Undersök enheter på enheter med live-svar
Gäller för:
Vill du uppleva Microsoft Defender för Endpoint? Registrera dig för en kostnadsfri utvärderingsversion.
Live Response ger säkerhetsoperationer direktåtkomst till en enhet (kallas även dator) med en fjärrgränssnittsanslutning. Det ger dig möjlighet att göra djupgående arbete och vidta omedelbart åtgärder för att snabbt identifiera hot i realtid.
Live response är utformat för att förbättra undersökningar genom att göra det möjligt för säkerhetsgruppen att samla in tekniska data, köra skript, skicka misstänkta enheter för analys, åtgärda hot och proaktivt leta efter nya hot.
Med live-svar kan analytiker göra följande:
- Kör grundläggande och avancerade kommandon för att göra saker på en enhet.
- Ladda ned filer som exempel på skadlig programvara och resultat av PowerShell-skript.
- Ladda ned filer i bakgrunden (nytt!).
- Upload ett PowerShell-skript eller körbart till biblioteket och kör det på en enhet på innehavarnivå.
- Vidta eller ångra åtgärder.
Innan du börjar
Innan du kan starta en session på en enhet kontrollerar du att du uppfyller följande krav:
Kontrollera att du kör en version av Windows.
Enheter måste köra någon av följande versioner av Windows
Windows 10 & 11
- Version 1909 eller senare
- Version 1903 med KB4515384
- Version 1809 (RS 5) med KB4537818
- Version 1803 (RS 4) med KB4537795
- Version 1709 (RS 3) med KB4537816
macOS – endast tillämpligt för offentlig förhandsversion, lägsta obligatoriska version: 101.43.84
Anteckning
För närvarande stöds endast Intel-baserade macOS-system.
Aktivera livesvar från sidan avancerade inställningar.
Du måste aktivera svarsfunktion på sidan Avancerade funktioner.
Anteckning
Endast användare med administratörsroller för säkerhet och global administration kan redigera de här inställningarna.
Aktivera live-svar för servrar från sidan avancerade inställningar (rekommenderas).
Anteckning
Endast användare med administratörsroller för säkerhet och global administration kan redigera de här inställningarna.
Kontrollera att enheten har en nivå för automatiseringsreparation tilldelad.
Du måste minst aktivera den lägsta åtgärdsnivån för en viss enhetsgrupp. Annars kommer du inte att kunna upprätta en Live Response-session för en medlem i den gruppen.
Du får följande felmeddelande:

Aktivera körning av skript som inte tilldelats med Live Response (valfritt).
Viktigt
Signaturverifiering gäller endast för PowerShell-skript.
Varning
Om du tillåter användning av osignerade skript kan din exponering öka för hot.
Vi rekommenderar inte att du kör osignerade skript eftersom det kan öka exponeringen mot hot. Om du måste använda dem måste du aktivera inställningen på sidan Avancerade inställningar.
Kontrollera att du har rätt behörigheter.
Endast användare som har etablerats med rätt behörighet kan starta en session. Mer information om rolltilldelningar finns i Skapa och hantera roller.
Viktigt
Alternativet att ladda upp en fil till biblioteket är bara tillgängligt för användare med behörigheten "Hantera Inställningar". Knappen är nedtonad för användare som endast har delegerade behörigheter.
Beroende på vilken roll du har beviljats kan du köra grundläggande eller avancerade kommandon för livesvar. Användarbehörigheter styrs av den anpassade rollen RBAC.
Översikt över instrumentpanelen för livesvar
När du startar en svarssession på en enhet öppnas en instrumentpanel. På instrumentpanelen finns information om sessionen, till exempel följande:
- Vem skapade sessionen
- När sessionen startades
- Sessionens varaktighet
Instrumentpanelen ger dig också tillgång till:
- Koppla från session
- Upload filer till biblioteket
- Kommandokonsol
- Kommandologg
Starta en svarssession i live på en enhet
Logga in på Microsoft 365 Defender portalen.
Gå till Slutpunkter > enhetslager och välj en enhet du vill undersöka. Sidan Enheter öppnas.
Starta livesvarssessionen genom att välja Initiera svarssession i direktsändning. En kommandokonsol visas. Vänta medan sessionen ansluts till enheten.
Använd de inbyggda kommandona för att göra det här. Mer information finns i Live response-kommandon.
När du har slutfört din undersökning väljer du Koppla från session och sedan Bekräfta.
Kommandon för livesvar
Beroende på vilken roll du har beviljats kan du köra grundläggande eller avancerade kommandon för livesvar. Användarbehörigheter styrs av anpassade rollerna i RBAC. Mer information om rolltilldelningar finns i Skapa och hantera roller.
Anteckning
Live response är ett molnbaserat interaktivt gränssnitt som exempelvis kan specifika kommandogränssnitt variera vad gäller svarstider beroende på nätverkskvalitet och systembelastning mellan slutanvändaren och målenheten.
Grundläggande kommandon
Följande kommandon är tillgängliga för användarroller som ges möjlighet att köra grundläggande kommandon för livesvar. Mer information om rolltilldelningar finns i Skapa och hantera roller.
| Kommando | Beskrivning | Windows och Windows Server | macOS | Linux |
|---|---|---|---|---|
| cd | Ändrar den aktuella katalogen. | J | J | J |
| cls | Tar bort konsolskärmen. | J | J | J |
| ansluta | Startar en svarssession i direktsändning på enheten. | J | J | J |
| anslutningar | Visar alla aktiva anslutningar. | J | N | N |
| dir | Visar en lista med filer och undermappar i en katalog. | J | J | J |
| drivrutiner | Visar alla drivrutiner som är installerade på enheten. | J | N | N |
fg <command ID> |
Placera det angivna jobbet i förgrunden, vilket gör det till aktuellt jobb. Obs! fg tar ett kommando-ID som är tillgängligt från jobb, inte från PID | J | J | J |
| filinfo | Hämta information om en fil. | J | J | J |
| findfile | Söker efter ett namn på enheten. | J | J | J |
| getfile <file_path> | En fil laddas ned. | J | J | J |
| Hjälp | Innehåller hjälpinformation för livesvarskommandon. | J | J | J |
| jobb | Visar jobb som körs, deras ID och status. | J | J | J |
| beständighet | Visar alla kända beständighetsmetoder på enheten. | J | N | N |
| processer | Visar alla processer som körs på enheten. | J | J | J |
| register | Visar registervärden. | J | N | N |
| scheduledtasks | Visar alla schemalagda uppgifter på enheten. | J | N | N |
| tjänster | Visar alla tjänster på enheten. | J | N | N |
| startmappar | Visar alla kända filer i startmappar på enheten. | J | N | N |
| status | Visar status och utdata för specifikt kommando. | J | N | N |
| spåra | Ställer in terminalens loggningsläge för felsökning. | J | J | J |
Avancerade kommandon
Följande kommandon är tillgängliga för användarroller som ges möjlighet att köra avancerade svarskommandon. Mer information om rolltilldelningar finns i Skapa och hantera roller.
| Kommando | Beskrivning | Windows och Windows Server | macOS | Linux |
|---|---|---|---|---|
| analysera | Analyserar enheten med olika informationsmotorer för att nå ett omdöme. | J | N | N |
| samla in | Samlar in paket av juridiska verktyg från datorn | N | J | J |
| isolera | Kopplar bort enheten från nätverket men behåller anslutningen till Defender för slutpunktstjänsten | N | J | N |
| version | Släpper en enhet från nätverksisolering | N | J | N |
| kör | Kör ett PowerShell-skript från biblioteket på enheten. | J | J | J |
| bibliotek | Visar filer som har laddats upp till livesvarsbiblioteket. | J | J | J |
| putfile | Lägger till en fil från biblioteket till enheten. Filer sparas i en arbetsmapp och tas bort när enheten startas om som standard. | J | J | J |
| åtgärda | Åtgärdar en enhet på enheten. Åtgärdsåtgärden varierar beroende på entitetstyp: Arkiv: ta bort Process: stopp, ta bort bildfilTjänst: stopp, ta bort bildfil Registerpost: ta bort schemalagd aktivitet: ta bort mappobjekt i startmappen: ta bort fil Obs! Det här kommandot har ett kommando som krävs. Du kan använda kommandot -auto tillsammans med åtgärd för att automatiskt köra kommandot som krävs. | J | J | J |
| skanna | Kör en antivirussökning för att identifiera och åtgärda skadlig programvara. | N | J | J |
| ångra | Återställer en enhet som har åtgärdats. | J | J | J |
Använda kommandon för livesvar
De kommandon som du kan använda i konsolen följer liknande principer som Windows Kommandon.
Med avancerade kommandon får du en mer robust uppsättning åtgärder som gör att du kan vidta mer kraftfulla åtgärder, till exempel ladda ned och ladda upp en fil, köra skript på enheten och vidta åtgärder för en enhet.
Hämta en fil från enheten
För scenarier när du vill hämta en fil från en enhet som du undersöker kan du använda getfile kommandot. På så sätt kan du spara filen från enheten för ytterligare undersökning.
Anteckning
Följande filstorleksbegränsningar gäller:
getfilegräns: 3 GBfileinfogräns: 10 GBlibrarygräns: 250 MB
Ladda ned en fil i bakgrunden
För att ditt team med säkerhetsåtgärder ska kunna fortsätta att undersöka en påverkade enhet kan filer nu laddas ned i bakgrunden.
- Om du vill ladda ned en fil i bakgrunden skriver du .
download <file_path> & - Om du väntar på att en fil ska laddas ned kan du flytta den till bakgrunden genom att använda Ctrl + Z.
- Om du vill föra in en filnedladdning i förgrunden skriver du
fg <command_id>.
Här är några exempel:
| Kommando | Vad den gör |
|---|---|
getfile "C:\windows\some_file.exe" & |
Börjar hämta en fil med namnetsome_file.exe fil i bakgrunden. |
fg 1234 |
Returnerar en nedladdning med kommando-ID 1234 till förgrunden. |
Placera en fil i biblioteket
Live response har ett bibliotek där du kan placera filer i. Biblioteket lagrar filer (till exempel skript) som kan köras i en svarssession i direktsändning på klientorganisationsnivå.
Med Live Response kan PowerShell-skript köras, men du måste först placera filerna i biblioteket innan du kan köra dem.
Du kan ha en samling PowerShell-skript som kan köras på enheter som du startar svarssessioner med i direktsändning.
Ladda upp en fil i biblioteket
Klicka Upload filen till biblioteket.
Klicka på Bläddra och markera filen.
Ge en kort beskrivning.
Ange om du vill skriva över en fil med samma namn.
Om du vill vara det ska du veta vilka parametrar som krävs för skriptet, markera kryssrutan skriptparametrar. I textfältet anger du ett exempel och en beskrivning.
Klicka på Bekräfta.
(Valfritt) Kör kommandot för att verifiera att filen har laddats upp till
librarybiblioteket.
Avbryta ett kommando
När som helst under en session kan du avbryta ett kommando genom att trycka på CTRL + C.
Varning
Om du använder den här genvägen stoppas inte kommandot på agentsidan. Det avbryter bara kommandot i portalen. Så om du ändrar åtgärder som "åtgärd" kan det fortsätta medan kommandot avbryts.
Kör ett skript
Innan du kan köra PowerShell-/Bash-skript måste du ladda upp dem till biblioteket.
När skriptet har laddats upp till biblioteket använder du run kommandot för att köra skriptet.
Om du planerar att använda ett osignerat PowerShell-skript i sessionen måste du aktivera inställningen på sidan Avancerade inställningar för funktioner.
Varning
Om du tillåter användning av osignerade skript kan din exponering öka för hot.
Använda kommandoparametrar
Läs konsolhjälpen om du vill lära dig mer om kommandoparametrar. Om du vill lära dig mer om ett enskilt kommando kör du:
help <command name>Observera att parametrar hanteras utifrån en fast ordning när du tillämpar parametrar på kommandon:
<command name> param1 param2När du anger parametrar utanför den fasta ordningen ska du ange namnet på parametern med ett bindestreck innan du anger värdet:
<command name> -param2_name param2När du använder kommandon som har nödvändiga kommandon kan du använda flaggor:
<command name> -type file -id <file path> - autoeller
remediate file <file path> - auto`
Utdatatyper som stöds
Live Response har stöd för utdatatyper i tabell och JSON-format. För varje kommando finns det ett standardbeteende för utdata. Du kan ändra utdata i det valda utdataformatet med följande kommandon:
-output json-output table
Anteckning
Färre fält visas i tabellformat på grund av det begränsade utrymmet. Om du vill se mer information i resultatet kan du använda JSON-utdatakommandot så att mer information visas.
Utdatarör som stöds
Live Response har stöd för utdata piping till CLI och fil. CLI är standardbeteendet för utdata. Du kan skicka utdata till en fil i en kontroll med följande kommando: [kommando] > [filnamn].txt.
Exempel:
processes > output.txt
Visa kommandologgen
Välj fliken Kommandologg för att se de kommandon som används på enheten under en session. Varje kommando spåras med fullständig information som:
- ID
- Kommandorad
- Varaktighet
- Status och inmatnings- eller utdatas sidofält
Begränsningar
- Livesvarssessioner är begränsade till 25 livesvarssessioner i taget.
- Värdet för inaktiv timeout för livesvarssession är 30 minuter.
- En användare kan starta upp till 10 samtidiga sessioner.
- En enhet kan bara vara i en session i taget.
- Följande filstorleksbegränsningar gäller:
getfilegräns: 3 GBfileinfogräns: 10 GBlibrarygräns: 250 MB