Initiieren einer Live Response-Sitzung
Die Funktion „Live-Antwort“ bietet Security Operations-Teams über eine Remoteshellverbindung sofortigen Zugriff auf ein Gerät. Live-Antwort bietet Ihnen die Leistung für ausführliche Untersuchungen und das sofortige Ergreifen von Maßnahmen, um ermittelte Bedrohungen sofort einzudämmen.
Live Response ist zur Verbesserung von Untersuchungen gedacht, indem Ihrem Sicherheitsteam die Möglichkeit gegeben wird, forensische Daten zu sammeln, Skripts auszuführen, verdächtige Entitäten zur Analyse zu senden, Bedrohungen zu beheben und proaktiv nach neuen Bedrohungen zu suchen.
Mit Live Response können Analysten alle folgenden Aufgaben ausführen:
Ausführen grundlegender und erweiterter Befehle für Untersuchungen auf einem Gerät
Herunterladen von Dateien wie Beispiele für Schadsoftware und Ergebnisse von PowerShell-Skripts
Herunterladen von Dateien im Hintergrund (neu!)
Hochladen eines PowerShell-Skripts oder einer ausführbaren Datei in die Bibliothek und Ausführen auf einem Gerät auf Mandantenebene
Ausführen oder Rückgängigmachen von Korrekturmaßnahmen
Voraussetzungen
Bevor Sie auf einem Gerät eine Sitzung starten können, müssen Sie sicherstellen, dass die folgenden Anforderungen erfüllt sind:
Wird eine unterstützte Version von Windows 10 ausgeführt?
Aktivieren Sie Live Response über die Seite mit Einstellungen. Sie müssen die Live Response-Funktion auf der Seite mit Einstellungen für erweiterte Funktionen aktivieren.
Diese Einstellungen können nur von Benutzern mit der Rolle „Sicherheit verwalten“ oder „Globaler Administrator“ bearbeitet werden.
Sicherstellen, dass dem Gerät eine Korrekturebene für die Automatisierung zugewiesen ist
Sie müssen mindestens die Minimalkorrekturebene für eine bestimmte Gerätegruppe aktivieren. Andernfalls können Sie keine Live-Antwort-Sitzung mit einem Mitglied dieser Gruppe einrichten.
Aktivieren der Live Response-Ausführung nicht signierter Skripts (optional)
Wenn Sie die Verwendung nicht signierter Skripts zulassen, kann sich das Risiko von Bedrohungen erhöhen. Das Ausführen nicht signierter Skripts wird nicht empfohlen, da dadurch das Bedrohungsrisiko steigen kann. Ist eine Verwendung jedoch unvermeidbar, müssen Sie die entsprechende Einstellung auf der Seite mit Einstellungen für erweiterte Funktionen aktivieren.
Sicherstellen, dass Sie über die entsprechenden Berechtigungen verfügen
Nur Benutzer, die mit den entsprechenden Berechtigungen versehen wurden, können eine Sitzung initiieren. Die Option zum Hochladen einer Datei in die Bibliothek ist nur für Benutzer*innen mit den entsprechenden RBAC-Berechtigungen (rollenbasierte Zugriffssteuerung) verfügbar. Für Benutzer, die nur über delegierte Berechtigungen verfügen, ist die Schaltfläche abgeblendet. Je nach gewährter Rolle können Sie grundlegende oder erweiterte Live Response-Befehle ausführen. Benutzerberechtigungen werden durch die benutzerdefinierte RBAC-Rolle gesteuert.
Übersicht über das Live Response-Dashboard
Wenn Sie eine Live Response-Sitzung auf einem Gerät initiieren, wird ein Dashboard geöffnet. Das Dashboard enthält Informationen über die Sitzung. Diese umfassen Folgendes:
Benutzer, der die Sitzung erstellt hat
Zeitpunkt, wann die Sitzung gestartet wurde
Dauer der Sitzung
Das Dashboard bietet außerdem Zugriff auf folgende Funktionen:
Trennen der Sitzung
Hochladen von Dateien in die Bibliothek
Befehlskonsole
Befehlsprotokoll
Live Response-Befehle
Je nach gewährter Rolle können Sie grundlegende oder erweiterte Live Response-Befehle ausführen. Benutzerberechtigungen werden durch die benutzerdefinierte RBAC-Rolle gesteuert. Die Liveantwort ist eine cloudbasierte interaktive Shell. Daher können bestimmte Befehle je nach Netzwerkqualität und Systemauslastung zwischen Endbenutzer*in und dem Zielgerät unterschiedliche Reaktionszeiten aufweisen.
Grundlegende Befehle
Die folgenden Befehle sind für Benutzerrollen verfügbar, die zur Ausführung grundlegender Live Response-Befehle berechtigt sind.
| Get-Help | BESCHREIBUNG |
|---|---|
| [cd] | Ändert das aktuelle Verzeichnis. |
| [cls] | Löscht den Konsolenbildschirm. |
| [connect] | Startet eine Live-Antwort-Sitzung mit dem Gerät |
| [connections] | Zeigt alle aktiven Verbindungen an. |
| [dir] | Zeigt eine Liste der Dateien und Unterverzeichnisse in einem Verzeichnis an. |
| [getfile] <file_path> | Lädt eine Datei im Hintergrund herunter. |
| [drivers] | Zeigt alle auf dem Gerät installierten Treiber an. |
| [fg] <Befehls-ID> | Bringt einen Dateidownload in den Vordergrund zurück. |
| [fileinfo] | Abrufen von Informationen über eine Datei |
| [findfile] | Sucht nach Dateien mit einem bestimmten Namen auf dem Gerät. |
| [help] | Stellt Hilfeinformationen für Live Response-Befehle bereit. |
| [persistence] | Zeigt alle bekannten Persistenzmethoden auf dem Gerät an. |
| [processes] | Zeigt alle auf dem Gerät ausgeführten Prozesse an. |
| [registry] | Zeigt Registrierungswerte an. |
| [scheduledtasks] | Zeigt alle geplanten Aufgaben auf dem Gerät an. |
| [services] | Zeigt alle Dienste auf dem Gerät an. |
| [trace] | Legt den Protokollierungsmodus des Terminals auf Debuggen fest. |
Erweiterte Befehle
Die folgenden Befehle sind für Benutzerrollen verfügbar, die zur Ausführung erweiterter Live Response-Befehle berechtigt sind.
| Get-Help | BESCHREIBUNG |
|---|---|
| analyze | Analysiert die Entität mit verschiedenen Einstufungs-Engines, um eine Bewertung zu erstellen. |
| getfile | Ruft eine Datei vom Gerät ab. Dieser Befehl erfordert einen anderen Befehl. Sie können den Befehl „-auto“ mit „getfile“ verwenden, um den erforderlichen Befehl automatisch auszuführen. |
| Run | Führt ein PowerShell-Skript aus der Bibliothek auf dem Gerät aus. |
| Bibliothek | Listet Dateien auf, die in die Live Response-Bibliothek hochgeladen wurden. |
| putfile | Legt eine Datei aus der Bibliothek auf dem Gerät ab. Dateien werden in einem Arbeitsordner gespeichert und beim Neustart des Geräts standardmäßig gelöscht. |
| remediate | Korrigiert eine Entität auf dem Gerät. Die Korrekturaktion ist je nach Entitätstyp verschieden. Dieser Befehl erfordert einen anderen Befehl. Sie können den Befehl „-auto“ mit „remediate“ verwenden, um den erforderlichen Befehl automatisch auszuführen. |
| Rückgängig | Stellt eine Entität, die korrigiert wurde, wieder her. |
Verwenden von Live Response-Befehlen
Die Befehle, die Sie in der Konsole verwenden können, folgen ähnlichen Prinzipien wie Windows-Befehle. Die weiterführenden Befehle bieten erweiterte Funktionen, mit denen Sie leistungsfähigere Aktionen ausführen können. Zu den erweiterten Aktionen gehören das Herunterladen oder Hochladen einer Datei, das Ausführen von Skripts auf dem Gerät und das Durchführen von Wartungsaktionen auf einer Entität.
Abrufen einer Datei vom Gerät
Für Szenarien, in denen Sie eine Datei von einem untersuchten Gerät abrufen möchten, können Sie den Befehl [getfile] verwenden. Mit dem Befehl [getfile] können Sie die Datei vom Gerät für weitere Untersuchungen speichern.
Es gelten die folgenden Dateigrößenbeschränkungen:
Beschränkung für „getfile“: 3 GB
Beschränkung für „fileinfo“: 10 GB
Beschränkung für „library“: 250 MB
Herunterladen einer Datei im Hintergrund
Damit Ihr Sicherheitsteam ein betroffenes Gerät weiter untersuchen kann, können Dateien jetzt im Hintergrund heruntergeladen werden.
Geben Sie in der Live-Antwortbefehlkonsole getfile <file_path> ein, um eine Datei im Hintergrund herunterzuladen.
Wenn Sie darauf warten, dass eine Datei heruntergeladen wird, können Sie diesen Vorgang mithilfe von STRG+Z in den Hintergrund verschieben.
Wenn Sie einen Dateidownload im Vordergrund ausführen möchten, geben Sie in der Befehlskonsole von Live-Antwort den Befehl fg <Befehls-ID> ein.
Im Folgenden finden Sie einige Beispiele:
| Get-Help | Funktionsbeschreibung |
|---|---|
| getfile "C:\windows\some_file.exe" | Startet das Herunterladen einer Datei mit dem Namen „some_file.exe“ im Hintergrund. |
| fg 1234 | Bringt einen Download mit der Befehls-ID 1234 in den Vordergrund zurück. |
Ablegen einer Datei in der Bibliothek
Live Response verfügt über eine Bibliothek, in der Sie Dateien ablegen können. In der Bibliothek werden Dateien gespeichert (z. B. Skripts), die in einer Live Response-Sitzung auf Mandantenebene ausgeführt werden können. Live Response ermöglicht das Ausführen von PowerShell-Skripts. Die Dateien müssen jedoch vor dem Ausführen zunächst in der Bibliothek abgelegt werden. Sie können über eine Sammlung von PowerShell-Skripts verfügen, die auf Geräten ausgeführt werden können, mit denen Sie Live Response-Sitzungen initiieren.
Zum Hochladen einer Datei in die Bibliothek führen Sie die folgenden Schritte aus:
Wählen Sie Datei in Bibliothek hochladen aus.
Wählen Sie Durchsuchen und dann die Datei aus.
Geben Sie eine kurze Beschreibung an.
Geben Sie an, ob Sie eine Datei mit demselben Namen überschreiben möchten.
Wenn Sie wissen möchten, welche Parameter für das Skript erforderlich sind, aktivieren Sie das Kontrollkästchen für Skriptparameter. Geben Sie im Textfeld ein Beispiel und eine Beschreibung ein.
Klicken Sie auf Bestätigen.
(Optional) Um zu überprüfen, ob die Datei in die Bibliothek hochgeladen wurde, führen Sie den Befehl „library“ aus.
Abbrechen eines Befehls
Sie können einen Befehl jederzeit während einer Sitzung abbrechen, indem Sie STRG+C drücken.
Automatisches Ausführen erforderlicher Befehle
Für einige Befehle müssen erforderliche Befehle ausgeführt werden. Wenn Sie den erforderlichen Befehl nicht ausführen, wird ein Fehler angezeigt. Führen Sie z. B. den Befehl „download“ ohne fileinfo aus, wird ein Fehler zurückgegeben. Sie können das Flag „auto“ verwenden, um erforderliche Befehle automatisch auszuführen. Hier ein Beispiel:
getfile c:\Users\user\Desktop\work.txt -auto
Ausführen eines PowerShell-Skripts
Bevor Sie ein PowerShell-Skript ausführen können, müssen Sie es zuerst in die Bibliothek hochladen. Nachdem Sie das Skript in die Bibliothek hochgeladen haben, verwenden Sie den Befehl run, um das Skript auszuführen. Wenn Sie beabsichtigen, ein nicht signiertes Skript in der Sitzung zu verwenden, müssen Sie die entsprechende Einstellung auf der Seite mit Einstellungen für erweiterte Funktionen aktivieren.
Anwenden von Befehlsparametern
In der Konsolenhilfe finden Sie Informationen zu Befehlsparametern. Wenn Sie Informationen zu einem einzelnen Befehl erhalten möchten, führen Sie Folgendes aus:
help <command name>
Beim Anwenden von Parametern für Befehle werden die Parameter in einer bestimmten Reihenfolge verarbeitet:
<command name> param1 param2
Wenn Sie Parameter außerhalb der festgelegten Reihenfolge angeben, stellen Sie dem Namen des Parameters einen Bindestrich voran, bevor Sie den Wert angeben:
<command name> -param2_name param2
Wenn Sie Befehle verwenden, die erforderliche Befehle aufweisen, können Sie Flags verwenden:
<command name> -type file -id <file path> - auto or remediate file <file path> - auto.
Unterstützte Ausgabetypen
Live Response unterstützt als Ausgabetypen das Tabellen- und JSON-Format. Jeder Befehl weist ein standardmäßiges Ausgabeverhalten auf. Mithilfe der folgenden Befehle können Sie die Ausgabe in Ihr bevorzugtes Ausgabeformat ändern:
-output json
-output table
Unterstützte Ausgabepipes
Live Response unterstützt die CLI und eine Datei als Ausgabepipes. Die CLI ist das standardmäßige Ausgabeverhalten. Mithilfe des folgenden Befehls können Sie die Pipeausgabe in eine Datei festlegen: [Befehl] > [Dateiname].txt.
Anzeigen des Befehlsprotokolls
Wählen Sie die Registerkarte „Befehlsprotokoll“ aus, um die Befehle anzuzeigen, die während einer Sitzung auf dem Gerät verwendet wurden. Jeder Befehl wird mit vollständigen Details nachverfolgt. Dies umfasst Folgendes:
ID
Befehlszeile
Duration
Seitenleiste für Status und Eingabe oder Ausgabe
Befehlsbeispiele
Die folgenden Befehle sind Beispiele, die das Verwenden der Live-Antwortbefehle veranschaulichen.
Analysieren
# Analyze the file malware.txt
analyze file c:\Users\user\Desktop\malware.txt
# Analyze the process by PID
analyze process 1234
Einschränkungen
Live Response weist die folgenden Einschränkungen auf:
Live Response-Sitzungen sind auf 10 gleichzeitige Live Response-Sitzungen beschränkt.
Das Ausführen von Befehlen im großen Stil wird nicht unterstützt.
Der Timeoutwert für inaktive Live Response-Sitzung beträgt 5 Minuten.
Ein Benutzer kann nur jeweils eine Sitzung initiieren.
Ein Gerät kann jeweils nur in einer Sitzung enthalten sein.
Es gelten die folgenden Dateigrößenbeschränkungen:
Beschränkung für „getfile“: 3 GB
Beschränkung für „fileinfo“: 10 GB
Beschränkung für „library“: 250 MB