. Los permisos de usuario se controlan mediante roles personalizados rbac.User permissions are controlled by RBAC custom roles. Para obtener más información sobre las asignaciones de roles, vea Create and manage roles.For more information on role assignments, see Create and manage roles.

Nota

La respuesta en directo es un shell interactivo basado en la nube, por lo que la experiencia de comandos específica puede variar en el tiempo de respuesta según la calidad de la red y la carga del sistema entre el usuario final y el dispositivo de destino.Live response is a cloud-based interactive shell, as such, specific command experience may vary in response time depending on network quality and system load between the end user and the target device.

Comandos básicosBasic commands

Los siguientes comandos están disponibles para los roles de usuario a los que se les concede la capacidad de ejecutar comandos básicos de respuesta en directo.The following commands are available for user roles that are granted the ability to run basic live response commands. Para obtener más información sobre las asignaciones de roles, vea Create and manage roles.For more information on role assignments, see Create and manage roles.

ComandoCommand DescripciónDescription
cd Cambia el directorio actual.Changes the current directory.
cls Borra la pantalla de la consola.Clears the console screen.
connect Inicia una sesión de respuesta en directo al dispositivo.Initiates a live response session to the device.
connections Muestra todas las conexiones activas.Shows all the active connections.
dir Muestra una lista de archivos y subdirectorios en un directorio.Shows a list of files and subdirectories in a directory.
drivers Muestra todos los controladores instalados en el dispositivo.Shows all drivers installed on the device.
fg <command ID> Coloque el trabajo especificado en primer plano en primer plano, lo que lo hace el trabajo actual.Place the specified job in the foreground in the foreground, making it the current job.
NOTA: fg toma un "identificador de comando" disponible desde trabajos, no un PIDNOTE: fg takes a “command ID” available from jobs, not a PID
fileinfo Obtener información acerca de un archivo.Get information about a file.
findfile Localiza los archivos por un nombre determinado en el dispositivo.Locates files by a given name on the device.
getfile <file_path> Descarga un archivo.Downloads a file.
help Proporciona información de ayuda para comandos de respuesta en directo.Provides help information for live response commands.
jobs Muestra trabajos en ejecución, su identificador y estado.Shows currently running jobs, their ID and status.
persistence Muestra todos los métodos de persistencia conocidos en el dispositivo.Shows all known persistence methods on the device.
processes Muestra todos los procesos que se ejecutan en el dispositivo.Shows all processes running on the device.
registry Muestra los valores del Registro.Shows registry values.
scheduledtasks Muestra todas las tareas programadas en el dispositivo.Shows all scheduled tasks on the device.
services Muestra todos los servicios del dispositivo.Shows all services on the device.
trace Establece el modo de registro del terminal en depuración.Sets the terminal's logging mode to debug.

Comandos avanzadosAdvanced commands

Los siguientes comandos están disponibles para los roles de usuario a los que se les concede la capacidad de ejecutar comandos avanzados de respuesta en directo.The following commands are available for user roles that are granted the ability to run advanced live response commands. Para obtener más información sobre las asignaciones de roles, vea Create and manage roles.For more information on role assignments, see Create and manage roles.

ComandoCommand DescripciónDescription
analyze Analiza la entidad con varios motores de incriminación para llegar a un veredicto.Analyses the entity with various incrimination engines to reach a verdict.
run Ejecuta un script de PowerShell desde la biblioteca en el dispositivo.Runs a PowerShell script from the library on the device.
library Enumera los archivos que se cargaron en la biblioteca de respuestas en directo.Lists files that were uploaded to the live response library.
putfile Coloca un archivo de la biblioteca en el dispositivo.Puts a file from the library to the device. Los archivos se guardan en una carpeta de trabajo y se eliminan cuando el dispositivo se reinicia de forma predeterminada.Files are saved in a working folder and are deleted when the device restarts by default.
remediate Corrige una entidad en el dispositivo.Remediates an entity on the device. La acción de corrección variará según el tipo de entidad:The remediation action will vary depending on the entity type:
- Archivo: eliminar- File: delete
- Proceso: detener, eliminar archivo de imagen- Process: stop, delete image file
- Servicio: detener, eliminar archivo de imagen- Service: stop, delete image file
- Entrada del Registro: eliminar- Registry entry: delete
- Tarea programada: quitar- Scheduled task: remove
- Elemento de carpeta de inicio: eliminar archivo- Startup folder item: delete file
NOTA: Este comando tiene un comando de requisito previo.NOTE: This command has a prerequisite command. Puede usar el -auto comando junto con para ejecutar automáticamente el comando de remediate requisitos previos.You can use the -auto command in conjunction with remediate to automatically run the prerequisite command.
undo Restaura una entidad que se ha corregido.Restores an entity that was remediated.

Usar comandos de respuesta en directoUse live response commands

Los comandos que se pueden usar en la consola siguen principios similares a Windows comandos.The commands that you can use in the console follow similar principles as Windows Commands.

Los comandos avanzados ofrecen un conjunto más sólido de acciones que te permiten realizar acciones más eficaces, como descargar y cargar un archivo, ejecutar scripts en el dispositivo y realizar acciones de corrección en una entidad.The advanced commands offer a more robust set of actions that allow you to take more powerful actions such as download and upload a file, run scripts on the device, and take remediation actions on an entity.

Obtener un archivo del dispositivoGet a file from the device

Para escenarios en los que quieras obtener un archivo de un dispositivo que estés investigando, puedes usar el getfile comando.For scenarios when you'd like get a file from a device you're investigating, you can use the getfile command. Esto te permite guardar el archivo del dispositivo para una investigación posterior.This allows you to save the file from the device for further investigation.

Nota

Se aplican los siguientes límites de tamaño de archivo:The following file size limits apply:

  • getfile límite: 3 GBgetfile limit: 3 GB
  • fileinfo límite: 10 GBfileinfo limit: 10 GB
  • library límite: 250 MBlibrary limit: 250 MB

Descargar un archivo en segundo planoDownload a file in the background

Para permitir que el equipo de operaciones de seguridad continúe investigando un dispositivo afectado, los archivos ahora se pueden descargar en segundo plano.To enable your security operations team to continue investigating an impacted device, files can now be downloaded in the background.

  • Para descargar un archivo en segundo plano, en la consola de comandos de respuesta en directo, escriba download <file_path> & .To download a file in the background, in the live response command console, type download <file_path> &.
  • Si está esperando a que se descargue un archivo, puede moverlo al fondo mediante Ctrl + Z.If you are waiting for a file to be downloaded, you can move it to the background by using Ctrl + Z.
  • Para llevar una descarga de archivos al primer plano, en la consola de comandos de respuesta en directo, escriba fg <command_id> .To bring a file download to the foreground, in the live response command console, type fg <command_id>.

Estos son algunos ejemplos:Here are some examples:

CommandCommand Qué haceWhat it does
getfile "C:\windows\some_file.exe" & Inicia la descarga de un archivo denominadosome_file.exe en segundo plano.Starts downloading a file named some_file.exe in the background.
fg 1234 Devuelve una descarga con el identificador de comando 1234 en primer plano.Returns a download with command ID 1234 to the foreground.

Colocar un archivo en la bibliotecaPut a file in the library

La respuesta en directo tiene una biblioteca en la que puede colocar archivos.Live response has a library where you can put files into. La biblioteca almacena archivos (como scripts) que se pueden ejecutar en una sesión de respuesta activa en el nivel de inquilino.The library stores files (such as scripts) that can be run in a live response session at the tenant level.

La respuesta en directo permite ejecutar scripts de PowerShell, pero primero debe colocar los archivos en la biblioteca antes de poder ejecutarlos.Live response allows PowerShell scripts to run, however you must first put the files into the library before you can run them.

Puede tener una colección de scripts de PowerShell que se pueden ejecutar en dispositivos con los que inicie sesiones de respuesta en directo.You can have a collection of PowerShell scripts that can run on devices that you initiate live response sessions with.

Para cargar un archivo en la bibliotecaTo upload a file in the library

  1. Haga clic Upload archivo en la biblioteca.Click Upload file to library.

  2. Haga clic en Examinar y seleccione el archivo.Click Browse and select the file.

  3. Proporcione una breve descripción.Provide a brief description.

  4. Especifica si quieres sobrescribir un archivo con el mismo nombre.Specify if you'd like to overwrite a file with the same name.

  5. Si desea serlo, sepa qué parámetros son necesarios para el script, active la casilla parámetros de script.If you'd like to be, know what parameters are needed for the script, select the script parameters check box. En el campo de texto, escriba un ejemplo y una descripción.In the text field, enter an example and a description.

  6. Haga clic en Confirmar.Click Confirm.

  7. (Opcional) Para comprobar que el archivo se ha cargado en la biblioteca, ejecute el library comando.(Optional) To verify that the file was uploaded to the library, run the library command.

Cancelar un comandoCancel a command

En cualquier momento durante una sesión, puede cancelar un comando presionando CTRL + C.Anytime during a session, you can cancel a command by pressing CTRL + C.

Advertencia

El uso de este acceso directo no detendrá el comando en el lado del agente.Using this shortcut will not stop the command in the agent side. Solo cancelará el comando en el portal.It will only cancel the command in the portal. Por lo tanto, el cambio de operaciones como "remediate" puede continuar, mientras que el comando se cancela.So, changing operations such as "remediate" may continue, while the command is canceled.

Ejecutar un script de PowerShellRun a PowerShell script

Para poder ejecutar un script de PowerShell, primero debe cargarlo en la biblioteca.Before you can run a PowerShell script, you must first upload it to the library.

Después de cargar el script en la biblioteca, use el run comando para ejecutar el script.After uploading the script to the library, use the run command to run the script.

Si planea usar un script sin signo en la sesión, deberá habilitar la configuración en la página Configuración de características avanzadas.If you plan to use an unsigned script in the session, you'll need to enable the setting in the Advanced features settings page.

Advertencia

Permitir el uso de scripts sin signo puede aumentar la exposición a amenazas.Allowing the use of unsigned scripts may increase your exposure to threats.

Aplicar parámetros de comandoApply command parameters

  • Vea la ayuda de la consola para obtener información sobre los parámetros de comandos.View the console help to learn about command parameters. Para obtener información sobre un comando individual, ejecute:To learn about an individual command, run:

    help <command name>

  • Al aplicar parámetros a comandos, tenga en cuenta que los parámetros se controlan en función de un orden fijo:When applying parameters to commands, note that parameters are handled based on a fixed order:

    <command name> param1 param2

  • Al especificar parámetros fuera del orden fijo, especifique el nombre del parámetro con un guión antes de proporcionar el valor:When specifying parameters outside of the fixed order, specify the name of the parameter with a hyphen before providing the value:

    <command name> -param2_name param2

  • Al usar comandos que tienen comandos de requisitos previos, puede usar marcas:When using commands that have prerequisite commands, you can use flags:

    <command name> -type file -id <file path> - auto o remediate file <file path> - auto.<command name> -type file -id <file path> - auto or remediate file <file path> - auto.

Tipos de salida compatiblesSupported output types

La respuesta en directo admite tipos de salida de formato JSON y tabla.Live response supports table and JSON format output types. Para cada comando, hay un comportamiento de salida predeterminado.For each command, there's a default output behavior. Puede modificar el resultado en el formato de salida preferido mediante los siguientes comandos:You can modify the output in your preferred output format using the following commands:

  • -output json
  • -output table

Nota

Se muestran menos campos en formato de tabla debido al espacio limitado.Fewer fields are shown in table format due to the limited space. Para ver más detalles en el resultado, puede usar el comando de salida JSON para que se muestran más detalles.To see more details in the output, you can use the JSON output command so that more details are shown.

Canalizaciones de salida admitidasSupported output pipes

La respuesta en directo admite la canalización de salida a la CLI y al archivo.Live response supports output piping to CLI and file. CLI es el comportamiento de salida predeterminado.CLI is the default output behavior. Puede canalizar el resultado a un archivo mediante el siguiente comando: [comando] > [filename].txt.You can pipe the output to a file using the following command: [command] > [filename].txt.

Ejemplo:Example:

processes > output.txt

Ver el registro de comandosView the command log

Selecciona la pestaña Registro de comandos para ver los comandos usados en el dispositivo durante una sesión.Select the Command log tab to see the commands used on the device during a session. Cada comando se realiza un seguimiento con detalles completos como:Each command is tracked with full details such as:

  • IDID
  • Línea de comandosCommand line
  • DuraciónDuration
  • Estado y barra lateral de entrada o salidaStatus and input or output side bar

LimitacionesLimitations

  • Las sesiones de respuesta en directo están limitadas a 25 sesiones de respuesta en directo a la vez.Live response sessions are limited to 25 live response sessions at a time.
  • El valor de tiempo de espera inactivo de la sesión de respuesta en directo es de 30 minutos.Live response session inactive timeout value is 30 minutes.
  • Un usuario puede iniciar hasta 10 sesiones simultáneas.A user can initiate up to 10 concurrent sessions.
  • Un dispositivo solo puede estar en una sesión a la vez.A device can only be in one session at a time.
  • Se aplican los siguientes límites de tamaño de archivo:The following file size limits apply:
    • getfile límite: 3 GBgetfile limit: 3 GB
    • fileinfo límite: 10 GBfileinfo limit: 10 GB
    • library límite: 250 MBlibrary limit: 250 MB

Artículo relacionadoRelated article