Investigar entidades em dispositivos usando resposta ao vivo
Aplica-se a:
Deseja experimentar o Defender para Ponto de Extremidade? Inscreva-se para uma avaliação gratuita.
A resposta ao vivo fornece às equipes de operações de segurança acesso instantâneo a um dispositivo (também chamado de computador) usando uma conexão de shell remota. A resposta ao vivo dá a você o poder de fazer um trabalho investigativo aprofundado e tomar ações de resposta imediatas para conter prontamente ameaças identificadas em tempo real.
A resposta ao vivo foi projetada para aprimorar as investigações, permitindo que sua equipe de operações de segurança colete dados forenses, execute scripts, envie entidades suspeitas para análise, corrija ameaças e procure proativamente ameaças emergentes.
Com a resposta ao vivo, os analistas podem fazer todas as seguintes tarefas:
- Execute comandos básicos e avançados para fazer um trabalho investigativo em um dispositivo.
- Baixe arquivos como exemplos de malware e resultados de scripts do PowerShell.
- Baixe arquivos em segundo plano (novo!).
- Carregue um script ou executável do PowerShell na biblioteca e execute-o em um dispositivo a partir de um nível de locatário.
- Tome ou desfaça ações de correção.
Antes de começar
Antes de iniciar uma sessão em um dispositivo, verifique se você atende aos seguintes requisitos:
Verifique se você está executando uma versão com suporte do Windows.
Os dispositivos devem estar executando uma das versões a seguir do Windows
Windows 10 & 11
- Versão 1909 ou posterior
- Versão 1903 com KB4515384
- Versão 1809 (RS 5) com KB4537818
- Versão 1803 (RS 4) com KB4537795
- Versão 1709 (RS 3) com KB4537816
macOS – versão mínima necessária: 101.43.84. Com suporte para dispositivos macOS baseados em Intel e ARM.
Linux – Versão mínima necessária: 101.45.13
Windows Server 2012 R2 - com KB5005292
Windows Server 2016 - com KB5005292
Observação
Para o Windows Server 2012R2 ou 2016, você deve ter o Agente Unificado instalado e é recomendável corrigir a versão mais recente do sensor com KB5005292.
Windows Server 2019
Windows Server 2022
Habilite a resposta ao vivo da página de configurações avançadas.
Você precisa habilitar o recurso de resposta ao vivo na página Configurações de recursos avançados .
Observação
Somente administradores e usuários que têm permissões "Gerenciar Configurações do Portal" podem habilitar a resposta ao vivo.
Habilite a resposta ao vivo para servidores na página de configurações avançadas (recomendado).
Observação
Somente administradores e usuários que têm permissões "Gerenciar Configurações do Portal" podem habilitar a resposta ao vivo.
Habilitar a execução de script sem sinal de resposta ao vivo (opcional).
Importante
A verificação de assinatura só se aplica a scripts do PowerShell.
Aviso
Permitir o uso de scripts não assinados pode aumentar sua exposição a ameaças.
A execução de scripts não assinados não é recomendada, pois pode aumentar sua exposição a ameaças. No entanto, se você precisar usá-las, você precisará habilitar a configuração na página Configurações de recursos avançados .
Verifique se você tem as permissões apropriadas.
Somente usuários provisionados com as permissões apropriadas podem iniciar uma sessão. Para obter mais informações sobre atribuições de função, consulte Create e gerenciar funções.
Importante
A opção de carregar um arquivo na biblioteca só está disponível para usuários com permissão "Gerenciar Configurações de Segurança". O botão é acinzenado para usuários com apenas permissões delegadas.
Dependendo da função concedida a você, você pode executar comandos de resposta ao vivo básicos ou avançados. As permissões dos usuários são controladas pela função personalizada RBAC.
Visão geral do dashboard de resposta ao vivo
Quando você inicia uma sessão de resposta ao vivo em um dispositivo, um dashboard é aberto. O dashboard fornece informações sobre a sessão, como o seguinte:
- Quem criou a sessão
- Quando a sessão começou
- A duração da sessão
O dashboard também dá acesso a:
- Desconectar sessão
- Carregar arquivos na biblioteca
- Console de comando
- Log de comando
Iniciar uma sessão de resposta ao vivo em um dispositivo
Observação
As ações de resposta dinâmica iniciadas a partir da página Dispositivo não estão disponíveis na API de machineactions.
Entre no portal Microsoft Defender.
Navegue até Pontos de > Extremidade Inventário de dispositivo e selecione um dispositivo para investigar. A página de dispositivos é aberta.
Inicie a sessão de resposta ao vivo selecionando Iniciar sessão de resposta ao vivo. Um console de comando é exibido. Aguarde enquanto a sessão se conecta ao dispositivo.
Use os comandos internos para fazer um trabalho investigativo. Para obter mais informações, confira Comandos de resposta ao vivo.
Depois de concluir a investigação, selecione Desconectar sessão e selecione Confirmar.
Comandos de resposta ao vivo
Dependendo da função concedida a você, você pode executar comandos de resposta ao vivo básicos ou avançados. As permissões de usuário são controladas por funções personalizadas do RBAC. Para obter mais informações sobre atribuições de função, consulte Create e gerenciar funções.
Observação
A resposta ao vivo é um shell interativo baseado em nuvem, como tal, a experiência de comando específica pode variar no tempo de resposta, dependendo da qualidade da rede e da carga do sistema entre o usuário final e o dispositivo de destino.
Comandos básicos
Os comandos a seguir estão disponíveis para funções de usuário que recebem a capacidade de executar comandos básicos de resposta ao vivo. Para obter mais informações sobre atribuições de função, consulte Create e gerenciar funções.
| Comando | Descrição | Windows e Windows Server | macOS | Linux |
|---|---|---|---|---|
cd |
Altera o diretório atual. | S | S | S |
cls |
Limpa a tela do console. | S | S | S |
connect |
Inicia uma sessão de resposta ao vivo para o dispositivo. | S | S | S |
connections |
Mostra todas as conexões ativas. | Y | N | N |
dir |
Mostra uma lista de arquivos e subdiretórios em um diretório. | S | S | S |
drivers |
Mostra todos os drivers instalados no dispositivo. | Y | N | N |
fg <command ID> |
Coloque o trabalho especificado em primeiro plano, tornando-o o trabalho atual. Observe que fg usa um command ID disponível de trabalhos, não um PID. |
S | S | S |
fileinfo |
Obtenha informações sobre um arquivo. | S | S | S |
findfile |
Localiza arquivos por um determinado nome no dispositivo. | S | S | S |
getfile <file_path> |
Baixa um arquivo. | S | S | S |
help |
Fornece informações de ajuda para comandos de resposta ao vivo. | S | S | S |
jobs |
Mostra trabalhos em execução no momento, sua ID e status. | S | S | S |
persistence |
Mostra todos os métodos de persistência conhecidos no dispositivo. | Y | N | N |
processes |
Mostra todos os processos em execução no dispositivo. | S | S | S |
registry |
Mostra valores de registro. | Y | N | N |
scheduledtasks |
Mostra todas as tarefas agendadas no dispositivo. | Y | N | N |
services |
Mostra todos os serviços no dispositivo. | Y | N | N |
startupfolders |
Mostra todos os arquivos conhecidos em pastas de inicialização no dispositivo. | Y | N | N |
status |
Mostra o status e a saída de um comando específico. | S | S | S |
trace |
Define o modo de registro em log do terminal como depuração. | S | S | S |
Comandos avançados
Os comandos a seguir estão disponíveis para funções de usuário que recebem a capacidade de executar comandos avançados de resposta ao vivo. Para obter mais informações sobre atribuições de função, consulte Create e gerenciar funções.
| Comando | Descrição | Windows e Windows Server | macOS | Linux |
|---|---|---|---|---|
analyze |
Analisa a entidade com vários mecanismos de incriminação para chegar a um veredicto. | Y | N | N |
collect |
Coleta o pacote forense do dispositivo. | N | S | S |
isolate |
Desconecta o dispositivo da rede ao manter a conectividade com o serviço Defender para Ponto de Extremidade. | N | Y | N |
release |
Libera um dispositivo do isolamento de rede. | N | Y | N |
run |
Executa um script do PowerShell da biblioteca no dispositivo. | S | S | S |
library |
Listas arquivos que foram carregados na biblioteca de resposta ao vivo. | S | S | S |
putfile |
Coloca um arquivo da biblioteca no dispositivo. Os arquivos são salvos em uma pasta de trabalho e são excluídos quando o dispositivo é reiniciado por padrão. | S | S | S |
remediate |
Correção de uma entidade no dispositivo. A ação de correção varia, dependendo do tipo de entidade: – Arquivo: excluir – Processo: parar, excluir arquivo de imagem – Serviço: parar, excluir arquivo de imagem – Entrada do Registro: excluir – Tarefa agendada: remover – Item de pasta de inicialização: excluir arquivo Esse comando tem um comando de pré-requisito. Você pode usar o -auto comando em conjunto com correção para executar automaticamente o comando de pré-requisito. |
S | S | S |
scan |
Executa uma verificação rápida de antivírus para ajudar a identificar e corrigir malware. | N | S | S |
undo |
Restaura uma entidade que foi corrigida. | Y | N | N |
Usar comandos de resposta ao vivo
Os comandos que você pode usar no console seguem princípios semelhantes aos comandos do Windows.
Os comandos avançados oferecem um conjunto mais robusto de ações que permitem que você tome ações mais poderosas, como baixar e carregar um arquivo, executar scripts no dispositivo e executar ações de correção em uma entidade.
Obter um arquivo do dispositivo
Para cenários em que você deseja obter um arquivo de um dispositivo que está investigando, você pode usar o getfile comando. Isso permite que você salve o arquivo do dispositivo para uma investigação mais aprofundada.
Observação
Os seguintes limites de tamanho de arquivo se aplicam:
getfilelimite: 3 GBfileinfolimite: 30 GBlibrarylimite: 250 MB
Baixar um arquivo em segundo plano
Para permitir que sua equipe de operações de segurança continue investigando um dispositivo afetado, os arquivos agora podem ser baixados em segundo plano.
- Para baixar um arquivo em segundo plano, no console de comando de resposta ao vivo, digite
download <file_path> &. - Se você estiver esperando um arquivo ser baixado, poderá movê-lo para o plano de fundo usando Ctrl + Z.
- Para trazer um download de arquivo para o primeiro plano, no console de comando de resposta ao vivo, digite
fg <command_id>.
Aqui estão alguns exemplos:
| Comando | Função |
|---|---|
getfile "C:\windows\some_file.exe" & |
Começa a baixar um arquivo chamado some_file.exe em segundo plano. |
fg 1234 |
Retorna um download com a ID de comando 1234 em primeiro plano. |
Colocar um arquivo na biblioteca
A resposta ao vivo tem uma biblioteca na qual você pode colocar arquivos. A biblioteca armazena arquivos (como scripts) que podem ser executados em uma sessão de resposta ao vivo no nível do locatário.
A resposta ao vivo permite que os scripts do PowerShell sejam executados, no entanto, você deve primeiro colocar os arquivos na biblioteca antes de poder executá-los.
Você pode ter uma coleção de scripts do PowerShell que podem ser executados em dispositivos com os quais você inicia sessões de resposta ao vivo.
Para carregar um arquivo na biblioteca
Clique em Carregar arquivo na biblioteca.
Clique em Procurar e selecione o arquivo.
Forneça uma breve descrição.
Especifique se deseja substituir um arquivo com o mesmo nome.
Se você quiser estar, saiba quais parâmetros são necessários para o script, selecione os parâmetros de script marcar caixa. No campo de texto, insira um exemplo e uma descrição.
Clique em Confirmar.
(Opcional) Para verificar se o arquivo foi carregado na biblioteca, execute o
librarycomando.
Cancelar um comando
A qualquer momento durante uma sessão, você pode cancelar um comando pressionando CTRL + C.
Aviso
O uso desse atalho não interromperá o comando no lado do agente. Ele só cancelará o comando no portal. Portanto, a alteração de operações como "correção" pode continuar, enquanto o comando é cancelado.
Executar um script
Antes de executar um script do PowerShell/Bash, primeiro você deve carregá-lo na biblioteca.
Depois de carregar o script na biblioteca, use o run comando para executar o script.
Se você planeja usar um script do PowerShell não assinado na sessão, precisará habilitar a configuração na página Configurações de recursos avançados .
Aviso
Permitir o uso de scripts não assinados pode aumentar sua exposição a ameaças.
Aplicar parâmetros de comando
Exiba a ajuda do console para saber mais sobre parâmetros de comando. Para saber mais sobre um comando individual, execute:
help <command name>Ao aplicar parâmetros a comandos, observe que os parâmetros são manipulados com base em uma ordem fixa:
<command name> param1 param2Ao especificar parâmetros fora da ordem fixa, especifique o nome do parâmetro com um hifen antes de fornecer o valor:
<command name> -param2_name param2Ao usar comandos que têm comandos de pré-requisito, você pode usar sinalizadores:
<command name> -type file -id <file path> - autoou
remediate file <file path> - auto`
Tipos de saída com suporte
A resposta ao vivo dá suporte a tipos de saída de formato JSON e de tabela. Para cada comando, há um comportamento de saída padrão. Você pode modificar a saída no formato de saída preferencial usando os seguintes comandos:
-output json-output table
Observação
Menos campos são mostrados no formato de tabela devido ao espaço limitado. Para ver mais detalhes na saída, você pode usar o comando de saída JSON para que mais detalhes sejam mostrados.
Pipes de saída com suporte
A resposta ao vivo dá suporte à tubulação de saída para a CLI e o arquivo. CLI é o comportamento de saída padrão. Você pode canalizar a saída para um arquivo usando o seguinte comando: [comando] > [nome do arquivo].txt.
Exemplo:
processes > output.txt
Exibir o log de comandos
Selecione a guia Log de comando para ver os comandos usados no dispositivo durante uma sessão. Cada comando é acompanhado com detalhes completos, como:
- ID
- Linha de comando
- Duração
- Barra lateral de status e entrada ou saída
Limitações
- As sessões de resposta ao vivo são limitadas a 25 sessões de resposta ao vivo por vez.
- O valor de tempo limite inativo da sessão de resposta ao vivo é de 30 minutos.
- Os comandos de resposta ao vivo individuais têm um limite de tempo de 10 minutos, com exceção de
getfile,findfileerun, que têm um limite de 30 minutos. - Um usuário pode iniciar até 10 sessões simultâneas.
- Um dispositivo só pode estar em uma sessão por vez.
- Os seguintes limites de tamanho de arquivo se aplicam:
getfilelimite: 3 GBfileinfolimite: 30 GBlibrarylimite: 250 MB
Artigo relacionado
Dica
Você deseja aprender mais? Engage com a comunidade de Segurança da Microsoft em nossa Comunidade Tecnológica: Microsoft Defender para Ponto de Extremidade Tech Community.
Comentários
Em breve: Ao longo de 2024, eliminaremos os problemas do GitHub como o mecanismo de comentários para conteúdo e o substituiremos por um novo sistema de comentários. Para obter mais informações, consulte https://aka.ms/ContentUserFeedback.
Enviar e exibir comentários de