라이브 응답을 사용하여 디바이스에서 엔터티 조사Investigate entities on devices using live response

적용 대상:Applies to:

Endpoint용 Defender를 경험하고 싶나요?Want to experience Defender for Endpoint? 무료 평가판에 등록합니다.Sign up for a free trial.

실시간 응답은 보안 운영 팀이 원격 셸 연결을 사용하여 장치(컴퓨터라고도도 지칭)에 즉시 액세스할 수 있도록 합니다.Live response gives security operations teams instantaneous access to a device (also referred to as a machine) using a remote shell connection. 이를 통해 실시간으로 심층 조사 작업을 수행하고 즉각적인 대응 조치를 취하여 식별된 위협을 즉시 포함할 수 있습니다.This gives you the power to do in-depth investigative work and take immediate response actions to promptly contain identified threats—in real time.

실시간 대응은 보안 운영 팀이 법의적 데이터를 수집하고, 스크립트를 실행하고, 분석을 위해 의심스러운 엔터티를 보내고, 위협을 수정하고, 새로운 위협을 사전 대응할 수 있도록 하여 조사를 향상시킵니다.Live response is designed to enhance investigations by enabling your security operations team to collect forensic data, run scripts, send suspicious entities for analysis, remediate threats, and proactively hunt for emerging threats.

실시간 응답을 통해 분석가가 다음 작업을 모두 수행할 수 있습니다.With live response, analysts can do all of the following tasks:

  • 기본 및 고급 명령을 실행하여 장치에서 조사 작업을 실행합니다.Run basic and advanced commands to do investigative work on a device.
  • PowerShell 스크립트의 맬웨어 샘플 및 결과와 같은 파일을 다운로드합니다.Download files such as malware samples and outcomes of PowerShell scripts.
  • 백그라운드에서 파일을 다운로드합니다(new!).Download files in the background (new!).
  • 업로드 PowerShell 스크립트 또는 실행을 라이브러리에 추가하고 테넌트 수준에서 디바이스에서 실행합니다.Upload a PowerShell script or executable to the library and run it on a device from a tenant level.
  • 수정 작업을 수행하거나 취소합니다.Take or undo remediation actions.

시작하기 전에Before you begin

장치에서 세션을 시작하려면 먼저 다음 요구 사항을 충족해야 합니다.Before you can initiate a session on a device, make sure you fulfill the following requirements:

  • 지원되는 버전의 를 실행 중인지 Windows.Verify that you're running a supported version of Windows.
    장치에서 다음 버전의 디바이스 중 하나를 실행해야 WindowsDevices must be running one of the following versions of Windows

  • 고급 설정 페이지에서 라이브 응답을 사용하도록 설정합니다.Enable live response from the advanced settings page.
    고급 기능 설정 페이지에서 라이브 응답 기능을 사용하도록 설정해야 합니다.You'll need to enable the live response capability in the Advanced features settings page.

    참고

    보안 또는 전역 관리자 역할이 있는 사용자만 이러한 설정을 편집할 수 있습니다.Only users with manage security or global admin roles can edit these settings.

  • 고급 설정 페이지에서 서버에 대한 실시간 응답을 사용하도록 설정하세요(권장).Enable live response for servers from the advanced settings page (recommended).

    참고

    보안 또는 전역 관리자 역할이 있는 사용자만 이러한 설정을 편집할 수 있습니다.Only users with manage security or global admin roles can edit these settings.

  • 디바이스에 자동화 수정 수준이 할당되어 있는지 확인합니다.Ensure that the device has an Automation Remediation level assigned to it.
    적어도 특정 디바이스 그룹에 대해 최소 재구성 수준을 사용하도록 설정해야 합니다.You'll need to enable, at least, the minimum Remediation Level for a given Device Group. 그렇지 않으면 해당 그룹의 구성원에게 라이브 응답 세션을 설정할 수 없습니다.Otherwise you won't be able to establish a Live Response session to a member of that group.

    다음 오류가 표시됩니다.You'll receive the following error:

    오류 메시지의 이미지

  • 라이브 응답 부호 없는 스크립트 실행을 사용하도록 설정(선택 사항).Enable live response unsigned script execution (optional).

    경고

    부호 없는 스크립트를 사용할 수 있도록 허용하면 위협에 대한 노출이 증가할 수 있습니다.Allowing the use of unsigned scripts may increase your exposure to threats.

    위협에 대한 노출을 늘리기 위해 부호 없는 스크립트를 실행하는 것은 권장되지 않습니다.Running unsigned scripts is not recommended as it can increase your exposure to threats. 그러나 이 설정을 사용하려면 고급 기능 설정 페이지에서 설정을 사용하도록 설정해야 합니다.If you must use them however, you'll need to enable the setting in the Advanced features settings page.

  • 적절한 사용 권한이 있는지 확인Ensure that you have the appropriate permissions.
    적절한 사용 권한으로 프로비전된 사용자만 세션을 시작할 수 있습니다.Only users who have been provisioned with the appropriate permissions can initiate a session. 역할 할당에 대한 자세한 내용은 역할 만들기 및 관리를 참조하세요.For more information on role assignments, see Create and manage roles.

    중요

    라이브러리에 파일을 업로드하는 옵션은 적절한 RBAC 권한이 있는 사용자만 사용할 수 있습니다.The option to upload a file to the library is only available to those with the appropriate RBAC permissions. 이 단추는 위임된 사용 권한만 있는 사용자에 대해 회색으로 표시되어 있습니다.The button is greyed out for users with only delegated permissions.

    부여된 역할에 따라 기본 또는 고급 라이브 응답 명령을 실행할 수 있습니다.Depending on the role that's been granted to you, you can run basic or advanced live response commands. 사용자 권한은 RBAC 사용자 지정 역할에 의해 제어됩니다.Users permissions are controlled by RBAC custom role.

실시간 응답 대시보드 개요Live response dashboard overview

디바이스에서 라이브 응답 세션을 시작하면 대시보드가 열립니다.When you initiate a live response session on a device, a dashboard opens. 대시보드에서는 다음과 같은 세션에 대한 정보를 제공합니다.The dashboard provides information about the session such as the following:

  • Who 세션을 만들지 않습니다.Who created the session
  • 세션이 시작된 시간When the session started
  • 세션 기간The duration of the session

대시보드를 통해 다음에 액세스할 수 있습니다.The dashboard also gives you access to:

  • 세션 연결 끊기Disconnect session
  • 업로드 파일을 라이브러리에 저장Upload files to the library
  • 명령 콘솔Command console
  • 명령 로그Command log

장치에서 라이브 응답 세션 시작Initiate a live response session on a device

  1. 로그인하여 Microsoft Defender 보안 센터.Sign in to Microsoft Defender Security Center.

  2. 장치 목록 페이지로 이동하여 조사할 장치를 선택합니다.Navigate to the devices list page and select a device to investigate. 장치 페이지가 열립니다.The devices page opens.

  3. 라이브 응답 세션 시작을 선택하여 라이브 응답 세션을 실행합니다.Launch the live response session by selecting Initiate live response session. 명령 콘솔이 표시됩니다.A command console is displayed. 세션이 장치에 연결되는 동안 기다릴 수 있습니다.Wait while the session connects to the device.

  4. 기본 제공 명령을 사용하여 조사 작업을 실행합니다.Use the built-in commands to do investigative work. 자세한 내용은 라이브 응답 명령을 참조하세요.For more information, see Live response commands.

  5. 조사를 완료한 후 세션 연결 끊기를 선택한 다음 확인 을 선택합니다.After completing your investigation, select Disconnect session, then select Confirm.

라이브 응답 명령Live response commands

부여된 역할에 따라 기본 또는 고급 라이브 응답 명령을 실행할 수 있습니다.Depending on the role that's been granted to you, you can run basic or advanced live response commands. 사용자 권한은 RBAC 사용자 지정 역할에 의해 제어됩니다.User permissions are controlled by RBAC custom roles. 역할 할당에 대한 자세한 내용은 역할 만들기 및 관리를 참조하세요.For more information on role assignments, see Create and manage roles.

참고

라이브 응답은 클라우드 기반 대화형 셸로, 최종 사용자와 대상 장치 간의 시스템 부하 및 네트워크 품질에 따라 응답 시간이 달라질 수 있습니다.Live response is a cloud-based interactive shell, as such, specific command experience may vary in response time depending on network quality and system load between the end user and the target device.

기본 명령Basic commands

기본 라이브 응답 명령을 실행할 수 있는 권한이 부여된 사용자 역할에 대해 다음 명령을 사용할 수 있습니다.The following commands are available for user roles that are granted the ability to run basic live response commands. 역할 할당에 대한 자세한 내용은 역할 만들기 및 관리를 참조하세요.For more information on role assignments, see Create and manage roles.

명령Command 설명Description
cd 현재 디렉터리를 변경합니다.Changes the current directory.
cls 콘솔 화면을 지우습니다.Clears the console screen.
connect 디바이스에 대한 라이브 응답 세션을 초기화합니다.Initiates a live response session to the device.
connections 모든 활성 연결을 보여 주며,Shows all the active connections.
dir 디렉터리의 파일 및 하위 디렉터리 목록을 보여줍니다.Shows a list of files and subdirectories in a directory.
drivers 장치에 설치된 모든 드라이버를 보여줍니다.Shows all drivers installed on the device.
fg <command ID> 지정한 작업을 포그라운드의 포그라운드에 두어 현재 작업으로 지정합니다.Place the specified job in the foreground in the foreground, making it the current job.
참고: fg는 PID가 아니라 작업에서 사용할 수 있는 "명령 ID"를 취합니다.NOTE: fg takes a “command ID” available from jobs, not a PID
fileinfo 파일에 대한 정보를 얻습니다.Get information about a file.
findfile 디바이스에서 지정한 이름으로 파일을 찾습니다.Locates files by a given name on the device.
getfile <file_path> 파일을 다운로드합니다.Downloads a file.
help 라이브 응답 명령에 대한 도움말 정보를 제공합니다.Provides help information for live response commands.
jobs 현재 실행 중인 작업, ID 및 상태를 보여줍니다.Shows currently running jobs, their ID and status.
persistence 디바이스에서 알려진 모든 지속성 메서드를 보여 주며,Shows all known persistence methods on the device.
processes 디바이스에서 실행 중인 모든 프로세스를 보여 줍니다.Shows all processes running on the device.
registry 레지스트리 값을 나타냅니다.Shows registry values.
scheduledtasks 디바이스의 모든 예약된 작업을 보여줍니다.Shows all scheduled tasks on the device.
services 디바이스의 모든 서비스를 보여줍니다.Shows all services on the device.
trace 터미널의 로깅 모드를 디버그로 설정Sets the terminal's logging mode to debug.

고급 명령Advanced commands

고급 라이브 응답 명령을 실행할 수 있는 권한이 부여된 사용자 역할에 대해 다음 명령을 사용할 수 있습니다.The following commands are available for user roles that are granted the ability to run advanced live response commands. 역할 할당에 대한 자세한 내용은 역할 만들기 및 관리를 참조하세요.For more information on role assignments, see Create and manage roles.

명령Command 설명Description
analyze 다양한 판별 엔진을 통해 엔터티를 분석하여 판정에 도달합니다.Analyses the entity with various incrimination engines to reach a verdict.
run 장치의 라이브러리에서 PowerShell 스크립트를 실행합니다.Runs a PowerShell script from the library on the device.
library 라이브 응답 라이브러리에 업로드된 파일을 나열합니다.Lists files that were uploaded to the live response library.
putfile 라이브러리에서 장치로 파일을 넣습니다.Puts a file from the library to the device. 파일은 작업 폴더에 저장되고 장치가 기본적으로 다시 시작될 때 삭제됩니다.Files are saved in a working folder and are deleted when the device restarts by default.
remediate 장치에서 엔터티를 수정합니다.Remediates an entity on the device. 수정 작업은 엔터티 유형에 따라 달라집니다.The remediation action will vary depending on the entity type:
- 파일: 삭제- File: delete
- 프로세스: 이미지 파일 중지, 삭제- Process: stop, delete image file
- 서비스: 이미지 파일 중지, 삭제- Service: stop, delete image file
- 레지스트리 항목: delete- Registry entry: delete
- 예약된 작업: remove- Scheduled task: remove
- 시작 폴더 항목: 파일 삭제- Startup folder item: delete file
참고: 이 명령에는 선행 명령이 있습니다.NOTE: This command has a prerequisite command. 명령을 함께 사용하여 자동으로 선행 명령을 실행할 -auto remediate 수 있습니다.You can use the -auto command in conjunction with remediate to automatically run the prerequisite command.
undo 수정된 엔터티를 복원합니다.Restores an entity that was remediated.

라이브 응답 명령 사용Use live response commands

콘솔에서 사용할 수 있는 명령은 명령과 Windows 합니다.The commands that you can use in the console follow similar principles as Windows Commands.

고급 명령은 파일 다운로드 및 업로드, 장치에서 스크립트 실행, 엔터티에 대한 수정 작업 등의 보다 강력한 작업을 수행할 수 있는 보다 강력한 작업 집합을 제공합니다.The advanced commands offer a more robust set of actions that allow you to take more powerful actions such as download and upload a file, run scripts on the device, and take remediation actions on an entity.

장치에서 파일 다운로드Get a file from the device

조사하고 있는 장치에서 파일을 다운로드하는 시나리오의 경우 명령을 사용할 수 getfile 있습니다.For scenarios when you'd like get a file from a device you're investigating, you can use the getfile command. 이렇게 하면 추가 조사를 위해 장치에서 파일을 저장할 수 있습니다.This allows you to save the file from the device for further investigation.

참고

다음 파일 크기 제한이 적용됩니다.The following file size limits apply:

  • getfile 제한: 3GBgetfile limit: 3 GB
  • fileinfo 제한: 10GBfileinfo limit: 10 GB
  • library 제한: 250MBlibrary limit: 250 MB

백그라운드에서 파일 다운로드Download a file in the background

보안 운영 팀이 영향을 미치는 장치 조사를 계속할 수 있도록 파일을 백그라운드에서 다운로드할 수 있습니다.To enable your security operations team to continue investigating an impacted device, files can now be downloaded in the background.

  • 백그라운드에서 파일을 다운로드하려면 라이브 응답 명령 콘솔에 를 download <file_path> & 입력합니다.To download a file in the background, in the live response command console, type download <file_path> &.
  • 파일이 다운로드될 때까지 기다리는 경우 Ctrl + Z를 사용하여 백그라운드로 이동할 수 있습니다.If you are waiting for a file to be downloaded, you can move it to the background by using Ctrl + Z.
  • 파일 다운로드를 포그라운드로 가져오기 위해 라이브 응답 명령 콘솔에 를 fg <command_id> 입력합니다.To bring a file download to the foreground, in the live response command console, type fg <command_id>.

다음은 몇 가지 예입니다.Here are some examples:

명령Command 속성 기능What it does
getfile "C:\windows\some_file.exe" & 백그라운드에서 이름이some_file.exe 다운로드를 시작합니다.Starts downloading a file named some_file.exe in the background.
fg 1234 명령 ID가 1234인 다운로드를 포그라운드로 반환합니다.Returns a download with command ID 1234 to the foreground.

라이브러리에 파일 저장Put a file in the library

라이브 응답에는 파일을 넣을 수 있는 라이브러리가 있습니다.Live response has a library where you can put files into. 라이브러리에는 테넌트 수준에서 라이브 응답 세션에서 실행할 수 있는 파일(예: 스크립트)이 저장됩니다.The library stores files (such as scripts) that can be run in a live response session at the tenant level.

실시간 응답을 통해 PowerShell 스크립트를 실행할 수 있습니다. 그러나 먼저 파일을 라이브러리에 저장해야 실행할 수 있습니다.Live response allows PowerShell scripts to run, however you must first put the files into the library before you can run them.

라이브 응답 세션을 시작하는 디바이스에서 실행할 수 있는 PowerShell 스크립트 컬렉션을 사용할 수 있습니다.You can have a collection of PowerShell scripts that can run on devices that you initiate live response sessions with.

라이브러리에서 파일을 업로드하려면To upload a file in the library

  1. 라이브러리에 업로드 파일을 클릭합니다.Click Upload file to library.

  2. 찾아보기를 클릭하고 파일을 선택합니다.Click Browse and select the file.

  3. 간단한 설명을 입력합니다.Provide a brief description.

  4. 같은 이름의 파일을 덮어 사용할지 지정합니다.Specify if you'd like to overwrite a file with the same name.

  5. 원하는 경우 스크립트에 필요한 매개 변수를 알고자 하는 경우 스크립트 매개 변수 확인란을 선택합니다.If you'd like to be, know what parameters are needed for the script, select the script parameters check box. 텍스트 필드에 예제와 설명을 입력합니다.In the text field, enter an example and a description.

  6. 확인을 클릭합니다.Click Confirm.

  7. (선택 사항) 파일이 라이브러리에 업로드 됐는지 확인하려면 명령을 library 실행합니다.(Optional) To verify that the file was uploaded to the library, run the library command.

명령 취소Cancel a command

세션 중에 언제든지 Ctrl + C를 눌러 명령을 취소할 수 있습니다.Anytime during a session, you can cancel a command by pressing CTRL + C.

경고

이 바로 가기를 사용하면 에이전트 쪽의 명령이 중지되지 않습니다.Using this shortcut will not stop the command in the agent side. 포털에서 명령만 취소합니다.It will only cancel the command in the portal. 따라서 명령이 취소된 동안 "재구성" 등의 변경 작업이 계속될 수 있습니다.So, changing operations such as "remediate" may continue, while the command is canceled.

PowerShell 스크립트 실행Run a PowerShell script

PowerShell 스크립트를 실행하려면 먼저 라이브러리에 업로드해야 합니다.Before you can run a PowerShell script, you must first upload it to the library.

스크립트를 라이브러리에 업로드한 후 명령을 사용하여 run 스크립트를 실행합니다.After uploading the script to the library, use the run command to run the script.

세션에서 부호 없는 스크립트를 사용하려면 고급 기능 설정 페이지에서 설정을 사용하도록 설정해야 합니다.If you plan to use an unsigned script in the session, you'll need to enable the setting in the Advanced features settings page.

경고

부호 없는 스크립트를 사용할 수 있도록 허용하면 위협에 대한 노출이 증가할 수 있습니다.Allowing the use of unsigned scripts may increase your exposure to threats.

명령 매개 변수 적용Apply command parameters

  • 콘솔 도움말을 보고 명령 매개 변수에 대해 알아봅니다.View the console help to learn about command parameters. 개별 명령에 대해 알아보고 다음을 실행합니다.To learn about an individual command, run:

    help <command name>

  • 명령에 매개 변수를 적용할 때 매개 변수는 고정된 순서에 따라 처리됩니다.When applying parameters to commands, note that parameters are handled based on a fixed order:

    <command name> param1 param2

  • 고정 순서 외부에 매개 변수를 지정할 때 값을 제공하기 전에 하이픈으로 매개 변수의 이름을 지정합니다.When specifying parameters outside of the fixed order, specify the name of the parameter with a hyphen before providing the value:

    <command name> -param2_name param2

  • 선행 명령이 있는 명령을 사용하는 경우 플래그를 사용할 수 있습니다.When using commands that have prerequisite commands, you can use flags:

    <command name> -type file -id <file path> - auto 또는 remediate file <file path> - auto .<command name> -type file -id <file path> - auto or remediate file <file path> - auto.

지원되는 출력 형식Supported output types

라이브 응답은 테이블 및 JSON 형식 출력 형식을 지원합니다.Live response supports table and JSON format output types. 각 명령에 대해 기본 출력 동작이 있습니다.For each command, there's a default output behavior. 다음 명령을 사용하여 원하는 출력 형식의 출력을 수정할 수 있습니다.You can modify the output in your preferred output format using the following commands:

  • -output json
  • -output table

참고

제한된 공간으로 인해 테이블 형식으로 표시되는 필드 수가 적습니다.Fewer fields are shown in table format due to the limited space. 출력에서 더 많은 세부 정보를 표시하기 위해 JSON 출력 명령을 사용하여 더 많은 세부 정보를 표시하면 됩니다.To see more details in the output, you can use the JSON output command so that more details are shown.

지원되는 출력 파이프Supported output pipes

실시간 응답은 CLI 및 파일에 대한 출력 파이핑을 지원합니다.Live response supports output piping to CLI and file. CLI는 기본 출력 동작입니다.CLI is the default output behavior. [command] > [filename]을 사용하여 출력을 파일에 파이프할 수 .txt.You can pipe the output to a file using the following command: [command] > [filename].txt.

예제:Example:

processes > output.txt

명령 로그 보기View the command log

세션 중에 디바이스에서 사용되는 명령을 확인하려면 명령 로그 탭을 선택합니다.Select the Command log tab to see the commands used on the device during a session. 각 명령은 전체 세부 정보(예: )를 사용하여 추적됩니다.Each command is tracked with full details such as:

  • IDID
  • 명령줄Command line
  • 기간Duration
  • 상태 및 입력 또는 출력 사이드바Status and input or output side bar

제한 사항Limitations

  • 라이브 응답 세션은 한 때 25개 라이브 응답 세션으로 제한됩니다.Live response sessions are limited to 25 live response sessions at a time.
  • 라이브 응답 세션 비활성 시간 제한 값은 30분입니다.Live response session inactive timeout value is 30 minutes.
  • 사용자는 최대 10개까지 동시 세션을 시작할 수 있습니다.A user can initiate up to 10 concurrent sessions.
  • 디바이스는 한 번의 세션에만 있을 수 있습니다.A device can only be in one session at a time.
  • 다음 파일 크기 제한이 적용됩니다.The following file size limits apply:
    • getfile 제한: 3GBgetfile limit: 3 GB
    • fileinfo 제한: 10GBfileinfo limit: 10 GB
    • library 제한: 250MBlibrary limit: 250 MB

관련 문서Related article