Examiner les entités sur les appareils à l’aide de la réponse en direct

  • Article

S’applique à :

Vous voulez découvrir Defender pour point de terminaison ? Inscrivez-vous pour bénéficier d’un essai gratuit.

La réponse en direct permet aux équipes des opérations de sécurité d’accéder instantanément à un appareil (également appelé machine) à l’aide d’une connexion shell à distance. La réponse en direct vous donne le pouvoir d’effectuer un travail d’investigation approfondi et de prendre des mesures de réponse immédiates pour contenir rapidement les menaces identifiées en temps réel.

La réponse en direct est conçue pour améliorer les enquêtes en permettant à votre équipe des opérations de sécurité de collecter des données d’investigation, d’exécuter des scripts, d’envoyer des entités suspectes à des fins d’analyse, de corriger les menaces et de rechercher de manière proactive les menaces émergentes.

Avec la réponse en direct, les analystes peuvent effectuer toutes les tâches suivantes :

  • Exécutez des commandes de base et avancées pour effectuer un travail d’investigation sur un appareil.
  • Téléchargez des fichiers tels que des exemples de programmes malveillants et les résultats des scripts PowerShell.
  • Téléchargez les fichiers en arrière-plan (nouveau !).
  • Chargez un script PowerShell ou un exécutable dans la bibliothèque et exécutez-le sur un appareil à partir d’un niveau client.
  • Effectuer ou annuler des actions de correction.

Avant de commencer

Avant de pouvoir lancer une session sur un appareil, vérifiez que vous remplissez les conditions suivantes :

  • Vérifiez que vous exécutez une version prise en charge de Windows.

    Les appareils doivent exécuter l’une des versions suivantes de Windows

  • Activez la réponse en direct à partir de la page des paramètres avancés.

    Vous devez activer la fonctionnalité de réponse en direct dans la page Paramètres des fonctionnalités avancées .

    Remarque

    Seuls les administrateurs et les utilisateurs disposant des autorisations « Gérer les paramètres du portail » peuvent activer la réponse en direct.

  • Activez la réponse en direct pour les serveurs à partir de la page des paramètres avancés (recommandé).

    Remarque

    Seuls les administrateurs et les utilisateurs disposant des autorisations « Gérer les paramètres du portail » peuvent activer la réponse en direct.

  • Activer l’exécution de script non signé de réponse en direct (facultatif).

    Importante

    La vérification de signature s’applique uniquement aux scripts PowerShell.

    Avertissement

    Autoriser l’utilisation de scripts non signés peut augmenter votre exposition aux menaces.

    L’exécution de scripts non signés n’est pas recommandée, car cela peut augmenter votre exposition aux menaces. Toutefois, si vous devez les utiliser, vous devez activer le paramètre dans la page Paramètres des fonctionnalités avancées .

  • Vérifiez que vous disposez des autorisations appropriées.

    Seuls les utilisateurs approvisionnés avec les autorisations appropriées peuvent lancer une session. Pour plus d’informations sur les attributions de rôles, consultez Create et gérer les rôles.

    Importante

    L’option de chargement d’un fichier dans la bibliothèque n’est disponible que pour les utilisateurs disposant de l’autorisation « Gérer les paramètres de sécurité ». Le bouton est grisé pour les utilisateurs disposant uniquement d’autorisations déléguées.

    Selon le rôle qui vous a été accordé, vous pouvez exécuter des commandes de réponse en direct de base ou avancées. Les autorisations des utilisateurs sont contrôlées par le rôle personnalisé RBAC.

Vue d’ensemble du tableau de bord des réponses en direct

Lorsque vous lancez une session de réponse en direct sur un appareil, un tableau de bord s’ouvre. Le tableau de bord fournit des informations sur la session, telles que les suivantes :

  • Qui a créé la session
  • Quand la session a démarré
  • Durée de la session

Le tableau de bord vous donne également accès aux éléments suivants :

  • Inscription de l’application dans Azure Active Directory
  • Charger des fichiers dans la bibliothèque
  • Console de commandes
  • Journal des commandes

Lancer une session de réponse en direct sur un appareil

Remarque

Les actions de réponse en direct lancées à partir de la page Appareil ne sont pas disponibles dans l’API machineactions.

  1. Connectez-vous au portail Microsoft Defender.

  2. Accédez à Points de terminaison > Inventaire des appareils et sélectionnez un appareil à examiner. La page appareils s’ouvre.

  3. Lancez la session de réponse en direct en sélectionnant Lancer la session de réponse en direct. Une console de commande s’affiche. Attendez que la session se connecte à l’appareil.

  4. Utilisez les commandes intégrées pour effectuer un travail d’investigation. Pour plus d’informations, consultez Commandes de réponse en direct.

  5. Après avoir terminé votre investigation, sélectionnez Déconnecter la session, puis sélectionnez Confirmer.

Commandes de réponse en direct

Selon le rôle qui vous a été accordé, vous pouvez exécuter des commandes de réponse en direct de base ou avancées. Les autorisations utilisateur sont contrôlées par les rôles personnalisés RBAC. Pour plus d’informations sur les attributions de rôles, consultez Create et gérer les rôles.

Remarque

La réponse en direct est un interpréteur de commandes interactif basé sur le cloud. Par conséquent, l’expérience de commande spécifique peut varier en fonction de la qualité du réseau et de la charge du système entre l’utilisateur final et l’appareil cible.

Commandes de base

Les commandes suivantes sont disponibles pour les rôles d’utilisateur qui ont la possibilité d’exécuter des commandes de réponse dynamique de base . Pour plus d’informations sur les attributions de rôles, consultez Create et gérer les rôles.

Command Description Windows et Windows Server macOS Linux
cd Modifie le répertoire actif. v v v
cls Efface l’écran de la console. v v v
connect Lance une session de réponse en direct sur l’appareil. v v v
connections Affiche toutes les connexions actives. v N N
dir Affiche une liste de fichiers et de sous-répertoires dans un répertoire. v v v
drivers Affiche tous les pilotes installés sur l’appareil. v N N
fg <command ID> Placez le travail spécifié au premier plan, ce qui en fait le travail actuel. Notez que fg prend un command ID disponible à partir des travaux, et non un PID. v v v
fileinfo Récupération d’informations sur un fichier. v v v
findfile Localise les fichiers par un nom donné sur l’appareil. v v v
getfile <file_path> Télécharge un fichier. v v v
help Fournit des informations d’aide pour les commandes de réponse en direct. v v v
jobs Affiche les travaux en cours d’exécution, leur ID et leur status. v v v
persistence Affiche toutes les méthodes de persistance connues sur l’appareil. v N N
processes Affiche tous les processus en cours d’exécution sur l’appareil. v v v
registry Affiche les valeurs de Registre. v N N
scheduledtasks Affiche toutes les tâches planifiées sur l’appareil. v N N
services Affiche tous les services sur l’appareil. v N N
startupfolders Affiche tous les fichiers connus dans les dossiers de démarrage sur l’appareil. v N N
status Affiche la status et la sortie d’une commande spécifique. v v v
trace Définit le mode de journalisation du terminal pour déboguer. v v v

Commandes avancées

Les commandes suivantes sont disponibles pour les rôles d’utilisateur qui ont la possibilité d’exécuter des commandes de réponse dynamique avancées . Pour plus d’informations sur les attributions de rôles, consultez Create et gérer les rôles.

Command Description Windows et Windows Server macOS Linux
analyze Analyse l’entité avec différents moteurs d’incrimination pour parvenir à un verdict. v N N
collect Collecte le package d’investigation de l’appareil. N v v
isolate Déconnecte l’appareil du réseau tout en conservant la connectivité au service Defender pour point de terminaison. N v N
release Libère un appareil de l’isolement réseau. N v N
run Exécute un script PowerShell à partir de la bibliothèque sur l’appareil. v v v
library Listes les fichiers qui ont été chargés dans la bibliothèque de réponses dynamiques. v v v
putfile Place un fichier de la bibliothèque sur l’appareil. Les fichiers sont enregistrés dans un dossier de travail et sont supprimés lorsque l’appareil redémarre par défaut. v v v
remediate Corrige une entité sur l’appareil. L’action de correction varie en fonction du type d’entité :
- Fichier : supprimer
- Processus : arrêter, supprimer le fichier image
- Service : arrêter, supprimer le fichier image
- Entrée de Registre : supprimer
- Tâche planifiée : supprimer
- Élément du dossier de démarrage : supprimer le fichier

Cette commande a une commande prérequise. Vous pouvez utiliser la -auto commande conjointement avec corriger pour exécuter automatiquement la commande requise.		 v v v
scan Exécute une analyse antivirus rapide pour aider à identifier et corriger les programmes malveillants. N v v
undo Restaure une entité qui a été corrigée. v N N

Remarque

Les limites de taille de fichier suivantes s’appliquent à la putfile commande de réponse en direct :

  • Windows : 300 Mo
  • Autres plateformes : 10 Mo

Utiliser des commandes de réponse dynamique

Les commandes que vous pouvez utiliser dans la console suivent des principes similaires à ceux des commandes Windows.

Les commandes avancées offrent un ensemble plus robuste d’actions qui vous permettent d’effectuer des actions plus puissantes telles que télécharger et charger un fichier, exécuter des scripts sur l’appareil et effectuer des actions de correction sur une entité.

Obtenir un fichier à partir de l’appareil

Pour les scénarios où vous souhaitez obtenir un fichier à partir d’un appareil que vous examinez, vous pouvez utiliser la getfile commande . Cela vous permet d’enregistrer le fichier à partir de l’appareil pour une investigation plus approfondie.

Remarque

Les limites de taille de fichier suivantes s’appliquent :

  • getfile limite : 3 Go
  • fileinfo limite : 30 Go
  • library limite : 250 Mo

Télécharger un fichier en arrière-plan

Pour permettre à votre équipe des opérations de sécurité de continuer à examiner un appareil affecté, les fichiers peuvent désormais être téléchargés en arrière-plan.

  • Pour télécharger un fichier en arrière-plan, dans la console de commande de réponse dynamique, tapez download <file_path> &.
  • Si vous attendez qu’un fichier soit téléchargé, vous pouvez le déplacer en arrière-plan à l’aide de Ctrl + Z.
  • Pour mettre un fichier téléchargé au premier plan, dans la console de commande de réponse en direct, tapez fg <command_id>.

Voici quelques exemples :

Command Ce qu'il fait
getfile "C:\windows\some_file.exe" & Démarre le téléchargement d’un fichier nommé some_file.exe en arrière-plan.
fg 1234 Retourne un téléchargement avec l’ID de commande 1234 au premier plan.

Placer un fichier dans la bibliothèque

La réponse en direct dispose d’une bibliothèque dans laquelle vous pouvez placer des fichiers. La bibliothèque stocke les fichiers (tels que les scripts) qui peuvent être exécutés dans une session de réponse dynamique au niveau du locataire.

La réponse dynamique permet aux scripts PowerShell de s’exécuter, mais vous devez d’abord placer les fichiers dans la bibliothèque avant de pouvoir les exécuter.

Vous pouvez disposer d’une collection de scripts PowerShell qui peuvent s’exécuter sur les appareils avec lesquels vous lancez des sessions de réponse en direct.

Pour charger un fichier dans la bibliothèque

  1. Cliquez sur Charger le fichier dans la bibliothèque.

  2. Cliquez sur Parcourir et sélectionnez le fichier.

  3. Fournissez une brève description.

  4. Spécifiez si vous souhaitez remplacer un fichier portant le même nom.

  5. Si vous le souhaitez, sachez quels paramètres sont nécessaires pour le script, sélectionnez la zone paramètres du script case activée. Dans le champ de texte, entrez un exemple et une description.

  6. Cliquez sur Confirmer.

  7. (Facultatif) Pour vérifier que le fichier a été chargé dans la bibliothèque, exécutez la library commande .

Annuler une commande

À tout moment pendant une session, vous pouvez annuler une commande en appuyant sur Ctrl +C.

Avertissement

L’utilisation de ce raccourci n’arrête pas la commande côté agent. Elle annule uniquement la commande dans le portail. Par conséquent, la modification des opérations telles que « corriger » peut continuer, pendant que la commande est annulée.

Exécuter un script

Avant de pouvoir exécuter un script PowerShell/Bash, vous devez d’abord le charger dans la bibliothèque.

Après avoir chargé le script dans la bibliothèque, utilisez la run commande pour exécuter le script.

Si vous envisagez d’utiliser un script PowerShell non signé dans la session, vous devez activer le paramètre dans la page Paramètres des fonctionnalités avancées .

Avertissement

Autoriser l’utilisation de scripts non signés peut augmenter votre exposition aux menaces.

Appliquer des paramètres de commande

  • Consultez l’aide de la console pour en savoir plus sur les paramètres de commande. Pour en savoir plus sur une commande individuelle, exécutez :

    help <command name>

  • Lorsque vous appliquez des paramètres à des commandes, notez que les paramètres sont gérés selon un ordre fixe :

    <command name> param1 param2

  • Lorsque vous spécifiez des paramètres en dehors de l’ordre fixe, spécifiez le nom du paramètre avec un trait d’union avant de fournir la valeur :

    <command name> -param2_name param2

  • Lorsque vous utilisez des commandes qui ont des commandes requises, vous pouvez utiliser des indicateurs :

    <command name> -type file -id <file path> - auto

    ou

    remediate file <file path> - auto`

Types de sortie pris en charge

La réponse en direct prend en charge les types de sortie au format table et JSON. Pour chaque commande, il existe un comportement de sortie par défaut. Vous pouvez modifier la sortie dans votre format de sortie préféré à l’aide des commandes suivantes :

  • -output json
  • -output table

Remarque

Moins de champs sont affichés au format tableau en raison de l’espace limité. Pour afficher plus de détails dans la sortie, vous pouvez utiliser la commande de sortie JSON afin que d’autres détails soient affichés.

Canaux de sortie pris en charge

La réponse en direct prend en charge le piping de sortie vers l’interface CLI et le fichier. L’interface CLI est le comportement de sortie par défaut. Vous pouvez diriger la sortie vers un fichier à l’aide de la commande suivante : [commande] > [nom_fichier].txt.

Exemple :

processes > output.txt

Afficher le journal des commandes

Sélectionnez l’onglet Journal des commandes pour afficher les commandes utilisées sur l’appareil pendant une session. Chaque commande fait l’objet d’un suivi avec des détails complets tels que :

  • ID
  • Ligne de commande
  • Durée
  • État et barre latérale d’entrée ou de sortie

Limitations

  • Les sessions de réponse en direct sont limitées à 25 sessions de réponse en direct à la fois.
  • La valeur du délai d’expiration inactif de la session de réponse en direct est de 30 minutes.
  • Les commandes de réponse en direct individuelles ont une limite de temps de 10 minutes, à l’exception de getfile, findfileet run, qui ont une limite de 30 minutes.
  • Un utilisateur peut lancer jusqu’à 10 sessions simultanées.
  • Un appareil ne peut se trouver que dans une seule session à la fois.
  • Les limites de taille de fichier suivantes s’appliquent :
    • getfile limite : 3 Go
    • fileinfo limite : 30 Go
    • library limite : 250 Mo

Article connexe

Conseil

Voulez-vous en savoir plus ? Engage avec la communauté Microsoft Security dans notre communauté technique : Microsoft Defender pour point de terminaison Tech Community.