ライブ応答を使用してデバイス上のエンティティを調査するInvestigate entities on devices using live response

適用対象:Applies to:

Defender for Endpoint を体験してみませんか?Want to experience Defender for Endpoint? 無料試用版にサインアップします。Sign up for a free trial.

ライブ応答により、セキュリティ運用チームはリモート シェル接続を使用してデバイス (コンピューターとも呼ばれます) に瞬時にアクセスできます。Live response gives security operations teams instantaneous access to a device (also referred to as a machine) using a remote shell connection. これにより、詳細な調査作業を行い、迅速に特定された脅威をリアルタイムに含める即時対応アクションを実行できます。This gives you the power to do in-depth investigative work and take immediate response actions to promptly contain identified threats—in real time.

ライブ応答は、セキュリティ運用チームが法医学データを収集し、スクリプトを実行し、分析のために疑わしいエンティティを送信し、脅威を修復し、新たな脅威を積極的に捜し出して調査を強化するように設計されています。Live response is designed to enhance investigations by enabling your security operations team to collect forensic data, run scripts, send suspicious entities for analysis, remediate threats, and proactively hunt for emerging threats.

ライブ応答を使用すると、アナリストは次のすべてのタスクを実行できます。With live response, analysts can do all of the following tasks:

  • 基本的なコマンドと高度なコマンドを実行して、デバイスで調査作業を実行します。Run basic and advanced commands to do investigative work on a device.
  • PowerShell スクリプトのマルウェア サンプルや結果などのファイルをダウンロードします。Download files such as malware samples and outcomes of PowerShell scripts.
  • バックグラウンドでファイルをダウンロードする (new!)。Download files in the background (new!).
  • PowerShell スクリプトまたは実行可能ファイルをライブラリにアップロードし、テナント レベルからデバイスで実行します。Upload a PowerShell script or executable to the library and run it on a device from a tenant level.
  • 修復アクションを実行または元に戻します。Take or undo remediation actions.

はじめにBefore you begin

デバイスでセッションを開始する前に、次の要件を満たしていることを確認してください。Before you can initiate a session on a device, make sure you fulfill the following requirements:

  • サポートされているバージョンの Windows を実行しているのを確認しますVerify that you're running a supported version of Windows.
    デバイスは、次のいずれかのバージョンの Windows を実行している必要があります。Devices must be running one of the following versions of Windows

  • [詳細設定] ページからライブ応答を有効にしますEnable live response from the advanced settings page.
    [高度な機能の設定] ページでライブ応答機能 を有効にする必要 があります。You'll need to enable the live response capability in the Advanced features settings page.

    注意

    これらの設定を編集できるのは、セキュリティまたはグローバル管理者の役割を管理するユーザーのみです。Only users with manage security or global admin roles can edit these settings.

  • [詳細設定] ページ (推奨) からサーバーのライブ応答を有効 にします。Enable live response for servers from the advanced settings page (recommended).

    注意

    これらの設定を編集できるのは、セキュリティまたはグローバル管理者の役割を管理するユーザーのみです。Only users with manage security or global admin roles can edit these settings.

  • デバイスにオートメーション修復レベルが割り当てられているか確認しますEnsure that the device has an Automation Remediation level assigned to it.
    少なくとも、特定のデバイス グループの最小修復レベルを有効にする必要があります。You'll need to enable, at least, the minimum Remediation Level for a given Device Group. それ以外の場合は、そのグループのメンバーに対してライブ応答セッションを確立できません。Otherwise you won't be able to establish a Live Response session to a member of that group.

    次のエラーが表示されます。You'll receive the following error:

    エラー メッセージのイメージ

  • ライブ応答の署名されていないスクリプトの実行を有効 にする (オプション)。Enable live response unsigned script execution (optional).

    警告

    署名されていないスクリプトの使用を許可すると、脅威にさらされる可能性があります。Allowing the use of unsigned scripts may increase your exposure to threats.

    署名されていないスクリプトを実行すると、脅威にさらされる可能性が高くなされるため、お勧めできません。Running unsigned scripts is not recommended as it can increase your exposure to threats. ただし、それらを使用する必要がある場合は、[高度な機能の設定] ページで設定 を有効にする必要 があります。If you must use them however, you'll need to enable the setting in the Advanced features settings page.

  • 適切なアクセス許可を持っている必要がありますEnsure that you have the appropriate permissions.
    適切なアクセス許可を持つプロビジョニングされたユーザーだけがセッションを開始できます。Only users who have been provisioned with the appropriate permissions can initiate a session. 役割の割り当ての詳細については、「役割の作成と 管理」を参照してくださいFor more information on role assignments, see Create and manage roles.

    重要

    ライブラリにファイルをアップロードするオプションは、適切な RBAC アクセス許可を持つユーザーにのみ使用できます。The option to upload a file to the library is only available to those with the appropriate RBAC permissions. 委任されたアクセス許可のみを持つユーザーの場合、ボタンはグレー表示されます。The button is greyed out for users with only delegated permissions.

    付与されている役割に応じて、基本的なライブ応答コマンドまたは高度なライブ応答コマンドを実行できます。Depending on the role that's been granted to you, you can run basic or advanced live response commands. ユーザーのアクセス許可は、RBAC カスタム ロールによって制御されます。Users permissions are controlled by RBAC custom role.

ライブ応答ダッシュボードの概要Live response dashboard overview

デバイスでライブ応答セッションを開始すると、ダッシュボードが開きます。When you initiate a live response session on a device, a dashboard opens. ダッシュボードには、次のようなセッションに関する情報が表示されます。The dashboard provides information about the session such as the following:

  • セッションを作成したユーザーWho created the session
  • セッションが開始された場合When the session started
  • セッションの期間The duration of the session

ダッシュボードでは、次の情報にアクセスすることもできます。The dashboard also gives you access to:

  • セッションを切断するDisconnect session
  • ライブラリへのファイルのアップロードUpload files to the library
  • コマンド コンソールCommand console
  • コマンド ログCommand log

デバイスでライブ応答セッションを開始するInitiate a live response session on a device

  1. Microsoft Defender セキュリティ センターにサインインします。Sign in to Microsoft Defender Security Center.

  2. [デバイス] リスト ページに移動し、調査するデバイスを選択します。Navigate to the devices list page and select a device to investigate. [デバイス] ページが開きます。The devices page opens.

  3. [ライブ応答セッションの開始] を選択して、ライブ 応答セッションを起動しますLaunch the live response session by selecting Initiate live response session. コマンド コンソールが表示されます。A command console is displayed. セッションがデバイスに接続するまで待ちます。Wait while the session connects to the device.

  4. 組み込みのコマンドを使用して調査作業を行います。Use the built-in commands to do investigative work. 詳細については、「ライブ応答コマンド 」を参照してくださいFor more information, see Live response commands.

  5. 調査が完了したら、[セッションの切断] を選択し、[確認] を 選択しますAfter completing your investigation, select Disconnect session, then select Confirm.

ライブ応答コマンドLive response commands

付与されている役割に応じて、基本的なライブ応答コマンドまたは高度なライブ応答コマンドを実行できます。Depending on the role that's been granted to you, you can run basic or advanced live response commands. ユーザーのアクセス許可は、RBAC カスタム ロールによって制御されます。User permissions are controlled by RBAC custom roles. 役割の割り当ての詳細については、「役割の作成と 管理」を参照してくださいFor more information on role assignments, see Create and manage roles.

注意

ライブ応答はクラウドベースの対話型シェルであり、エンド ユーザーとターゲット デバイスの間のネットワーク品質とシステム負荷に応じて、特定のコマンド エクスペリエンスが応答時間によって異なる場合があります。Live response is a cloud-based interactive shell, as such, specific command experience may vary in response time depending on network quality and system load between the end user and the target device.

基本コマンドBasic commands

次のコマンドは、基本的なライブ応答コマンドを実行する機能が付与されたユーザー ロールで 使用できます。The following commands are available for user roles that are granted the ability to run basic live response commands. 役割の割り当ての詳細については、「役割の作成と 管理」を参照してくださいFor more information on role assignments, see Create and manage roles.

コマンドCommand 説明Description
cd 現在のディレクトリを変更します。Changes the current directory.
cls コンソール画面をクリアします。Clears the console screen.
connect デバイスへのライブ応答セッションを開始します。Initiates a live response session to the device.
connections すべてのアクティブな接続を表示します。Shows all the active connections.
dir ディレクトリ内のファイルとサブディレクトリの一覧を表示します。Shows a list of files and subdirectories in a directory.
download <file_path> & バックグラウンドでファイルをダウンロードします。Downloads a file in the background.
ドライバーdrivers デバイスにインストールされているすべてのドライバーを表示します。Shows all drivers installed on the device.
fg <command ID> ファイルのダウンロードをフォアグラウンドに返します。Returns a file download to the foreground.
fileinfo ファイルに関する情報を取得します。Get information about a file.
findfile デバイス上の特定の名前でファイルを検索します。Locates files by a given name on the device.
help ライブ応答コマンドのヘルプ情報を提供します。Provides help information for live response commands.
persistence デバイス上のすべての既知の永続化メソッドを表示します。Shows all known persistence methods on the device.
processes デバイスで実行しているすべてのプロセスを表示します。Shows all processes running on the device.
registry レジストリ値を表示します。Shows registry values.
scheduledtasks デバイス上のすべてのスケジュールされたタスクを表示します。Shows all scheduled tasks on the device.
services デバイス上のすべてのサービスを表示します。Shows all services on the device.
trace ターミナルのログ モードをデバッグに設定します。Sets the terminal's logging mode to debug.

高度なコマンドAdvanced commands

次のコマンドは、高度なライブ応答コマンドを実行する機能が付与されたユーザー ロールで 使用できます。The following commands are available for user roles that are granted the ability to run advanced live response commands. 役割の割り当ての詳細については、「役割の作成と 管理」を参照してくださいFor more information on role assignments, see Create and manage roles.

コマンドCommand 説明Description
analyze さまざまな犯罪エンジンを使用してエンティティを分析し、評決に達します。Analyses the entity with various incrimination engines to reach a verdict.
getfile デバイスからファイルを取得します。Gets a file from the device.
注: このコマンドには、前提条件のコマンドがあります。NOTE: This command has a prerequisite command. このコマンドを組み -auto 合わせて使用すると getfile 、前提条件コマンドを自動的に実行できます。You can use the -auto command in conjunction with getfile to automatically run the prerequisite command.
run デバイス上のライブラリから PowerShell スクリプトを実行します。Runs a PowerShell script from the library on the device.
library ライブ応答ライブラリにアップロードされたファイルを一覧表示します。Lists files that were uploaded to the live response library.
putfile ライブラリからデバイスにファイルを置く。Puts a file from the library to the device. ファイルは作業フォルダーに保存され、デバイスが既定で再起動すると削除されます。Files are saved in a working folder and are deleted when the device restarts by default.
remediate デバイス上のエンティティを修復します。Remediates an entity on the device. 修復アクションは、エンティティの種類によって異なります。The remediation action will vary depending on the entity type:
- ファイル: 削除- File: delete
- プロセス: イメージ ファイルを停止、削除する- Process: stop, delete image file
- サービス: イメージ ファイルの停止、削除- Service: stop, delete image file
- レジストリ エントリ: 削除- Registry entry: delete
- スケジュールされたタスク: 削除- Scheduled task: remove
- スタートアップ フォルダーアイテム: ファイルの削除- Startup folder item: delete file
注: このコマンドには、前提条件のコマンドがあります。NOTE: This command has a prerequisite command. このコマンドを組み -auto 合わせて使用すると remediate 、前提条件コマンドを自動的に実行できます。You can use the -auto command in conjunction with remediate to automatically run the prerequisite command.
undo 修復されたエンティティを復元します。Restores an entity that was remediated.

ライブ応答コマンドの使用Use live response commands

コンソールで使用できるコマンドは、Windows コマンドと同様の原則 に従いますThe commands that you can use in the console follow similar principles as Windows Commands.

高度なコマンドは、ファイルのダウンロードとアップロード、デバイスでのスクリプトの実行、エンティティに対する修復アクションの実行など、より強力なアクションを実行できる、より堅牢なアクションセットを提供します。The advanced commands offer a more robust set of actions that allow you to take more powerful actions such as download and upload a file, run scripts on the device, and take remediation actions on an entity.

デバイスからファイルを取得するGet a file from the device

調査中のデバイスからファイルを取得するシナリオでは、このコマンドを使用 getfile できます。For scenarios when you'd like get a file from a device you're investigating, you can use the getfile command. これにより、詳細な調査のためにデバイスからファイルを保存できます。This allows you to save the file from the device for further investigation.

注意

次のファイル サイズの制限が適用されます。The following file size limits apply:

  • getfile limit: 3 GBgetfile limit: 3 GB
  • fileinfo limit: 10 GBfileinfo limit: 10 GB
  • library limit: 250 MBlibrary limit: 250 MB

バックグラウンドでファイルをダウンロードするDownload a file in the background

セキュリティ運用チームが影響を受けるデバイスの調査を続行するために、ファイルをバックグラウンドでダウンロードできます。To enable your security operations team to continue investigating an impacted device, files can now be downloaded in the background.

  • バックグラウンドでファイルをダウンロードするには、ライブ応答コマンド コンソールに「. download <file_path> &To download a file in the background, in the live response command console, type download <file_path> &.
  • ファイルのダウンロードを待っている場合は、Ctrl + Z を使用してバックグラウンドに移動できます。If you are waiting for a file to be downloaded, you can move it to the background by using Ctrl + Z.
  • ファイルのダウンロードをフォアグラウンドに移動するには、ライブ応答コマンド コンソールに fg <command_id> 「.To bring a file download to the foreground, in the live response command console, type fg <command_id>.

次に例を示します。Here are some examples:

コマンドCommand 目的What it does
Download "C:\windows\some_file.exe" & バックグラウンドで some_file.exeダウンロードを 開始します。Starts downloading a file named some_file.exe in the background.
fg 1234 コマンド ID 1234 のダウンロードをフォアグラウンドに返します。Returns a download with command ID 1234 to the foreground.

ライブラリにファイルを置くPut a file in the library

ライブ応答には、ファイルを挿入できるライブラリがあります。Live response has a library where you can put files into. ライブラリには、テナント レベルでライブ応答セッションで実行できるファイル (スクリプトなど) が格納されます。The library stores files (such as scripts) that can be run in a live response session at the tenant level.

ライブ応答を使用すると、PowerShell スクリプトを実行することができますが、ファイルを実行する前に、まずファイルをライブラリに挿入する必要があります。Live response allows PowerShell scripts to run, however you must first put the files into the library before you can run them.

ライブ応答セッションを開始するデバイスで実行できる PowerShell スクリプトのコレクションを使用できます。You can have a collection of PowerShell scripts that can run on devices that you initiate live response sessions with.

ライブラリ内のファイルをアップロードするにはTo upload a file in the library

  1. [ファイル をライブラリにアップロード] をクリックしますClick Upload file to library.

  2. [参照 ] をクリック し、ファイルを選択します。Click Browse and select the file.

  3. 簡単な説明を入力します。Provide a brief description.

  4. 同じ名前のファイルを上書きするかどうかを指定します。Specify if you'd like to overwrite a file with the same name.

  5. スクリプトに必要なパラメーターを知りたい場合は、[スクリプト パラメーター] チェック ボックスをオンにします。If you'd like to be, know what parameters are needed for the script, select the script parameters check box. テキスト フィールドに例と説明を入力します。In the text field, enter an example and a description.

  6. [確認 ] をクリックしますClick Confirm.

  7. (省略可能)ファイルがライブラリにアップロードされたと確認するには、コマンドを実行 library します。(Optional) To verify that the file was uploaded to the library, run the library command.

コマンドの取り消しCancel a command

セッション中は、Ctrl + C キーを押してコマンドをキャンセルできます。Anytime during a session, you can cancel a command by pressing CTRL + C.

警告

このショートカットを使用すると、エージェント側でコマンドが停止しない。Using this shortcut will not stop the command in the agent side. このコマンドは、ポータル内のコマンドのみを取り消します。It will only cancel the command in the portal. したがって、"修復" などの操作を変更すると、コマンドが取り消される間、続行される場合があります。So, changing operations such as "remediate" may continue, while the command is canceled.

前提条件コマンドを自動的に実行するAutomatically run prerequisite commands

一部のコマンドには、実行する前提条件のコマンドがあります。Some commands have prerequisite commands to run. 前提条件コマンドを実行しない場合は、エラーが発生します。If you don't run the prerequisite command, you'll get an error. たとえば、コマンドを実行せずに download 実行 fileinfo すると、エラーが返されます。For example, running the download command without fileinfo will return an error.

自動フラグを使用すると、次に示す前提条件コマンドを自動的に実行できます。You can use the auto flag to automatically run prerequisite commands, for example:

getfile c:\Users\user\Desktop\work.txt -auto

PowerShell スクリプトを実行するRun a PowerShell script

PowerShell スクリプトを実行する前に、まずライブラリにアップロードする必要があります。Before you can run a PowerShell script, you must first upload it to the library.

スクリプトをライブラリにアップロードした後、コマンド run を使用してスクリプトを実行します。After uploading the script to the library, use the run command to run the script.

セッションで署名されていないスクリプトを使用する場合は、[高度な機能の設定] ページで設定 を有効にする必要 があります。If you plan to use an unsigned script in the session, you'll need to enable the setting in the Advanced features settings page.

警告

署名されていないスクリプトの使用を許可すると、脅威にさらされる可能性があります。Allowing the use of unsigned scripts may increase your exposure to threats.

コマンド パラメーターの適用Apply command parameters

  • コマンド パラメーターの詳細については、コンソール のヘルプを参照してください。View the console help to learn about command parameters. 個々のコマンドの詳細については、次のコマンドを実行します。To learn about an individual command, run:

    help <command name>

  • コマンドにパラメーターを適用する場合、パラメーターは固定順序に基づいて処理されます。When applying parameters to commands, note that parameters are handled based on a fixed order:

    <command name> param1 param2

  • 固定順序以外のパラメーターを指定する場合は、値を指定する前に、パラメーターの名前をハイフンで指定します。When specifying parameters outside of the fixed order, specify the name of the parameter with a hyphen before providing the value:

    <command name> -param2_name param2

  • 必須コマンドがあるコマンドを使用する場合は、フラグを使用できます。When using commands that have prerequisite commands, you can use flags:

    <command name> -type file -id <file path> - auto または remediate file <file path> - auto<command name> -type file -id <file path> - auto or remediate file <file path> - auto.

サポートされている出力の種類Supported output types

ライブ応答は、テーブルと JSON 形式の出力の種類をサポートします。Live response supports table and JSON format output types. コマンドごとに、既定の出力動作があります。For each command, there's a default output behavior. 次のコマンドを使用して、出力を好みの出力形式で変更できます。You can modify the output in your preferred output format using the following commands:

  • -output json
  • -output table

注意

スペースが限られているので、テーブル形式で表示されるフィールドは少なめになります。Fewer fields are shown in table format due to the limited space. 出力の詳細を表示するには、JSON 出力コマンドを使用して詳細を表示できます。To see more details in the output, you can use the JSON output command so that more details are shown.

サポートされている出力パイプSupported output pipes

ライブ応答は、CLI とファイルへの出力パイプをサポートします。Live response supports output piping to CLI and file. CLI は既定の出力動作です。CLI is the default output behavior. [command] コマンドと [filename].txt を使用して、出力をファイル>パイプ処理できます。You can pipe the output to a file using the following command: [command] > [filename].txt.

例:Example:

processes > output.txt

コマンド ログの表示View the command log

[コマンド ログ] タブを 選択すると、セッション中にデバイスで使用されるコマンドが表示されます。Select the Command log tab to see the commands used on the device during a session. 各コマンドは、次のような完全な詳細で追跡されます。Each command is tracked with full details such as:

  • IDID
  • コマンド ラインCommand line
  • DurationDuration
  • 状態と入力または出力のサイド バーStatus and input or output side bar

制限事項Limitations

  • ライブ応答セッションは、一度に 10 回のライブ応答セッションに制限されます。Live response sessions are limited to 10 live response sessions at a time.
  • 大規模なコマンド実行はサポートされていません。Large-scale command execution is not supported.
  • ライブ応答セッションの非アクティブタイムアウト値は 5 分です。Live response session inactive timeout value is 5 minutes.
  • ユーザーは一度に 1 つのセッションのみを開始できます。A user can only initiate one session at a time.
  • デバイスは、一度に 1 つのセッションでのみ使用できます。A device can only be in one session at a time.
  • 次のファイル サイズの制限が適用されます。The following file size limits apply:
    • getfile limit: 3 GBgetfile limit: 3 GB
    • fileinfo limit: 10 GBfileinfo limit: 10 GB
    • library limit: 250 MBlibrary limit: 250 MB

関連記事Related article