Analizzare le entità nei dispositivi che usano la risposta in tempo realeInvestigate entities on devices using live response

Si applica a:Applies to:

Vuoi provare Defender per Endpoint?Want to experience Defender for Endpoint? Iscriversi per una versione di valutazione gratuita.Sign up for a free trial.

La risposta in tempo reale consente ai team delle operazioni di sicurezza di accedere istantaneamente a un dispositivo (noto anche come computer) utilizzando una connessione shell remota.Live response gives security operations teams instantaneous access to a device (also referred to as a machine) using a remote shell connection. In questo modo è possibile eseguire un lavoro di indagine approfondito e intraprendere azioni di risposta immediate per contenere prontamente le minacce identificate, in tempo reale.This gives you the power to do in-depth investigative work and take immediate response actions to promptly contain identified threats—in real time.

La risposta in tempo reale è progettata per migliorare le indagini consentendo al team delle operazioni di sicurezza di raccogliere dati forensi, eseguire script, inviare entità sospette per l'analisi, correggere le minacce e cercare in modo proattivo minacce emergenti.Live response is designed to enhance investigations by enabling your security operations team to collect forensic data, run scripts, send suspicious entities for analysis, remediate threats, and proactively hunt for emerging threats.

Con la risposta in tempo reale, gli analisti possono eseguire tutte le attività seguenti:With live response, analysts can do all of the following tasks:

  • Esegui comandi di base e avanzati per eseguire attività di indagine su un dispositivo.Run basic and advanced commands to do investigative work on a device.
  • Scaricare file come esempi di malware e risultati degli script di PowerShell.Download files such as malware samples and outcomes of PowerShell scripts.
  • Scaricare i file in background (nuovo!).Download files in the background (new!).
  • Upload uno script di PowerShell o un file eseguibile nella raccolta ed eseguirlo in un dispositivo a livello di tenant.Upload a PowerShell script or executable to the library and run it on a device from a tenant level.
  • Eseguire o annullare azioni di correzione.Take or undo remediation actions.

Prima di iniziareBefore you begin

Prima di poter avviare una sessione su un dispositivo, assicurati di soddisfare i requisiti seguenti:Before you can initiate a session on a device, make sure you fulfill the following requirements:

  • Verificare che sia in esecuzione una versione supportata di Windows .Verify that you're running a supported version of Windows.
    I dispositivi devono eseguire una delle versioni seguenti di WindowsDevices must be running one of the following versions of Windows

  • Abilita risposta in tempo reale dalla pagina delle impostazioni avanzate.Enable live response from the advanced settings page.
    Dovrai abilitare la funzionalità di risposta in tempo reale nella pagina Impostazioni funzionalità avanzate.You'll need to enable the live response capability in the Advanced features settings page.

    Nota

    Solo gli utenti con ruoli di amministratore globale o di sicurezza possono modificare queste impostazioni.Only users with manage security or global admin roles can edit these settings.

  • Abilitare la risposta in tempo reale per i server dalla pagina delle impostazioni avanzate (scelta consigliata).Enable live response for servers from the advanced settings page (recommended).

    Nota

    Solo gli utenti con ruoli di amministratore globale o di sicurezza possono modificare queste impostazioni.Only users with manage security or global admin roles can edit these settings.

  • Assicurati che al dispositivo sia assegnato un livello di correzione dell'automazione.Ensure that the device has an Automation Remediation level assigned to it.
    Dovrai abilitare almeno il livello di correzione minimo per un determinato gruppo di dispositivi.You'll need to enable, at least, the minimum Remediation Level for a given Device Group. In caso contrario, non sarà possibile stabilire una sessione di Risposta in tempo reale a un membro del gruppo.Otherwise you won't be able to establish a Live Response session to a member of that group.

    Verrà visualizzato l'errore seguente:You'll receive the following error:

    Immagine del messaggio di errore

  • Abilitare l'esecuzione di script non firmati in risposta attiva (facoltativo).Enable live response unsigned script execution (optional).

    Avviso

    Consentire l'uso di script non firmati può aumentare l'esposizione alle minacce.Allowing the use of unsigned scripts may increase your exposure to threats.

    L'esecuzione di script non firmati non è consigliata perché può aumentare l'esposizione alle minacce.Running unsigned scripts is not recommended as it can increase your exposure to threats. Se tuttavia è necessario utilizzarli, è necessario abilitare l'impostazione nella pagina Impostazioni funzionalità avanzate.If you must use them however, you'll need to enable the setting in the Advanced features settings page.

  • Assicurarsi di disporre delle autorizzazioni appropriate.Ensure that you have the appropriate permissions.
    Solo gli utenti di cui è stato eseguito il provisioning con le autorizzazioni appropriate possono avviare una sessione.Only users who have been provisioned with the appropriate permissions can initiate a session. Per ulteriori informazioni sulle assegnazioni di ruolo, vedere Create and manage roles.For more information on role assignments, see Create and manage roles.

    Importante

    L'opzione per caricare un file nella raccolta è disponibile solo per gli utenti con le autorizzazioni RBAC appropriate.The option to upload a file to the library is only available to those with the appropriate RBAC permissions. Il pulsante è in grigio per gli utenti con solo autorizzazioni delegate.The button is greyed out for users with only delegated permissions.

    A seconda del ruolo che ti è stato concesso, puoi eseguire comandi di risposta in tempo reale di base o avanzati.Depending on the role that's been granted to you, you can run basic or advanced live response commands. Le autorizzazioni degli utenti sono controllate dal ruolo personalizzato RBAC.Users permissions are controlled by RBAC custom role.

Panoramica del dashboard di risposta in tempo realeLive response dashboard overview

Quando avvii una sessione di risposta in tempo reale su un dispositivo, viene aperto un dashboard.When you initiate a live response session on a device, a dashboard opens. Il dashboard fornisce informazioni sulla sessione, ad esempio:The dashboard provides information about the session such as the following:

  • Who creata la sessioneWho created the session
  • All'avvio della sessioneWhen the session started
  • Durata della sessioneThe duration of the session

Il dashboard consente inoltre di accedere a:The dashboard also gives you access to:

  • Disconnetti sessioneDisconnect session
  • Upload file nella raccoltaUpload files to the library
  • Console dei comandiCommand console
  • Log dei comandiCommand log

Avviare una sessione di risposta in tempo reale in un dispositivoInitiate a live response session on a device

  1. Accedi a Microsoft Defender Security Center.Sign in to Microsoft Defender Security Center.

  2. Passa alla pagina dell'elenco dei dispositivi e seleziona un dispositivo da analizzare.Navigate to the devices list page and select a device to investigate. Viene visualizzata la pagina dei dispositivi.The devices page opens.

  3. Avviare la sessione di risposta in tempo reale selezionando Avvia sessione di risposta in tempo reale.Launch the live response session by selecting Initiate live response session. Viene visualizzata una console dei comandi.A command console is displayed. Attendere che la sessione si connetta al dispositivo.Wait while the session connects to the device.

  4. Usa i comandi predefiniti per eseguire attività di indagine.Use the built-in commands to do investigative work. Per ulteriori informazioni, vedere Comandi di risposta in tempo reale.For more information, see Live response commands.

  5. Dopo aver completato l'indagine, selezionare Disconnetti sessione e quindi Conferma.After completing your investigation, select Disconnect session, then select Confirm.

Comandi di risposta in tempo realeLive response commands

A seconda del ruolo che ti è stato concesso, puoi eseguire comandi di risposta in tempo reale di base o avanzati.Depending on the role that's been granted to you, you can run basic or advanced live response commands. Le autorizzazioni utente sono controllate dai ruoli personalizzati RBAC.User permissions are controlled by RBAC custom roles. Per ulteriori informazioni sulle assegnazioni di ruolo, vedere Create and manage roles.For more information on role assignments, see Create and manage roles.

Nota

La risposta in tempo reale è una shell interattiva basata sul cloud, in quanto tale, l'esperienza di comando specifica può variare in base alla qualità della rete e al carico di sistema tra l'utente finale e il dispositivo di destinazione.Live response is a cloud-based interactive shell, as such, specific command experience may vary in response time depending on network quality and system load between the end user and the target device.

Comandi di baseBasic commands

I comandi seguenti sono disponibili per i ruoli utente a cui viene concessa la possibilità di eseguire comandi di risposta in tempo reale di base.The following commands are available for user roles that are granted the ability to run basic live response commands. Per ulteriori informazioni sulle assegnazioni di ruolo, vedere Create and manage roles.For more information on role assignments, see Create and manage roles.

ComandoCommand DescrizioneDescription
cd Modifica la directory corrente.Changes the current directory.
cls Cancella la schermata della console.Clears the console screen.
connect Avvia una sessione di risposta in tempo reale al dispositivo.Initiates a live response session to the device.
connections Mostra tutte le connessioni attive.Shows all the active connections.
dir Visualizza un elenco di file e sottodirectory in una directory.Shows a list of files and subdirectories in a directory.
drivers Mostra tutti i driver installati nel dispositivo.Shows all drivers installed on the device.
fg <command ID> Posiziona il processo specificato in primo piano in primo piano, rendendolo il processo corrente.Place the specified job in the foreground in the foreground, making it the current job.
NOTA: fg accetta un "ID comando" disponibile dai processi, non un PIDNOTE: fg takes a “command ID” available from jobs, not a PID
fileinfo Ottenere informazioni su un file.Get information about a file.
findfile Individua i file con un nome specificato nel dispositivo.Locates files by a given name on the device.
getfile <file_path> Scarica un file.Downloads a file.
help Fornisce informazioni della Guida per i comandi di risposta in tempo reale.Provides help information for live response commands.
jobs Mostra i processi attualmente in esecuzione, il relativo ID e stato.Shows currently running jobs, their ID and status.
persistence Mostra tutti i metodi di persistenza noti nel dispositivo.Shows all known persistence methods on the device.
processes Mostra tutti i processi in esecuzione nel dispositivo.Shows all processes running on the device.
registry Mostra i valori del Registro di sistema.Shows registry values.
scheduledtasks Mostra tutte le attività pianificate nel dispositivo.Shows all scheduled tasks on the device.
services Mostra tutti i servizi nel dispositivo.Shows all services on the device.
trace Imposta la modalità di registrazione del terminale per il debug.Sets the terminal's logging mode to debug.

Comandi avanzatiAdvanced commands

I comandi seguenti sono disponibili per i ruoli utente a cui viene concessa la possibilità di eseguire comandi di risposta in tempo reale avanzati.The following commands are available for user roles that are granted the ability to run advanced live response commands. Per ulteriori informazioni sulle assegnazioni di ruolo, vedere Create and manage roles.For more information on role assignments, see Create and manage roles.

ComandoCommand DescrizioneDescription
analyze Analizza l'entità con vari motori di incriminazione per raggiungere un verdetto.Analyses the entity with various incrimination engines to reach a verdict.
run Esegue uno script di PowerShell dalla raccolta nel dispositivo.Runs a PowerShell script from the library on the device.
library Elenca i file caricati nella raccolta di risposte in tempo reale.Lists files that were uploaded to the live response library.
putfile Inserisce un file dalla raccolta al dispositivo.Puts a file from the library to the device. I file vengono salvati in una cartella di lavoro e vengono eliminati al riavvio del dispositivo per impostazione predefinita.Files are saved in a working folder and are deleted when the device restarts by default.
remediate Correzione di un'entità nel dispositivo.Remediates an entity on the device. L'azione di correzione varia a seconda del tipo di entità:The remediation action will vary depending on the entity type:
- File: delete- File: delete
- Processo: arrestare, eliminare il file di immagine- Process: stop, delete image file
- Servizio: arrestare, eliminare il file di immagine- Service: stop, delete image file
- Voce del Registro di sistema: delete- Registry entry: delete
- Attività pianificata: rimuovere- Scheduled task: remove
- Elemento cartella di avvio: elimina file- Startup folder item: delete file
NOTA: questo comando ha un comando prerequisito.NOTE: This command has a prerequisite command. È possibile utilizzare il -auto comando insieme a per eseguire remediate automaticamente il comando prerequisito.You can use the -auto command in conjunction with remediate to automatically run the prerequisite command.
undo Ripristina un'entità che è stata corretti.Restores an entity that was remediated.

Usare i comandi di risposta in tempo realeUse live response commands

I comandi che è possibile utilizzare nella console seguono principi simili a quelli Windows Comandi.The commands that you can use in the console follow similar principles as Windows Commands.

I comandi avanzati offrono un set più affidabile di azioni che consentono di eseguire azioni più efficaci, ad esempio scaricare e caricare un file, eseguire script nel dispositivo ed eseguire azioni di correzione su un'entità.The advanced commands offer a more robust set of actions that allow you to take more powerful actions such as download and upload a file, run scripts on the device, and take remediation actions on an entity.

Ottenere un file dal dispositivoGet a file from the device

Per gli scenari in cui vuoi ottenere un file da un dispositivo che stai analizzando, puoi usare il getfile comando.For scenarios when you'd like get a file from a device you're investigating, you can use the getfile command. In questo modo è possibile salvare il file dal dispositivo per ulteriori indagini.This allows you to save the file from the device for further investigation.

Nota

Si applicano i limiti di dimensione dei file seguenti:The following file size limits apply:

  • getfile limite: 3 GBgetfile limit: 3 GB
  • fileinfo limite: 10 GBfileinfo limit: 10 GB
  • library limite: 250 MBlibrary limit: 250 MB

Scaricare un file in backgroundDownload a file in the background

Per consentire al team delle operazioni di sicurezza di continuare a analizzare un dispositivo a impatto, i file possono ora essere scaricati in background.To enable your security operations team to continue investigating an impacted device, files can now be downloaded in the background.

  • Per scaricare un file in background, nella console dei comandi di risposta in tempo reale digitare download <file_path> & .To download a file in the background, in the live response command console, type download <file_path> &.
  • Se si è in attesa del download di un file, è possibile spostarlo in background utilizzando Ctrl + Z.If you are waiting for a file to be downloaded, you can move it to the background by using Ctrl + Z.
  • Per portare in primo piano il download di un file, nella console dei comandi di risposta in tempo reale digitare fg <command_id> .To bring a file download to the foreground, in the live response command console, type fg <command_id>.

Di seguito vengono descritti alcuni esempi:Here are some examples:

ComandoCommand FunzioneWhat it does
getfile "C:\windows\some_file.exe" & Avvia il download di un file denominatosome_file.exe in background.Starts downloading a file named some_file.exe in the background.
fg 1234 Restituisce un download con ID comando 1234 in primo piano.Returns a download with command ID 1234 to the foreground.

Inserire un file nella raccoltaPut a file in the library

La risposta in tempo reale include una raccolta in cui è possibile inserire i file.Live response has a library where you can put files into. La raccolta archivia i file,ad esempio gli script, che possono essere eseguiti in una sessione di risposta in tempo reale a livello di tenant.The library stores files (such as scripts) that can be run in a live response session at the tenant level.

La risposta in tempo reale consente l'esecuzione degli script di PowerShell, tuttavia è necessario innanzitutto inserire i file nella raccolta prima di poterli eseguire.Live response allows PowerShell scripts to run, however you must first put the files into the library before you can run them.

Puoi avere una raccolta di script di PowerShell che possono essere eseguiti nei dispositivi con cui avvii sessioni di risposta in tempo reale.You can have a collection of PowerShell scripts that can run on devices that you initiate live response sessions with.

Per caricare un file nella raccoltaTo upload a file in the library

  1. Fare clic Upload file nella raccolta.Click Upload file to library.

  2. Fare clic su Sfoglia e selezionare il file.Click Browse and select the file.

  3. Fornire una breve descrizione.Provide a brief description.

  4. Specificare se si desidera sovrascrivere un file con lo stesso nome.Specify if you'd like to overwrite a file with the same name.

  5. Se si desidera, sapere quali parametri sono necessari per lo script, selezionare la casella di controllo Parametri script.If you'd like to be, know what parameters are needed for the script, select the script parameters check box. Nel campo di testo immettere un esempio e una descrizione.In the text field, enter an example and a description.

  6. Fare clic su Conferma.Click Confirm.

  7. (Facoltativo) Per verificare che il file sia stato caricato nella raccolta, eseguire il library comando.(Optional) To verify that the file was uploaded to the library, run the library command.

Annullare un comandoCancel a command

In qualsiasi momento durante una sessione, è possibile annullare un comando premendo CTRL + C.Anytime during a session, you can cancel a command by pressing CTRL + C.

Avviso

L'utilizzo di questo collegamento non arresterà il comando sul lato agente.Using this shortcut will not stop the command in the agent side. Il comando verrà annullato solo nel portale.It will only cancel the command in the portal. Pertanto, le operazioni di modifica come "correzione" potrebbero continuare, mentre il comando viene annullato.So, changing operations such as "remediate" may continue, while the command is canceled.

Eseguire uno script di PowerShellRun a PowerShell script

Prima di poter eseguire uno script di PowerShell, è necessario caricarlo nella raccolta.Before you can run a PowerShell script, you must first upload it to the library.

Dopo aver caricato lo script nella raccolta, utilizzare il run comando per eseguire lo script.After uploading the script to the library, use the run command to run the script.

Se si prevede di utilizzare uno script non firmato nella sessione, sarà necessario abilitare l'impostazione nella pagina Impostazioni funzionalità avanzate.If you plan to use an unsigned script in the session, you'll need to enable the setting in the Advanced features settings page.

Avviso

Consentire l'uso di script non firmati può aumentare l'esposizione alle minacce.Allowing the use of unsigned scripts may increase your exposure to threats.

Applicare parametri di comandoApply command parameters

  • Visualizzare la Guida della console per informazioni sui parametri del comando.View the console help to learn about command parameters. Per informazioni su un singolo comando, eseguire:To learn about an individual command, run:

    help <command name>

  • Quando si applicano parametri ai comandi, tenere presente che i parametri vengono gestiti in base a un ordine fisso:When applying parameters to commands, note that parameters are handled based on a fixed order:

    <command name> param1 param2

  • Quando si specificano parametri al di fuori dell'ordine fisso, specificare il nome del parametro con un trattino prima di specificare il valore:When specifying parameters outside of the fixed order, specify the name of the parameter with a hyphen before providing the value:

    <command name> -param2_name param2

  • Quando si utilizzano comandi che dispongono di comandi prerequisiti, è possibile utilizzare i flag:When using commands that have prerequisite commands, you can use flags:

    <command name> -type file -id <file path> - auto o remediate file <file path> - auto .<command name> -type file -id <file path> - auto or remediate file <file path> - auto.

Tipi di output supportatiSupported output types

La risposta in tempo reale supporta i tipi di output in formato JSON e tabella.Live response supports table and JSON format output types. Per ogni comando esiste un comportamento di output predefinito.For each command, there's a default output behavior. Puoi modificare l'output nel formato di output preferito usando i comandi seguenti:You can modify the output in your preferred output format using the following commands:

  • -output json
  • -output table

Nota

Un numero inferiore di campi viene visualizzato in formato tabella a causa dello spazio limitato.Fewer fields are shown in table format due to the limited space. Per visualizzare altri dettagli nell'output, puoi usare il comando di output JSON in modo da visualizzare altri dettagli.To see more details in the output, you can use the JSON output command so that more details are shown.

Pipe di output supportateSupported output pipes

La risposta in tempo reale supporta l'output piping su CLI e file.Live response supports output piping to CLI and file. CLI è il comportamento di output predefinito.CLI is the default output behavior. È possibile pipeare l'output in un file utilizzando il comando seguente: [comando] > [nomefile].txt.You can pipe the output to a file using the following command: [command] > [filename].txt.

Esempio:Example:

processes > output.txt

Visualizzare il log dei comandiView the command log

Seleziona la scheda Registro comandi per visualizzare i comandi usati nel dispositivo durante una sessione.Select the Command log tab to see the commands used on the device during a session. Ogni comando viene monitorato con dettagli completi, ad esempio:Each command is tracked with full details such as:

  • IDID
  • Riga di comandoCommand line
  • DurataDuration
  • Barra laterale di stato e input o outputStatus and input or output side bar

LimitazioniLimitations

  • Le sessioni di risposta in tempo reale sono limitate a 25 sessioni di risposta in tempo reale alla volta.Live response sessions are limited to 25 live response sessions at a time.
  • Il valore di timeout inattiva della sessione di risposta in tempo reale è 30 minuti.Live response session inactive timeout value is 30 minutes.
  • Un utente può avviare fino a 10 sessioni simultanee.A user can initiate up to 10 concurrent sessions.
  • Un dispositivo può essere in una sola sessione alla volta.A device can only be in one session at a time.
  • Si applicano i limiti di dimensione dei file seguenti:The following file size limits apply:
    • getfile limite: 3 GBgetfile limit: 3 GB
    • fileinfo limite: 10 GBfileinfo limit: 10 GB
    • library limite: 250 MBlibrary limit: 250 MB

Articolo correlatoRelated article