실시간 대응 명령 예제

적용 대상:

• 엔드포인트용 Microsoft Defender 플랜 2
• Microsoft Defender XDR

엔드포인트용 Defender를 경험하고 싶으신가요? 무료 평가판을 신청하세요.

라이브 응답에 사용되는 일반적인 명령에 대해 알아보고 일반적으로 사용되는 방법에 대한 예제를 참조하세요.

역할에 따라 기본 또는 고급 라이브 응답 명령을 실행할 수 있습니다. 기본 및 고급 명령에 대한 자세한 내용은 라이브 응답을 사용하여 디바이스에서 엔터티 조사를 참조하세요.

analyze

# Analyze the file malware.txt
analyze file c:\Users\user\Desktop\malware.txt

# Analyze the process by PID
analyze process 1234

connections

# List active connections in json format using parameter name
connections -output json

# List active connections in json format without parameter name
connections json

dir

# List files and sub-folders in the current folder (by default it will show relative paths [-relative_path])
dir

# List files and sub-folders in the current folder, with their full path
dir -full_path

# List files and sub-folders in a specific folder
dir C:\Users\user\Desktop\

# List files and subfolders in the current folder in json format
dir -output json

fileinfo

# Display information about a file
fileinfo C:\Windows\notepad.exe

findfile

# Find file by name
findfile test.txt

getfile

# Download a file from a machine
getfile c:\Users\user\Desktop\work.txt

# Download a file from a machine, automatically run prerequisite commands
getfile c:\Users\user\Desktop\work.txt -auto

참고

라이브 응답 내에서 이 명령을 사용하여 다음 파일 형식을 다운로드할 수 없습니다 .

• 지점 파일 다시 분석
• 스파스 파일
• 빈 파일
• 가상 파일 또는 로컬에 완전히 존재하지 않는 파일

이러한 파일 형식 은PowerShell에서 지원됩니다.

라이브 응답 내에서 이 명령을 사용하는 데 문제가 있는 경우 PowerShell을 대안으로 사용합니다.

library

# List files in the library
library

# Delete a file from the library
library delete script.ps1

processes

# Show all processes
processes

# Get process by pid
processes 123

# Get process by pid with argument name
processes -pid 123

# Get process by name
processes -name notepad.exe

putfile

# Upload file from library
putfile get-process-by-name.ps1

# Upload file from library, overwrite file if it exists
putfile get-process-by-name.ps1 -overwrite

# Upload file from library, keep it on the machine after a restart
putfile get-process-by-name.ps1 -keep

registry

# Show information about the values in a registry key
registry HKEY_CURRENT_USER\Console

# Show information about a specific registry value (the double backslash \\ indicates a registry value versus key)
registry HKEY_CURRENT_USER\Console\\ScreenBufferSize

remediate

# Remediate file in specific path
remediate file c:\Users\user\Desktop\malware.exe

# Remediate process with specific PID
remediate process 7960

# See list of all remediated entities
remediate list

run

# Run PowerShell script from the library without arguments
run script.ps1

# Run PowerShell script from the library with arguments
run get-process-by-name.ps1 -parameters "-processName Registry"

참고

'run' 또는 'getfile'과 같은 장기 실행 명령의 경우 명령 끝에 있는 '&' 기호를 사용하여 백그라운드에서 해당 작업을 수행할 수 있습니다. 이렇게 하면 컴퓨터를 계속 조사하고 'fg' 기본 명령을 사용하여 완료되면 백그라운드 명령으로 돌아갈 수 있습니다.

라이브 응답 스크립트에 매개 변수를 전달할 때 사용할 수 없는 문자는 ';', '&', '|', '!', '$'를 포함하지 않습니다.

scheduledtask

# Get all scheduled tasks
scheduledtasks

# Get specific scheduled task by location and name
scheduledtasks Microsoft\Windows\Subscription\LicenseAcquisition

# Get specific scheduled task by location and name with spacing
scheduledtasks "Microsoft\Configuration Manager\Configuration Manager Health Evaluation"

undo

# Restore remediated registry
undo registry HKEY_CURRENT_USER\Console\ScreenBufferSize

# Restore remediated scheduledtask
undo scheduledtask Microsoft\Windows\Subscription\LicenseAcquisition

# Restore remediated file
undo file c:\Users\user\Desktop\malware.exe

팁

더 자세히 알아보고 싶으신가요? 기술 커뮤니티: 엔드포인트용 Microsoft Defender Tech Community의 Microsoft 보안 커뮤니티와 Engage.