Undersök enheter på enheter med live-svar

Gäller för:

Vill du uppleva Microsoft Defender för Endpoint? Registrera dig för en kostnadsfri utvärderingsversion.

Live Response ger säkerhetsoperationer direktåtkomst till en enhet (kallas även dator) med en fjärrgränssnittsanslutning. Det ger dig möjlighet att göra djupgående arbete och vidta omedelbart åtgärder för att snabbt identifiera hot i realtid.

Live response är utformat för att förbättra undersökningar genom att göra det möjligt för säkerhetsgruppen att samla in tekniska data, köra skript, skicka misstänkta enheter för analys, åtgärda hot och proaktivt leta efter nya hot.

Med live-svar kan analytiker göra följande:

  • Kör grundläggande och avancerade kommandon för att göra saker på en enhet.
  • Ladda ned filer som exempel på skadlig programvara och resultat av PowerShell-skript.
  • Ladda ned filer i bakgrunden (nytt!).
  • Upload ett PowerShell-skript eller körbart till biblioteket och kör det på en enhet på innehavarnivå.
  • Vidta eller ångra åtgärder.

Innan du börjar

Innan du kan starta en session på en enhet kontrollerar du att du uppfyller följande krav:

  • Kontrollera att du kör en version av Windows.

    Enheter måste köra någon av följande versioner av Windows

    Anteckning

    För närvarande stöds endast Intel-baserade macOS-system.

    • Linux – endast tillämpligt för offentlig förhandsversion, lägsta obligatoriska version: 101.45.13

    • Windows Server 2012 R2 – med KB5005292

    • Windows Server 2016 – med KB5005292

    • Windows Server 2019

    • Windows Server 2022

  • Aktivera livesvar från sidan avancerade inställningar.

    Du måste aktivera svarsfunktion på sidan Avancerade funktioner.

    Anteckning

    Endast användare med administratörsroller för säkerhet och global administration kan redigera de här inställningarna.

  • Aktivera live-svar för servrar från sidan avancerade inställningar (rekommenderas).

    Anteckning

    Endast användare med administratörsroller för säkerhet och global administration kan redigera de här inställningarna.

  • Kontrollera att enheten har en nivå för automatiseringsreparation tilldelad.

    Du måste minst aktivera den lägsta åtgärdsnivån för en viss enhetsgrupp. Annars kommer du inte att kunna upprätta en Live Response-session för en medlem i den gruppen.

    Du får följande felmeddelande:

    Bild av felmeddelande.

  • Aktivera körning av skript som inte tilldelats med Live Response (valfritt).

    Viktigt

    Signaturverifiering gäller endast för PowerShell-skript.

    Varning

    Om du tillåter användning av osignerade skript kan din exponering öka för hot.

    Vi rekommenderar inte att du kör osignerade skript eftersom det kan öka exponeringen mot hot. Om du måste använda dem måste du aktivera inställningen på sidan Avancerade inställningar.

  • Kontrollera att du har rätt behörigheter.

    Endast användare som har etablerats med rätt behörighet kan starta en session. Mer information om rolltilldelningar finns i Skapa och hantera roller.

    Viktigt

    Alternativet att ladda upp en fil till biblioteket är bara tillgängligt för användare med behörigheten "Hantera Inställningar". Knappen är nedtonad för användare som endast har delegerade behörigheter.

    Beroende på vilken roll du har beviljats kan du köra grundläggande eller avancerade kommandon för livesvar. Användarbehörigheter styrs av den anpassade rollen RBAC.

Översikt över instrumentpanelen för livesvar

När du startar en svarssession på en enhet öppnas en instrumentpanel. På instrumentpanelen finns information om sessionen, till exempel följande:

  • Vem skapade sessionen
  • När sessionen startades
  • Sessionens varaktighet

Instrumentpanelen ger dig också tillgång till:

  • Koppla från session
  • Upload filer till biblioteket
  • Kommandokonsol
  • Kommandologg

Starta en svarssession i live på en enhet

  1. Logga in på Microsoft 365 Defender portalen.

  2. Gå till Slutpunkter > enhetslager och välj en enhet du vill undersöka. Sidan Enheter öppnas.

  3. Starta livesvarssessionen genom att välja Initiera svarssession i direktsändning. En kommandokonsol visas. Vänta medan sessionen ansluts till enheten.

  4. Använd de inbyggda kommandona för att göra det här. Mer information finns i Live response-kommandon.

  5. När du har slutfört din undersökning väljer du Koppla från session och sedan Bekräfta.

Kommandon för livesvar

Beroende på vilken roll du har beviljats kan du köra grundläggande eller avancerade kommandon för livesvar. Användarbehörigheter styrs av anpassade rollerna i RBAC. Mer information om rolltilldelningar finns i Skapa och hantera roller.

Anteckning

Live response är ett molnbaserat interaktivt gränssnitt som exempelvis kan specifika kommandogränssnitt variera vad gäller svarstider beroende på nätverkskvalitet och systembelastning mellan slutanvändaren och målenheten.

Grundläggande kommandon

Följande kommandon är tillgängliga för användarroller som ges möjlighet att köra grundläggande kommandon för livesvar. Mer information om rolltilldelningar finns i Skapa och hantera roller.



Kommando Beskrivning Windows och Windows Server macOS Linux
cd Ändrar den aktuella katalogen. J J J
cls Tar bort konsolskärmen. J J J
ansluta Startar en svarssession i direktsändning på enheten. J J J
anslutningar Visar alla aktiva anslutningar. J N N
dir Visar en lista med filer och undermappar i en katalog. J J J
drivrutiner Visar alla drivrutiner som är installerade på enheten. J N N
fg <command ID> Placera det angivna jobbet i förgrunden, vilket gör det till aktuellt jobb. Obs! fg tar ett kommando-ID som är tillgängligt från jobb, inte från PID J J J
filinfo Hämta information om en fil. J J J
findfile Söker efter ett namn på enheten. J J J
getfile <file_path> En fil laddas ned. J J J
Hjälp Innehåller hjälpinformation för livesvarskommandon. J J J
jobb Visar jobb som körs, deras ID och status. J J J
beständighet Visar alla kända beständighetsmetoder på enheten. J N N
processer Visar alla processer som körs på enheten. J J J
register Visar registervärden. J N N
scheduledtasks Visar alla schemalagda uppgifter på enheten. J N N
tjänster Visar alla tjänster på enheten. J N N
startmappar Visar alla kända filer i startmappar på enheten. J N N
status Visar status och utdata för specifikt kommando. J N N
spåra Ställer in terminalens loggningsläge för felsökning. J J J

Avancerade kommandon

Följande kommandon är tillgängliga för användarroller som ges möjlighet att köra avancerade svarskommandon. Mer information om rolltilldelningar finns i Skapa och hantera roller.



Kommando Beskrivning Windows och Windows Server macOS Linux
analysera Analyserar enheten med olika informationsmotorer för att nå ett omdöme. J N N
samla in Samlar in paket av juridiska verktyg från datorn N J J
isolera Kopplar bort enheten från nätverket men behåller anslutningen till Defender för slutpunktstjänsten N J N
version Släpper en enhet från nätverksisolering N J N
kör Kör ett PowerShell-skript från biblioteket på enheten. J J J
bibliotek Visar filer som har laddats upp till livesvarsbiblioteket. J J J
putfile Lägger till en fil från biblioteket till enheten. Filer sparas i en arbetsmapp och tas bort när enheten startas om som standard. J J J
åtgärda Åtgärdar en enhet på enheten. Åtgärdsåtgärden varierar beroende på entitetstyp: Arkiv: ta bort Process: stopp, ta bort bildfilTjänst: stopp, ta bort bildfil Registerpost: ta bort schemalagd aktivitet: ta bort mappobjekt i startmappen: ta bort fil Obs! Det här kommandot har ett kommando som krävs. Du kan använda kommandot -auto tillsammans med åtgärd för att automatiskt köra kommandot som krävs. J J J
skanna Kör en antivirussökning för att identifiera och åtgärda skadlig programvara. N J J
ångra Återställer en enhet som har åtgärdats. J J J

Använda kommandon för livesvar

De kommandon som du kan använda i konsolen följer liknande principer som Windows Kommandon.

Med avancerade kommandon får du en mer robust uppsättning åtgärder som gör att du kan vidta mer kraftfulla åtgärder, till exempel ladda ned och ladda upp en fil, köra skript på enheten och vidta åtgärder för en enhet.

Hämta en fil från enheten

För scenarier när du vill hämta en fil från en enhet som du undersöker kan du använda getfile kommandot. På så sätt kan du spara filen från enheten för ytterligare undersökning.

Anteckning

Följande filstorleksbegränsningar gäller:

  • getfile gräns: 3 GB
  • fileinfo gräns: 10 GB
  • library gräns: 250 MB

Ladda ned en fil i bakgrunden

För att ditt team med säkerhetsåtgärder ska kunna fortsätta att undersöka en påverkade enhet kan filer nu laddas ned i bakgrunden.

  • Om du vill ladda ned en fil i bakgrunden skriver du . download <file_path> &
  • Om du väntar på att en fil ska laddas ned kan du flytta den till bakgrunden genom att använda Ctrl + Z.
  • Om du vill föra in en filnedladdning i förgrunden skriver du fg <command_id> .

Här är några exempel:



Kommando Vad den gör
getfile "C:\windows\some_file.exe" & Börjar hämta en fil med namnetsome_file.exe fil i bakgrunden.
fg 1234 Returnerar en nedladdning med kommando-ID 1234 till förgrunden.

Placera en fil i biblioteket

Live response har ett bibliotek där du kan placera filer i. Biblioteket lagrar filer (till exempel skript) som kan köras i en svarssession i direktsändning på klientorganisationsnivå.

Med Live Response kan PowerShell-skript köras, men du måste först placera filerna i biblioteket innan du kan köra dem.

Du kan ha en samling PowerShell-skript som kan köras på enheter som du startar svarssessioner med i direktsändning.

Ladda upp en fil i biblioteket

  1. Klicka Upload filen till biblioteket.

  2. Klicka Bläddra och markera filen.

  3. Ge en kort beskrivning.

  4. Ange om du vill skriva över en fil med samma namn.

  5. Om du vill vara det ska du veta vilka parametrar som krävs för skriptet, markera kryssrutan skriptparametrar. I textfältet anger du ett exempel och en beskrivning.

  6. Klicka på Bekräfta.

  7. (Valfritt) Kör kommandot för att verifiera att filen har laddats upp till library biblioteket.

Avbryta ett kommando

När som helst under en session kan du avbryta ett kommando genom att trycka på CTRL + C.

Varning

Om du använder den här genvägen stoppas inte kommandot på agentsidan. Det avbryter bara kommandot i portalen. Så om du ändrar åtgärder som "åtgärd" kan det fortsätta medan kommandot avbryts.

Kör ett skript

Innan du kan köra PowerShell-/Bash-skript måste du ladda upp dem till biblioteket.

När skriptet har laddats upp till biblioteket använder du run kommandot för att köra skriptet.

Om du planerar att använda ett osignerat PowerShell-skript i sessionen måste du aktivera inställningen på sidan Avancerade inställningar för funktioner.

Varning

Om du tillåter användning av osignerade skript kan din exponering öka för hot.

Använda kommandoparametrar

  • Läs konsolhjälpen om du vill lära dig mer om kommandoparametrar. Om du vill lära dig mer om ett enskilt kommando kör du:

    help <command name>
    
  • Observera att parametrar hanteras utifrån en fast ordning när du tillämpar parametrar på kommandon:

    <command name> param1 param2
    
  • När du anger parametrar utanför den fasta ordningen ska du ange namnet på parametern med ett bindestreck innan du anger värdet:

    <command name> -param2_name param2
    
  • När du använder kommandon som har nödvändiga kommandon kan du använda flaggor:

    <command name> -type file -id <file path> - auto
    

    eller

    remediate file <file path> - auto`
    

Utdatatyper som stöds

Live Response har stöd för utdatatyper i tabell och JSON-format. För varje kommando finns det ett standardbeteende för utdata. Du kan ändra utdata i det valda utdataformatet med följande kommandon:

  • -output json
  • -output table

Anteckning

Färre fält visas i tabellformat på grund av det begränsade utrymmet. Om du vill se mer information i resultatet kan du använda JSON-utdatakommandot så att mer information visas.

Utdatarör som stöds

Live Response har stöd för utdata piping till CLI och fil. CLI är standardbeteendet för utdata. Du kan skicka utdata till en fil i en kontroll med följande kommando: [kommando] > [filnamn].txt.

Exempel:

processes > output.txt

Visa kommandologgen

Välj fliken Kommandologg för att se de kommandon som används på enheten under en session. Varje kommando spåras med fullständig information som:

  • ID
  • Kommandorad
  • Varaktighet
  • Status och inmatnings- eller utdatas sidofält

Begränsningar

  • Livesvarssessioner är begränsade till 25 livesvarssessioner i taget.
  • Värdet för inaktiv timeout för livesvarssession är 30 minuter.
  • En användare kan starta upp till 10 samtidiga sessioner.
  • En enhet kan bara vara i en session i taget.
  • Följande filstorleksbegränsningar gäller:
    • getfile gräns: 3 GB
    • fileinfo gräns: 10 GB
    • library gräns: 250 MB

Relaterad artikel