Entiteiten op apparaten onderzoeken met livereactieInvestigate entities on devices using live response

Van toepassing op:Applies to:

Wilt u Defender voor Eindpunt ervaren?Want to experience Defender for Endpoint? Meld u aan voor een gratis proefabonnement.Sign up for a free trial.

Live response geeft beveiligingsbewerkingen teams direct toegang tot een apparaat (ook wel een computer genoemd) met behulp van een externe shell-verbinding.Live response gives security operations teams instantaneous access to a device (also referred to as a machine) using a remote shell connection. Dit geeft u de macht om uitgebreid onderzoek te doen en direct actie te ondernemen om snel geïdentificeerde bedreigingen in realtime te bevatten.This gives you the power to do in-depth investigative work and take immediate response actions to promptly contain identified threats—in real time.

Live response is ontworpen om onderzoeken te verbeteren door uw beveiligingsteam in staat te stellen om gerechtelijke gegevens te verzamelen, scripts uit te voeren, verdachte entiteiten te verzenden voor analyse, bedreigingen te corrigeren en proactief te zoeken naar nieuwe bedreigingen.Live response is designed to enhance investigations by enabling your security operations team to collect forensic data, run scripts, send suspicious entities for analysis, remediate threats, and proactively hunt for emerging threats.

Met livereactie kunnen analisten alle volgende taken uitvoeren:With live response, analysts can do all of the following tasks:

  • Voer eenvoudige en geavanceerde opdrachten uit om onderzoek te doen op een apparaat.Run basic and advanced commands to do investigative work on a device.
  • Download bestanden zoals malwarevoorbeelden en resultaten van PowerShell-scripts.Download files such as malware samples and outcomes of PowerShell scripts.
  • Bestanden op de achtergrond downloaden (nieuw!).Download files in the background (new!).
  • Upload PowerShell-script of uitvoerbaar voor de bibliotheek en voer het uit op een apparaat op tenantniveau.Upload a PowerShell script or executable to the library and run it on a device from a tenant level.
  • Herstelacties uitvoeren of ongedaan maken.Take or undo remediation actions.

Voordat u begintBefore you begin

Voordat u een sessie op een apparaat kunt starten, moet u aan de volgende vereisten voldoen:Before you can initiate a session on a device, make sure you fulfill the following requirements:

  • Controleer of u een ondersteunde versie van Windows.Verify that you're running a supported version of Windows.
    Apparaten moeten een van de volgende versies van WindowsDevices must be running one of the following versions of Windows

  • Schakel livereactie in vanaf de pagina met geavanceerde instellingen.Enable live response from the advanced settings page.
    U moet de mogelijkheid voor livereactie inschakelen op de pagina Instellingen voor geavanceerde functies.You'll need to enable the live response capability in the Advanced features settings page.

    Notitie

    Alleen gebruikers met beveiligings- of globale beheerdersrollen kunnen deze instellingen bewerken.Only users with manage security or global admin roles can edit these settings.

  • Schakel livereactie voor servers in vanaf de pagina met geavanceerde instellingen (aanbevolen).Enable live response for servers from the advanced settings page (recommended).

    Notitie

    Alleen gebruikers met beveiligings- of globale beheerdersrollen kunnen deze instellingen bewerken.Only users with manage security or global admin roles can edit these settings.

  • Controleer of aan het apparaat een automatiseringssaneringsniveau is toegewezen.Ensure that the device has an Automation Remediation level assigned to it.
    U moet ten minste het minimale herstelniveau voor een bepaalde apparaatgroep inschakelen.You'll need to enable, at least, the minimum Remediation Level for a given Device Group. Anders kunt u geen livereactiesessie voor een lid van die groep opzetten.Otherwise you won't be able to establish a Live Response session to a member of that group.

    U krijgt de volgende foutmelding:You'll receive the following error:

    Afbeelding van foutbericht

  • Live response unsigned script execution (optioneel) inschakelen.Enable live response unsigned script execution (optional).

    Waarschuwing

    Als u het gebruik van niet-ondertekende scripts toestaat, kunt u uw blootstelling aan bedreigingen vergroten.Allowing the use of unsigned scripts may increase your exposure to threats.

    Het uitvoeren van niet-ondertekende scripts wordt afgeraden, omdat dit uw blootstelling aan bedreigingen kan vergroten.Running unsigned scripts is not recommended as it can increase your exposure to threats. Als u deze echter moet gebruiken, moet u de instelling inschakelen op de pagina Geavanceerde functiesinstellingen.If you must use them however, you'll need to enable the setting in the Advanced features settings page.

  • Controleer of u de juiste machtigingen hebt.Ensure that you have the appropriate permissions.
    Alleen gebruikers die zijn ingericht met de juiste machtigingen, kunnen een sessie starten.Only users who have been provisioned with the appropriate permissions can initiate a session. Zie Rollen maken en beheren voor meer informatie over roltoewijzingen.For more information on role assignments, see Create and manage roles.

    Belangrijk

    De optie om een bestand te uploaden naar de bibliotheek is alleen beschikbaar voor personen met de juiste RBAC-machtigingen.The option to upload a file to the library is only available to those with the appropriate RBAC permissions. De knop is grijs voor gebruikers met alleen gedelegeerde machtigingen.The button is greyed out for users with only delegated permissions.

    Afhankelijk van de rol die aan u is verleend, kunt u eenvoudige of geavanceerde opdrachten voor livereacties uitvoeren.Depending on the role that's been granted to you, you can run basic or advanced live response commands. Gebruikersmachtigingen worden bepaald door de aangepaste rol van RBAC.Users permissions are controlled by RBAC custom role.

Overzicht van livereactiedashboardLive response dashboard overview

Wanneer u een livereactiesessie start op een apparaat, wordt er een dashboard geopend.When you initiate a live response session on a device, a dashboard opens. Het dashboard bevat informatie over de sessie, zoals de volgende:The dashboard provides information about the session such as the following:

  • Wie de sessie gemaaktWho created the session
  • Wanneer de sessie is gestartWhen the session started
  • De duur van de sessieThe duration of the session

Het dashboard biedt u ook toegang tot:The dashboard also gives you access to:

  • Sessie verbrekenDisconnect session
  • Upload bestanden naar de bibliotheekUpload files to the library
  • OpdrachtconsoleCommand console
  • OpdrachtlogboekCommand log

Een livereactiesessie starten op een apparaatInitiate a live response session on a device

  1. Meld u aan bij Microsoft Defender-beveiligingscentrum.Sign in to Microsoft Defender Security Center.

  2. Ga naar de pagina apparatenlijst en selecteer een apparaat dat u wilt onderzoeken.Navigate to the devices list page and select a device to investigate. De pagina Apparaten wordt geopend.The devices page opens.

  3. Start de livereactiesessie door Livereactiesessie starten te selecteren.Launch the live response session by selecting Initiate live response session. Er wordt een opdrachtconsole weergegeven.A command console is displayed. Wacht totdat de sessie verbinding maakt met het apparaat.Wait while the session connects to the device.

  4. Gebruik de ingebouwde opdrachten om onderzoekswerk te doen.Use the built-in commands to do investigative work. Zie Live-antwoordopdrachten voor meer informatie.For more information, see Live response commands.

  5. Nadat u het onderzoek hebt afgerond, selecteert u Sessie verbreken en selecteert u Bevestigen.After completing your investigation, select Disconnect session, then select Confirm.

Opdrachten voor livereactiesLive response commands

Afhankelijk van de rol die aan u is verleend, kunt u eenvoudige of geavanceerde opdrachten voor livereacties uitvoeren.Depending on the role that's been granted to you, you can run basic or advanced live response commands. Gebruikersmachtigingen worden beheerd door aangepaste rollen van RBAC.User permissions are controlled by RBAC custom roles. Zie Rollen maken en beheren voor meer informatie over roltoewijzingen.For more information on role assignments, see Create and manage roles.

Notitie

Live response is een interactieve shell in de cloud, dus specifieke opdrachtervaring kan variëren in reactietijd, afhankelijk van de netwerkkwaliteit en de systeembelasting tussen de eindgebruiker en het doelapparaat.Live response is a cloud-based interactive shell, as such, specific command experience may vary in response time depending on network quality and system load between the end user and the target device.

BasisopdrachtenBasic commands

De volgende opdrachten zijn beschikbaar voor gebruikersrollen die de mogelijkheid krijgen om basisopdrachten voor livereacties uit te voeren.The following commands are available for user roles that are granted the ability to run basic live response commands. Zie Rollen maken en beheren voor meer informatie over roltoewijzingen.For more information on role assignments, see Create and manage roles.

OpdrachtCommand BeschrijvingDescription
cd Wijzigt de huidige adreslijst.Changes the current directory.
cls Het scherm van de console wordt gewed.Clears the console screen.
connect Start een livereactiesessie op het apparaat.Initiates a live response session to the device.
connections Toont alle actieve verbindingen.Shows all the active connections.
dir Toont een lijst met bestanden en subdirectorieën in een adreslijst.Shows a list of files and subdirectories in a directory.
drivers Toont alle stuurprogramma's die op het apparaat zijn geïnstalleerd.Shows all drivers installed on the device.
fg <command ID> Plaats de opgegeven taak op de voorgrond op de voorgrond, zodat deze de huidige taak is.Place the specified job in the foreground in the foreground, making it the current job.
OPMERKING: fg gebruikt een 'opdracht-id' die beschikbaar is vanuit taken, niet uit een PIDNOTE: fg takes a “command ID” available from jobs, not a PID
fileinfo Informatie over een bestand.Get information about a file.
findfile Zoekt bestanden op een bepaalde naam op het apparaat.Locates files by a given name on the device.
getfile <file_path> Hiermee wordt een bestand gedownload.Downloads a file.
help Biedt help-informatie voor opdrachten voor livereacties.Provides help information for live response commands.
jobs Toont momenteel lopende taken, hun id en status.Shows currently running jobs, their ID and status.
persistence Toont alle bekende persistentiemethoden op het apparaat.Shows all known persistence methods on the device.
processes Toont alle processen die op het apparaat worden uitgevoerd.Shows all processes running on the device.
registry Geeft registerwaarden weer.Shows registry values.
scheduledtasks Toont alle geplande taken op het apparaat.Shows all scheduled tasks on the device.
services Toont alle services op het apparaat.Shows all services on the device.
trace Hiermee stelt u de logboekregistratiemodus van de terminal in op foutopsporing.Sets the terminal's logging mode to debug.

Geavanceerde opdrachtenAdvanced commands

De volgende opdrachten zijn beschikbaar voor gebruikersrollen die de mogelijkheid krijgen om geavanceerde opdrachten voor livereacties uit te voeren.The following commands are available for user roles that are granted the ability to run advanced live response commands. Zie Rollen maken en beheren voor meer informatie over roltoewijzingen.For more information on role assignments, see Create and manage roles.

OpdrachtCommand BeschrijvingDescription
analyze Analyseert de entiteit met verschillende belastende motoren om tot een uitspraak te komen.Analyses the entity with various incrimination engines to reach a verdict.
run Voert een PowerShell-script uit vanuit de bibliotheek op het apparaat.Runs a PowerShell script from the library on the device.
library Hiermee worden bestanden vermeld die zijn geüpload naar de live antwoordbibliotheek.Lists files that were uploaded to the live response library.
putfile Zet een bestand uit de bibliotheek op het apparaat.Puts a file from the library to the device. Bestanden worden opgeslagen in een werkmap en worden verwijderd wanneer het apparaat standaard opnieuw wordt gestart.Files are saved in a working folder and are deleted when the device restarts by default.
remediate Herstelt een entiteit op het apparaat.Remediates an entity on the device. De herstelactie is afhankelijk van het entiteitstype:The remediation action will vary depending on the entity type:
- Bestand: verwijderen- File: delete
- Proces: stoppen, afbeeldingsbestand verwijderen- Process: stop, delete image file
- Service: stoppen, afbeeldingsbestand verwijderen- Service: stop, delete image file
- Registerinvoer: verwijderen- Registry entry: delete
- Geplande taak: verwijderen- Scheduled task: remove
- Mapitem opstarten: bestand verwijderen- Startup folder item: delete file
OPMERKING: Deze opdracht heeft een vereiste opdracht.NOTE: This command has a prerequisite command. U kunt de opdracht in combinatie met de opdracht gebruiken -auto om de vereiste opdracht automatisch uit te remediate voeren.You can use the -auto command in conjunction with remediate to automatically run the prerequisite command.
undo Herstelt een entiteit die is hersteld.Restores an entity that was remediated.

Opdrachten voor livereacties gebruikenUse live response commands

De opdrachten die u in de console kunt gebruiken, volgen dezelfde principes als Windows Opdrachten.The commands that you can use in the console follow similar principles as Windows Commands.

De geavanceerde opdrachten bieden een krachtigere reeks acties waarmee u krachtigere acties kunt uitvoeren, zoals het downloaden en uploaden van een bestand, het uitvoeren van scripts op het apparaat en het uitvoeren van herstelacties voor een entiteit.The advanced commands offer a more robust set of actions that allow you to take more powerful actions such as download and upload a file, run scripts on the device, and take remediation actions on an entity.

Een bestand van het apparaat downloadenGet a file from the device

Voor scenario's wanneer u een bestand wilt downloaden van een apparaat dat u onderzoekt, kunt u de opdracht getfile gebruiken.For scenarios when you'd like get a file from a device you're investigating, you can use the getfile command. Hiermee kunt u het bestand opslaan vanaf het apparaat voor verder onderzoek.This allows you to save the file from the device for further investigation.

Notitie

De volgende limieten voor bestandsgrootte zijn van toepassing:The following file size limits apply:

  • getfile limiet: 3 GBgetfile limit: 3 GB
  • fileinfo limiet: 10 GBfileinfo limit: 10 GB
  • library limiet: 250 MBlibrary limit: 250 MB

Een bestand op de achtergrond downloadenDownload a file in the background

Als u wilt dat uw beveiligingsteam een beïnvloed apparaat kan blijven onderzoeken, kunnen bestanden nu op de achtergrond worden gedownload.To enable your security operations team to continue investigating an impacted device, files can now be downloaded in the background.

  • Als u een bestand op de achtergrond wilt downloaden, typt u in de opdrachtconsole voor download <file_path> & livereactie.To download a file in the background, in the live response command console, type download <file_path> &.
  • Als u wacht totdat een bestand wordt gedownload, kunt u het naar de achtergrond verplaatsen met Ctrl+ Z.If you are waiting for a file to be downloaded, you can move it to the background by using Ctrl + Z.
  • Als u een bestand wilt downloaden naar de voorgrond, typt u in de opdrachtconsole voor fg <command_id> livereactie.To bring a file download to the foreground, in the live response command console, type fg <command_id>.

Dit zijn enkele voorbeelden:Here are some examples:

OpdrachtCommand Wat het doetWhat it does
getfile "C:\windows\some_file.exe" & Start het downloaden van een bestand met some_file.exe op de achtergrond.Starts downloading a file named some_file.exe in the background.
fg 1234 Retourneert een download met opdracht-id 1234 op de voorgrond.Returns a download with command ID 1234 to the foreground.

Een bestand in de bibliotheek zettenPut a file in the library

Live response heeft een bibliotheek waarin u bestanden kunt plaatsen.Live response has a library where you can put files into. In de bibliotheek worden bestanden (zoals scripts) opgeslagen die kunnen worden uitgevoerd in een livereactiesessie op tenantniveau.The library stores files (such as scripts) that can be run in a live response session at the tenant level.

Met livereactie kunnen PowerShell-scripts worden uitgevoerd, maar u moet de bestanden eerst in de bibliotheek zetten voordat u ze kunt uitvoeren.Live response allows PowerShell scripts to run, however you must first put the files into the library before you can run them.

U kunt een verzameling PowerShell-scripts hebben die kunnen worden uitgevoerd op apparaten met wie u livereactiesessies start.You can have a collection of PowerShell scripts that can run on devices that you initiate live response sessions with.

Een bestand uploaden in de bibliotheekTo upload a file in the library

  1. Klik Upload bestand naar bibliotheek.Click Upload file to library.

  2. Klik op Bladeren en selecteer het bestand.Click Browse and select the file.

  3. Geef een korte beschrijving op.Provide a brief description.

  4. Geef op of u een bestand met dezelfde naam wilt overschrijven.Specify if you'd like to overwrite a file with the same name.

  5. Als u wilt weten welke parameters nodig zijn voor het script, schakelt u het selectievakje scriptparameters in.If you'd like to be, know what parameters are needed for the script, select the script parameters check box. Voer in het tekstveld een voorbeeld en een beschrijving in.In the text field, enter an example and a description.

  6. Klik op Bevestigen.Click Confirm.

  7. (Optioneel) Voer de opdracht uit om te controleren of het bestand naar de bibliotheek is library geüpload.(Optional) To verify that the file was uploaded to the library, run the library command.

Een opdracht annulerenCancel a command

Op elk gewenst moment tijdens een sessie kunt u een opdracht annuleren door op Ctrl + C te drukken.Anytime during a session, you can cancel a command by pressing CTRL + C.

Waarschuwing

Als u deze snelkoppeling gebruikt, stopt u de opdracht niet aan de agentzijde.Using this shortcut will not stop the command in the agent side. De opdracht in de portal wordt alleen geannuleerd.It will only cancel the command in the portal. Het wijzigen van bewerkingen zoals 'herstel' kan dus doorgaan, terwijl de opdracht wordt geannuleerd.So, changing operations such as "remediate" may continue, while the command is canceled.

Een PowerShell-script uitvoerenRun a PowerShell script

Voordat u een PowerShell-script kunt uitvoeren, moet u het eerst uploaden naar de bibliotheek.Before you can run a PowerShell script, you must first upload it to the library.

Nadat u het script naar de bibliotheek hebt geüpload, gebruikt u de run opdracht om het script uit te voeren.After uploading the script to the library, use the run command to run the script.

Als u van plan bent een niet-ondertekend script te gebruiken in de sessie, moet u de instelling inschakelen op de pagina Geavanceerde functies instellingen.If you plan to use an unsigned script in the session, you'll need to enable the setting in the Advanced features settings page.

Waarschuwing

Als u het gebruik van niet-ondertekende scripts toestaat, kunt u uw blootstelling aan bedreigingen vergroten.Allowing the use of unsigned scripts may increase your exposure to threats.

Opdrachtparameters toepassenApply command parameters

  • Bekijk de help van de console voor meer informatie over opdrachtparameters.View the console help to learn about command parameters. Voer het volgende uit als u meer wilt weten over een afzonderlijke opdracht:To learn about an individual command, run:

    help <command name>

  • Bij het toepassen van parameters op opdrachten, moet u er rekening mee houden dat parameters worden verwerkt op basis van een vaste volgorde:When applying parameters to commands, note that parameters are handled based on a fixed order:

    <command name> param1 param2

  • Wanneer u parameters opgeeft buiten de vaste volgorde, geeft u de naam van de parameter op met een afbreekstreester voordat u de waarde opgeeft:When specifying parameters outside of the fixed order, specify the name of the parameter with a hyphen before providing the value:

    <command name> -param2_name param2

  • Wanneer u opdrachten gebruikt met vereiste opdrachten, kunt u vlaggen gebruiken:When using commands that have prerequisite commands, you can use flags:

    <command name> -type file -id <file path> - auto of remediate file <file path> - auto .<command name> -type file -id <file path> - auto or remediate file <file path> - auto.

Ondersteunde uitvoertypenSupported output types

Livereactie ondersteunt uitvoertypen voor tabel- en JSON-indeling.Live response supports table and JSON format output types. Voor elke opdracht is er een standaarduitvoergedrag.For each command, there's a default output behavior. U kunt de uitvoer in de gewenste uitvoerindeling wijzigen met de volgende opdrachten:You can modify the output in your preferred output format using the following commands:

  • -output json
  • -output table

Notitie

Er worden minder velden weergegeven in tabelindeling vanwege de beperkte ruimte.Fewer fields are shown in table format due to the limited space. Als u meer details in de uitvoer wilt zien, kunt u de opdracht JSON-uitvoer gebruiken, zodat er meer details worden weergegeven.To see more details in the output, you can use the JSON output command so that more details are shown.

Ondersteunde uitvoerpijpenSupported output pipes

Live response ondersteunt uitvoerpijpleidingen naar CLI en bestand.Live response supports output piping to CLI and file. CLI is het standaarduitvoergedrag.CLI is the default output behavior. U kunt de uitvoer naar een bestand uitvoeren met de volgende opdracht: [command] > [bestandsnaam].txt.You can pipe the output to a file using the following command: [command] > [filename].txt.

Voorbeeld:Example:

processes > output.txt

Het opdrachtlogboek weergevenView the command log

Selecteer het tabblad Opdrachtlogboek om de opdrachten weer te geven die tijdens een sessie op het apparaat zijn gebruikt.Select the Command log tab to see the commands used on the device during a session. Elke opdracht wordt bijgespoord met volledige details, zoals:Each command is tracked with full details such as:

  • IDID
  • OpdrachtregelCommand line
  • DuurDuration
  • Status- en invoer- of uitvoerzijdebalkStatus and input or output side bar

BeperkingenLimitations

  • Livereactiesessies zijn beperkt tot 25 livereactiesessies tegelijk.Live response sessions are limited to 25 live response sessions at a time.
  • De inactieve time-outwaarde voor livereactiesessie is 30 minuten.Live response session inactive timeout value is 30 minutes.
  • Een gebruiker kan maximaal tien gelijktijdige sessies starten.A user can initiate up to 10 concurrent sessions.
  • Een apparaat kan slechts in één sessie tegelijk worden gebruikt.A device can only be in one session at a time.
  • De volgende limieten voor bestandsgrootte zijn van toepassing:The following file size limits apply:
    • getfile limiet: 3 GBgetfile limit: 3 GB
    • fileinfo limiet: 10 GBfileinfo limit: 10 GB
    • library limiet: 250 MBlibrary limit: 250 MB

Gerelateerd artikelRelated article