Exemplos de comandos da Resposta Imediata
Aplica-se a:
Quer experimentar o Defender para Ponto Final? Inscrever-se para uma avaliação gratuita.
Saiba mais sobre os comandos comuns utilizados na resposta em direto e veja exemplos sobre como são normalmente utilizados.
Dependendo da função que tem, pode executar comandos de resposta em direto básicos ou avançados. Para obter mais informações sobre comandos básicos e avançados, veja Investigar entidades em dispositivos com resposta em direto.
analyze
# Analyze the file malware.txt
analyze file c:\Users\user\Desktop\malware.txt
# Analyze the process by PID
analyze process 1234
connections
# List active connections in json format using parameter name
connections -output json
# List active connections in json format without parameter name
connections json
dir
# List files and sub-folders in the current folder (by default it will show relative paths [-relative_path])
dir
# List files and sub-folders in the current folder, with their full path
dir -full_path
# List files and sub-folders in a specific folder
dir C:\Users\user\Desktop\
# List files and subfolders in the current folder in json format
dir -output json
fileinfo
# Display information about a file
fileinfo C:\Windows\notepad.exe
findfile
# Find file by name
findfile test.txt
getfile
# Download a file from a machine
getfile c:\Users\user\Desktop\work.txt
# Download a file from a machine, automatically run prerequisite commands
getfile c:\Users\user\Desktop\work.txt -auto
Nota
Não é possível transferir os seguintes tipos de ficheiro com este comando a partir da Resposta em Direto:
- Reparse point files (Reparse point files)
- Ficheiros dispersos
- Ficheiros vazios
- Ficheiros virtuais ou ficheiros que não estão totalmente presentes localmente
Estes tipos de ficheiro são suportados pelo PowerShell.
Utilize o PowerShell como alternativa, se tiver problemas ao utilizar este comando a partir da Resposta em Direto.
library
# List files in the library
library
# Delete a file from the library
library delete script.ps1
processes
# Show all processes
processes
# Get process by pid
processes 123
# Get process by pid with argument name
processes -pid 123
# Get process by name
processes -name notepad.exe
putfile
# Upload file from library
putfile get-process-by-name.ps1
# Upload file from library, overwrite file if it exists
putfile get-process-by-name.ps1 -overwrite
# Upload file from library, keep it on the machine after a restart
putfile get-process-by-name.ps1 -keep
registry
# Show information about the values in a registry key
registry HKEY_CURRENT_USER\Console
# Show information about a specific registry value (the double backslash \\ indicates a registry value versus key)
registry HKEY_CURRENT_USER\Console\\ScreenBufferSize
remediate
# Remediate file in specific path
remediate file c:\Users\user\Desktop\malware.exe
# Remediate process with specific PID
remediate process 7960
# See list of all remediated entities
remediate list
run
# Run PowerShell script from the library without arguments
run script.ps1
# Run PowerShell script from the library with arguments
run get-process-by-name.ps1 -parameters "-processName Registry"
Nota
Para comandos de execução prolongada, como "executar" ou "getfile", pode utilizar o símbolo "&" no final do comando para executar essa ação em segundo plano. Isto irá permitir-lhe continuar a investigar o computador e regressar ao comando em segundo plano quando terminar com o comando básico "fg".
Ao transmitir parâmetros para um script de resposta dinâmica, não inclua os seguintes carateres proibidos: ';', '&', '|', '!' e '$'.
scheduledtask
# Get all scheduled tasks
scheduledtasks
# Get specific scheduled task by location and name
scheduledtasks Microsoft\Windows\Subscription\LicenseAcquisition
# Get specific scheduled task by location and name with spacing
scheduledtasks "Microsoft\Configuration Manager\Configuration Manager Health Evaluation"
undo
# Restore remediated registry
undo registry HKEY_CURRENT_USER\Console\ScreenBufferSize
# Restore remediated scheduledtask
undo scheduledtask Microsoft\Windows\Subscription\LicenseAcquisition
# Restore remediated file
undo file c:\Users\user\Desktop\malware.exe
Sugestão
Quer saber mais? Engage com a comunidade de Segurança da Microsoft na nossa Comunidade Tecnológica: Microsoft Defender para Endpoint Tech Community.
Comentários
Brevemente: Ao longo de 2024, vamos descontinuar progressivamente o GitHub Issues como mecanismo de feedback para conteúdos e substituí-lo por um novo sistema de feedback. Para obter mais informações, veja: https://aka.ms/ContentUserFeedback.
Submeter e ver comentários