Investigar entidades em dispositivos usando a resposta ao vivoInvestigate entities on devices using live response

Aplica-se a:Applies to:

Deseja experimentar o Defender para Ponto de Extremidade?Want to experience Defender for Endpoint? Inscreva-se para uma avaliação gratuita.Sign up for a free trial.

A resposta ao vivo dá às equipes de operações de segurança acesso instantâneo a um dispositivo (também chamado de máquina) usando uma conexão de shell remoto.Live response gives security operations teams instantaneous access to a device (also referred to as a machine) using a remote shell connection. Isso permite que você faça um trabalho de investigação aprofundado e tome ações de resposta imediatas para conter prontamente ameaças identificadas em tempo real.This gives you the power to do in-depth investigative work and take immediate response actions to promptly contain identified threats—in real time.

A resposta ao vivo foi projetada para aprimorar as investigações, permitindo que sua equipe de operações de segurança colete dados forenses, execute scripts, envie entidades suspeitas para análise, correção de ameaças e busca proativamente por ameaças emergentes.Live response is designed to enhance investigations by enabling your security operations team to collect forensic data, run scripts, send suspicious entities for analysis, remediate threats, and proactively hunt for emerging threats.

Com a resposta ao vivo, os analistas podem realizar todas as seguintes tarefas:With live response, analysts can do all of the following tasks:

  • Execute comandos básicos e avançados para fazer um trabalho de investigação em um dispositivo.Run basic and advanced commands to do investigative work on a device.
  • Baixe arquivos como exemplos de malware e resultados de scripts do PowerShell.Download files such as malware samples and outcomes of PowerShell scripts.
  • Baixar arquivos em segundo plano (novo!).Download files in the background (new!).
  • Upload um script do PowerShell ou executável para a biblioteca e executá-lo em um dispositivo de um nível de locatário.Upload a PowerShell script or executable to the library and run it on a device from a tenant level.
  • Realizar ou desfazer ações de correção.Take or undo remediation actions.

Antes de começarBefore you begin

Antes de iniciar uma sessão em um dispositivo, certifique-se de atender aos seguintes requisitos:Before you can initiate a session on a device, make sure you fulfill the following requirements:

  • Verifique se você está executando uma versão com suporte do Windows.Verify that you're running a supported version of Windows.
    Os dispositivos devem estar executando uma das seguintes versões do WindowsDevices must be running one of the following versions of Windows

  • Habilitar a resposta ao vivo na página configurações avançadas.Enable live response from the advanced settings page.
    Você precisará habilitar o recurso de resposta ao vivo na página Configurações de recursos avançados.You'll need to enable the live response capability in the Advanced features settings page.

    Observação

    Somente usuários com funções de administrador global ou de segurança podem editar essas configurações.Only users with manage security or global admin roles can edit these settings.

  • Habilita a resposta ao vivo para servidores a partir da página de configurações avançadas (recomendada).Enable live response for servers from the advanced settings page (recommended).

    Observação

    Somente usuários com funções de administrador global ou de segurança podem editar essas configurações.Only users with manage security or global admin roles can edit these settings.

  • Verifique se o dispositivo tem um nível de Correção de Automação atribuído a ele.Ensure that the device has an Automation Remediation level assigned to it.
    Você precisará habilitar, pelo menos, o Nível mínimo de Correção para um determinado Grupo de Dispositivos.You'll need to enable, at least, the minimum Remediation Level for a given Device Group. Caso contrário, você não poderá estabelecer uma sessão de Resposta Ao Vivo para um membro desse grupo.Otherwise you won't be able to establish a Live Response session to a member of that group.

    Você receberá o seguinte erro:You'll receive the following error:

    Imagem da mensagem de erro

  • Habilitar a execução de script de resposta ao vivo sem assinatura (opcional).Enable live response unsigned script execution (optional).

    Aviso

    Permitir o uso de scripts não assinados pode aumentar sua exposição a ameaças.Allowing the use of unsigned scripts may increase your exposure to threats.

    A execução de scripts não assinados não é recomendada, pois pode aumentar sua exposição a ameaças.Running unsigned scripts is not recommended as it can increase your exposure to threats. No entanto, se você precisar usá-los, será necessário habilitar a configuração na página Configurações de recursos avançados.If you must use them however, you'll need to enable the setting in the Advanced features settings page.

  • Verifique se você tem as permissões apropriadas.Ensure that you have the appropriate permissions.
    Somente usuários que foram provisionados com as permissões apropriadas podem iniciar uma sessão.Only users who have been provisioned with the appropriate permissions can initiate a session. Para obter mais informações sobre atribuições de função, consulte Create and manage roles.For more information on role assignments, see Create and manage roles.

    Importante

    A opção de carregar um arquivo na biblioteca só está disponível para aqueles com as permissões RBAC apropriadas.The option to upload a file to the library is only available to those with the appropriate RBAC permissions. O botão está acinzentado para usuários com apenas permissões delegadas.The button is greyed out for users with only delegated permissions.

    Dependendo da função que foi concedida a você, você pode executar comandos básicos ou avançados de resposta ao vivo.Depending on the role that's been granted to you, you can run basic or advanced live response commands. As permissões dos usuários são controladas pela função personalizada do RBAC.Users permissions are controlled by RBAC custom role.

Visão geral do painel de resposta ao vivoLive response dashboard overview

Quando você inicia uma sessão de resposta ao vivo em um dispositivo, um painel é aberto.When you initiate a live response session on a device, a dashboard opens. O painel fornece informações sobre a sessão, como o seguinte:The dashboard provides information about the session such as the following:

  • Who a sessãoWho created the session
  • Quando a sessão foi iniciadaWhen the session started
  • A duração da sessãoThe duration of the session

O painel também oferece acesso a:The dashboard also gives you access to:

  • Desconectar sessãoDisconnect session
  • Upload arquivos para a bibliotecaUpload files to the library
  • Console de comandoCommand console
  • Log de comandoCommand log

Iniciar uma sessão de resposta ao vivo em um dispositivoInitiate a live response session on a device

  1. Entre no Central de Segurança do Microsoft Defender.Sign in to Microsoft Defender Security Center.

  2. Navegue até a página de lista de dispositivos e selecione um dispositivo para investigar.Navigate to the devices list page and select a device to investigate. A página dispositivos é aberta.The devices page opens.

  3. Inicie a sessão de resposta ao vivo selecionando Iniciar sessão de resposta ao vivo.Launch the live response session by selecting Initiate live response session. Um console de comando é exibido.A command console is displayed. Aguarde enquanto a sessão se conecta ao dispositivo.Wait while the session connects to the device.

  4. Use os comandos integrados para fazer um trabalho de investigação.Use the built-in commands to do investigative work. Para obter mais informações, consulte Comandos de resposta ao vivo.For more information, see Live response commands.

  5. Após concluir sua investigação, selecione Desconectar sessão e, em seguida, selecione Confirmar.After completing your investigation, select Disconnect session, then select Confirm.

Comandos de resposta ao vivoLive response commands

Dependendo da função que foi concedida a você, você pode executar comandos básicos ou avançados de resposta ao vivo.Depending on the role that's been granted to you, you can run basic or advanced live response commands. As permissões do usuário são controladas por funções personalizadas do RBAC.User permissions are controlled by RBAC custom roles. Para obter mais informações sobre atribuições de função, consulte Create and manage roles.For more information on role assignments, see Create and manage roles.

Observação

A resposta ao vivo é um shell interativo baseado em nuvem, dessa forma, a experiência de comando específica pode variar no tempo de resposta, dependendo da qualidade da rede e da carga do sistema entre o usuário final e o dispositivo de destino.Live response is a cloud-based interactive shell, as such, specific command experience may vary in response time depending on network quality and system load between the end user and the target device.

Comandos básicosBasic commands

Os comandos a seguir estão disponíveis para funções de usuário que têm a capacidade de executar comandos básicos de resposta ao vivo.The following commands are available for user roles that are granted the ability to run basic live response commands. Para obter mais informações sobre atribuições de função, consulte Create and manage roles.For more information on role assignments, see Create and manage roles.

ComandoCommand DescriçãoDescription
cd Altera o diretório atual.Changes the current directory.
cls Limpa a tela do console.Clears the console screen.
connect Inicia uma sessão de resposta ao vivo no dispositivo.Initiates a live response session to the device.
connections Mostra todas as conexões ativas.Shows all the active connections.
dir Mostra uma lista de arquivos e subdireários em um diretório.Shows a list of files and subdirectories in a directory.
drivers Mostra todos os drivers instalados no dispositivo.Shows all drivers installed on the device.
fg <command ID> Coloque o trabalho especificado em primeiro plano em primeiro plano, tornando-o o trabalho atual.Place the specified job in the foreground in the foreground, making it the current job.
OBSERVAÇÃO: fg tem uma "ID de comando" disponível nos trabalhos, não em um PIDNOTE: fg takes a “command ID” available from jobs, not a PID
fileinfo Obter informações sobre um arquivo.Get information about a file.
findfile Localiza arquivos por um determinado nome no dispositivo.Locates files by a given name on the device.
getfile <file_path> Baixa um arquivo.Downloads a file.
help Fornece informações de ajuda para comandos de resposta ao vivo.Provides help information for live response commands.
jobs Mostra trabalhos em execução no momento, sua ID e status.Shows currently running jobs, their ID and status.
persistence Mostra todos os métodos de persistência conhecidos no dispositivo.Shows all known persistence methods on the device.
processes Mostra todos os processos em execução no dispositivo.Shows all processes running on the device.
registry Mostra valores do Registro.Shows registry values.
scheduledtasks Mostra todas as tarefas agendadas no dispositivo.Shows all scheduled tasks on the device.
services Mostra todos os serviços no dispositivo.Shows all services on the device.
trace Define o modo de registro em log do terminal como depuração.Sets the terminal's logging mode to debug.

Comandos avançadosAdvanced commands

Os comandos a seguir estão disponíveis para funções de usuário que têm a capacidade de executar comandos avançados de resposta ao vivo.The following commands are available for user roles that are granted the ability to run advanced live response commands. Para obter mais informações sobre atribuições de função, consulte Create and manage roles.For more information on role assignments, see Create and manage roles.

ComandoCommand DescriçãoDescription
analyze Analisa a entidade com vários mecanismos de rebaixamento para chegar a um veredito.Analyses the entity with various incrimination engines to reach a verdict.
run Executa um script do PowerShell da biblioteca no dispositivo.Runs a PowerShell script from the library on the device.
library Lista arquivos que foram carregados na biblioteca de resposta ao vivo.Lists files that were uploaded to the live response library.
putfile Coloca um arquivo da biblioteca no dispositivo.Puts a file from the library to the device. Os arquivos são salvos em uma pasta de trabalho e são excluídos quando o dispositivo é reiniciado por padrão.Files are saved in a working folder and are deleted when the device restarts by default.
remediate Correção de uma entidade no dispositivo.Remediates an entity on the device. A ação de correção variará dependendo do tipo de entidade:The remediation action will vary depending on the entity type:
- Arquivo: excluir- File: delete
- Processo: parar, excluir arquivo de imagem- Process: stop, delete image file
- Serviço: parar, excluir arquivo de imagem- Service: stop, delete image file
- Entrada do Registro: excluir- Registry entry: delete
- Tarefa agendada: remover- Scheduled task: remove
- Item de pasta de inicialização: excluir arquivo- Startup folder item: delete file
OBSERVAÇÃO: Este comando tem um comando de pré-requisito.NOTE: This command has a prerequisite command. Você pode usar -auto o comando em conjunto com para executar remediate automaticamente o comando de pré-requisito.You can use the -auto command in conjunction with remediate to automatically run the prerequisite command.
undo Restaura uma entidade que foi remediada.Restores an entity that was remediated.

Usar comandos de resposta ao vivoUse live response commands

Os comandos que você pode usar no console seguem princípios semelhantes aos Windows Comandos.The commands that you can use in the console follow similar principles as Windows Commands.

Os comandos avançados oferecem um conjunto mais robusto de ações que permitem que você tome ações mais poderosas, como baixar e carregar um arquivo, executar scripts no dispositivo e executar ações de correção em uma entidade.The advanced commands offer a more robust set of actions that allow you to take more powerful actions such as download and upload a file, run scripts on the device, and take remediation actions on an entity.

Obter um arquivo do dispositivoGet a file from the device

Para cenários em que você gostaria de obter um arquivo de um dispositivo que está investigando, você pode usar o getfile comando.For scenarios when you'd like get a file from a device you're investigating, you can use the getfile command. Isso permite que você salve o arquivo do dispositivo para investigação posterior.This allows you to save the file from the device for further investigation.

Observação

Os seguintes limites de tamanho de arquivo se aplicam:The following file size limits apply:

  • getfile limite: 3 GBgetfile limit: 3 GB
  • fileinfo limite: 10 GBfileinfo limit: 10 GB
  • library limite: 250 MBlibrary limit: 250 MB

Baixar um arquivo em segundo planoDownload a file in the background

Para permitir que sua equipe de operações de segurança continue investigando um dispositivo afetado, os arquivos agora podem ser baixados em segundo plano.To enable your security operations team to continue investigating an impacted device, files can now be downloaded in the background.

  • Para baixar um arquivo em segundo plano, no console de comando de resposta ao vivo, digite download <file_path> & .To download a file in the background, in the live response command console, type download <file_path> &.
  • Se você estiver esperando um arquivo ser baixado, poderá movê-lo para o segundo plano usando Ctrl + Z.If you are waiting for a file to be downloaded, you can move it to the background by using Ctrl + Z.
  • Para trazer um download de arquivo para o primeiro plano, no console de comando de resposta ao vivo, digite fg <command_id> .To bring a file download to the foreground, in the live response command console, type fg <command_id>.

Aqui estão alguns exemplos:Here are some examples:

ComandoCommand FunçãoWhat it does
getfile "C:\windows\some_file.exe" & Inicia o download de um arquivo chamadosome_file.exe em segundo plano.Starts downloading a file named some_file.exe in the background.
fg 1234 Retorna um download com a ID do comando 1234 em primeiro plano.Returns a download with command ID 1234 to the foreground.

Colocar um arquivo na bibliotecaPut a file in the library

A resposta ao vivo tem uma biblioteca na qual você pode colocar arquivos.Live response has a library where you can put files into. A biblioteca armazena arquivos (como scripts) que podem ser executados em uma sessão de resposta ao vivo no nível do locatário.The library stores files (such as scripts) that can be run in a live response session at the tenant level.

A resposta ao vivo permite que os scripts do PowerShell seja executados, no entanto, você deve primeiro colocar os arquivos na biblioteca antes de poder executar eles.Live response allows PowerShell scripts to run, however you must first put the files into the library before you can run them.

Você pode ter uma coleção de scripts do PowerShell que podem ser executados em dispositivos com os que você inicia sessões de resposta ao vivo.You can have a collection of PowerShell scripts that can run on devices that you initiate live response sessions with.

Para carregar um arquivo na bibliotecaTo upload a file in the library

  1. Clique Upload arquivo para biblioteca.Click Upload file to library.

  2. Clique em Procurar e selecione o arquivo.Click Browse and select the file.

  3. Forneça uma breve descrição.Provide a brief description.

  4. Especifique se você gostaria de substituir um arquivo com o mesmo nome.Specify if you'd like to overwrite a file with the same name.

  5. Se você quiser, saiba quais parâmetros são necessários para o script, marque a caixa de seleção parâmetros de script.If you'd like to be, know what parameters are needed for the script, select the script parameters check box. No campo de texto, insira um exemplo e uma descrição.In the text field, enter an example and a description.

  6. Clique em Confirmar.Click Confirm.

  7. (Opcional) Para verificar se o arquivo foi carregado na biblioteca, execute o library comando.(Optional) To verify that the file was uploaded to the library, run the library command.

Cancelar um comandoCancel a command

A qualquer momento durante uma sessão, você pode cancelar um comando pressionando CTRL + C.Anytime during a session, you can cancel a command by pressing CTRL + C.

Aviso

O uso desse atalho não interromperá o comando no lado do agente.Using this shortcut will not stop the command in the agent side. Ele só cancelará o comando no portal.It will only cancel the command in the portal. Portanto, a alteração de operações como "correção" pode continuar, enquanto o comando é cancelado.So, changing operations such as "remediate" may continue, while the command is canceled.

Executar um script do PowerShellRun a PowerShell script

Antes de executar um script do PowerShell, você deve primeiro carregar na biblioteca.Before you can run a PowerShell script, you must first upload it to the library.

Depois de carregar o script na biblioteca, use o run comando para executar o script.After uploading the script to the library, use the run command to run the script.

Se você planeja usar um script não assinado na sessão, será necessário habilitar a configuração na página Configurações de recursos avançados.If you plan to use an unsigned script in the session, you'll need to enable the setting in the Advanced features settings page.

Aviso

Permitir o uso de scripts não assinados pode aumentar sua exposição a ameaças.Allowing the use of unsigned scripts may increase your exposure to threats.

Aplicar parâmetros de comandoApply command parameters

  • Exibir a ajuda do console para saber mais sobre parâmetros de comando.View the console help to learn about command parameters. Para saber mais sobre um comando individual, execute:To learn about an individual command, run:

    help <command name>

  • Ao aplicar parâmetros aos comandos, observe que os parâmetros são manipulados com base em uma ordem fixa:When applying parameters to commands, note that parameters are handled based on a fixed order:

    <command name> param1 param2

  • Ao especificar parâmetros fora da ordem fixa, especifique o nome do parâmetro com um hífen antes de fornecer o valor:When specifying parameters outside of the fixed order, specify the name of the parameter with a hyphen before providing the value:

    <command name> -param2_name param2

  • Ao usar comandos com comandos de pré-requisito, você pode usar sinalizadores:When using commands that have prerequisite commands, you can use flags:

    <command name> -type file -id <file path> - auto ou remediate file <file path> - auto.<command name> -type file -id <file path> - auto or remediate file <file path> - auto.

Tipos de saída com suporteSupported output types

A resposta ao vivo dá suporte a tipos de saída de tabela e formato JSON.Live response supports table and JSON format output types. Para cada comando, há um comportamento de saída padrão.For each command, there's a default output behavior. Você pode modificar a saída no formato de saída preferencial usando os seguintes comandos:You can modify the output in your preferred output format using the following commands:

  • -output json
  • -output table

Observação

Menos campos são mostrados no formato de tabela devido ao espaço limitado.Fewer fields are shown in table format due to the limited space. Para ver mais detalhes na saída, você pode usar o comando de saída JSON para que mais detalhes sejam mostrados.To see more details in the output, you can use the JSON output command so that more details are shown.

Pipes de saída com suporteSupported output pipes

A resposta ao vivo dá suporte à canalização de saída para CLI e arquivo.Live response supports output piping to CLI and file. CLI é o comportamento de saída padrão.CLI is the default output behavior. Você pode canalar a saída para um arquivo usando o seguinte comando: [comando] > [nomedo arquivo].txt.You can pipe the output to a file using the following command: [command] > [filename].txt.

Exemplo:Example:

processes > output.txt

Exibir o log de comandosView the command log

Selecione a guia Log de comando para ver os comandos usados no dispositivo durante uma sessão.Select the Command log tab to see the commands used on the device during a session. Cada comando é rastreado com detalhes completos, como:Each command is tracked with full details such as:

  • IDID
  • Linha de comandoCommand line
  • DurationDuration
  • Status e barra lateral de entrada ou saídaStatus and input or output side bar

LimitaçõesLimitations

  • As sessões de resposta ao vivo são limitadas a 25 sessões de resposta ao vivo por vez.Live response sessions are limited to 25 live response sessions at a time.
  • O valor de tempo de tempo de inatividade da sessão de resposta ao vivo é de 30 minutos.Live response session inactive timeout value is 30 minutes.
  • Um usuário pode iniciar até 10 sessões simultâneas.A user can initiate up to 10 concurrent sessions.
  • Um dispositivo só pode estar em uma sessão por vez.A device can only be in one session at a time.
  • Os seguintes limites de tamanho de arquivo se aplicam:The following file size limits apply:
    • getfile limite: 3 GBgetfile limit: 3 GB
    • fileinfo limite: 10 GBfileinfo limit: 10 GB
    • library limite: 250 MBlibrary limit: 250 MB

Artigo relacionadoRelated article