Inicio de una sesión de respuesta dinámica
La respuesta inmediata proporciona a los equipos de operaciones de seguridad acceso instantáneo a un dispositivo mediante una conexión de shell de tipo remoto. La respuesta inmediata proporciona la capacidad de realizar una investigación en profundidad y tomar medidas de respuesta inmediatas para que contengan rápidamente las amenazas identificadas.
La respuesta dinámica está diseñada para mejorar las investigaciones, ya que permite que el equipo de operaciones de seguridad recopile datos de análisis forenses, ejecute scripts, envíe entidades sospechosas para el análisis, corrija amenazas y busque proactivamente amenazas emergentes.
Con la respuesta dinámica, los analistas pueden realizar las tareas siguientes:
Ejecutar comandos básicos y avanzados para realizar tareas de investigación en un dispositivo.
Descargar archivos, como ejemplos de malware y resultados de scripts de PowerShell.
Descargar archivos en segundo plano (novedad).
Cargar un script o ejecutable de PowerShell en la biblioteca y ejecutarlo en un dispositivo desde un nivel de inquilino.
Realizar o deshacer acciones de corrección.
Requisitos previos
Para poder iniciar una sesión en un dispositivo, asegúrese de cumplir los requisitos siguientes:
Comprobar que el dispositivo ejecuta una versión compatible de Windows 10 o versiones posteriores
Habilite la respuesta dinámica desde la página Configuración. Deberá habilitar la capacidad de respuesta dinámica en la página de configuración Características avanzadas.
Solo los usuarios con los roles de administración de la seguridad o administrador global pueden editar esta configuración.
Asegurarse de que el dispositivo tiene un nivel de corrección de automatización asignado
Deberá habilitar, por lo menos, el nivel de corrección mínimo para un grupo de dispositivos determinado. De lo contrario, no puede establecer una sesión de respuesta inmediata para un miembro de ese grupo.
Habilitar la ejecución de scripts sin firma de respuesta dinámica (opcional)
Permitir el uso de scripts sin firma puede aumentar la exposición a amenazas. No se recomienda ejecutar scripts sin firma, ya que puede aumentar su exposición a amenazas. Sin embargo, si debe usarlos, deberá habilitar la configuración en la página de configuración Características avanzadas.
Asegurarse de que tiene los permisos adecuados
Solo los usuarios que se hayan aprovisionado con los permisos adecuados pueden iniciar una sesión. La opción de cargar un archivo en la biblioteca solo está disponible para los usuarios con los permisos de control de acceso basado en roles (RBAC) adecuados. El botón aparece atenuado para los usuarios que solo tienen permisos delegados. En función del rol que se le haya concedido, puede ejecutar comandos de respuesta dinámica básicos o avanzados. Los permisos de los usuarios se controlan mediante el rol personalizado de RBAC.
Información general del panel de respuesta dinámica
Al iniciar una sesión de respuesta dinámica en un dispositivo, se abre un panel. El panel proporciona información sobre la sesión, como:
Quién creó la sesión
Cuando se inició la sesión
La duración de la sesión
El panel también proporciona acceso a:
Desconexión de la sesión
Carga de archivos en la biblioteca
Consola de comandos
Registro de comandos
Comandos de respuesta dinámica
En función del rol que se le haya concedido, puede ejecutar comandos de respuesta dinámica básicos o avanzados. Los permisos de los usuarios se controlan mediante roles personalizados de RBAC. Respuesta inmediata es un shell interactivo basado en la nube. Por lo tanto, la experiencia de comandos específica puede variar en el tiempo de respuesta en función de la calidad de la red y la carga del sistema entre el usuario final y el dispositivo de destino.
Comandos básicos
Los siguientes comandos están disponibles para los roles de usuario a los que se concede la capacidad de ejecutar comandos básicos de respuesta dinámica.
| Get-Help | Descripción |
|---|---|
| [cd] | Cambia el directorio actual. |
| [cls] | Borra la pantalla de la consola. |
| [connect] | Inicia una sesión de respuesta inmediata en el dispositivo. |
| [connections] | Muestra todas las conexiones activas. |
| [dir] | Muestra una lista de archivos y subdirectorios en un directorio. |
| [getfile] <file_path> | Descarga un archivo en segundo plano. |
| [drivers] | Muestra todos los controladores instalados en el dispositivo. |
| [fg] <identificador de comando> | Devuelve un archivo que se descarga en primer plano. |
| [fileinfo] | Obtener información acerca de un archivo. |
| [findfile] | Busca archivos por un nombre determinado en el dispositivo. |
| [help] | Proporciona información de ayuda para los comandos de respuesta dinámica. |
| [persistence] | Muestra todos los métodos de persistencia conocidos en el dispositivo. |
| [processes] | Muestra todos los procesos que se ejecutan en el dispositivo. |
| [registry] | Muestra los valores del Registro. |
| [scheduledtasks] | Muestra todas las tareas programadas en el dispositivo. |
| [services] | Muestra todos los servicios en el dispositivo. |
| [trace] | Establece el modo de registro del terminal en depurar. |
Comandos avanzados
Los siguientes comandos están disponibles para los roles de usuario a los que se concede la capacidad de ejecutar comandos avanzados de respuesta dinámica.
| Get-Help | Descripción |
|---|---|
| analyze | Analiza la entidad con diferentes motores de incriminación para llegar a un veredicto. |
| getfile | Obtiene un archivo del dispositivo. Este comando tiene un comando de requisito previo. Puede usar el comando -auto con getfile para ejecutar automáticamente el comando de requisito previo. |
| Ejecutar | Ejecuta un script de PowerShell desde la biblioteca en el dispositivo. |
| biblioteca | Muestra los archivos que se cargaron en la biblioteca de respuesta dinámica. |
| putfile | Coloca un archivo de la biblioteca en el dispositivo. Los archivos se guardan en una carpeta de trabajo y se eliminan cuando el dispositivo se reinicia de manera predeterminada. |
| remediate | Corrige una entidad en el dispositivo. La acción de corrección variará en función del tipo de entidad. Este comando tiene un comando de requisito previo. Puede usar el comando -auto con remediate para ejecutar automáticamente el comando de requisito previo. |
| Deshacer | Restaura una entidad que se ha corregido. |
Uso de los comandos de respuesta dinámica
Los comandos que puede usar en la consola siguen principios similares a los comandos de Windows. Los comandos avanzados ofrecen capacidades ampliadas que le permiten realizar acciones más eficaces. Las acciones avanzadas incluyen descargar o cargar un archivo, ejecutar scripts en el dispositivo y realizar acciones de corrección en una entidad.
Obtención de un archivo del dispositivo
En el caso de los escenarios en los que quiere obtener un archivo de un dispositivo que está investigando, puede usar el comando [getfile]. El comando [getfile] le permite guardar el archivo desde el dispositivo para realizar una investigación más detallada.
Se aplican los límites de tamaño de archivo siguientes:
Límite de getfile: 3 GB
Límite de fileinfo: 10 GB
Límite de library: 250 MB
Descarga de un archivo en segundo plano
Para permitir que el equipo de operaciones de seguridad siga investigando un dispositivo afectado, ahora los archivos se pueden descargar en segundo plano.
Para descargar un archivo en segundo plano, en la consola de comandos de respuesta dinámica, escriba getfile <file_path>.
Si espera a que se descargue un archivo, puede moverlo al segundo plano mediante CTRL+Z.
Para que un archivo se descargue en primer plano, en la consola de comandos de respuesta dinámica, escriba fg <identificador_de_comando>.
Estos son algunos ejemplos:
| Get-Help | Qué hace |
|---|---|
| getfile "C:\windows\some_file.exe" | Inicia la descarga de un archivo denominado some_file.exe en segundo plano. |
| fg 1234 | Devuelve una descarga con el identificador de comando 1234 en primer plano. |
Colocación de un archivo en la biblioteca
La respuesta dinámica tiene una biblioteca en la que puede colocar archivos. La biblioteca almacena archivos (como scripts) que se pueden ejecutar en una sesión de respuesta dinámica en el nivel de inquilino. Respuesta dinámica permite ejecutar scripts de PowerShell. Sin embargo, primero debe colocar los archivos en la biblioteca para poder ejecutarlos. Puede tener una colección de scripts de PowerShell que se pueden ejecutar en dispositivos en los que inicie sesiones de respuesta dinámica.
Para cargar un archivo en la biblioteca:
Seleccione Cargar archivo en la biblioteca.
Seleccione Explorar y, luego, el archivo.
Proporcione una breve descripción.
Especifique si quiere sobrescribir un archivo con el mismo nombre.
En caso afirmativo, sepa qué parámetros son necesarios para el script y seleccione la casilla parámetros de script. En el campo de texto, escriba un ejemplo y una descripción.
Seleccione Confirmar.
(Opcional) Para comprobar que el archivo se ha cargado en la biblioteca, ejecute el comando library.
Cancelación de un comando
En cualquier momento durante una sesión, puede cancelar un comando presionando CTRL + C.
Ejecución automática de los comandos de requisito previo
Algunos comandos tienen comandos de requisito previo para ejecutarse. Si no ejecuta el comando de requisito previo, obtendrá un error. Por ejemplo, si ejecuta el comando download sin fileinfo, se devolverá un error. Puede usar la marca auto para ejecutar automáticamente los comandos de requisito previo, por ejemplo:
getfile c:\Users\user\Desktop\work.txt -auto
Ejecutar un script de PowerShell
Antes de poder ejecutar un script de PowerShell, primero debe cargarlo en la biblioteca. Después de cargar el script en la biblioteca, use el comando run para ejecutar el script. Si planea usar un script sin firma en la sesión, deberá habilitar la configuración en la página de configuración Características avanzadas.
Aplicación de parámetros de comandos
Vea la ayuda de la consola para obtener información sobre los parámetros de comando. Para obtener información acerca de un comando individual, ejecute:
help <command name>
Al aplicar parámetros a comandos, los parámetros se controlan en función de un orden fijo:
<command name> param1 param2
Al especificar parámetros fuera del orden fijo, especifique el nombre del parámetro con un guión antes de proporcionar su valor:
<command name> -param2_name param2
Al usar comandos que tienen comandos de requisito previo, puede usar marcas:
<command name> -type file -id <file path> - auto or remediate file <file path> - auto.
Tipos de salida compatibles
La respuesta dinámica admite tipos de salida de tabla y de formato JSON. Para cada comando, hay un comportamiento de salida predeterminado. Puede modificar la salida en el formato de salida preferido mediante los siguientes comandos:
-output json
-output table
Tipos de canalizaciones compatibles
La respuesta dinámica admite la canalización de salida a la CLI y el archivo. CLI es el comportamiento de salida predeterminado. Puede canalizar la salida a un archivo mediante el comando siguiente: [comando] > [nombre_de_archivo].txt.
Vista del registro de comandos
Seleccione la pestaña Registro de comandos para ver los comandos que se usan en el dispositivo durante una sesión. Se realiza un seguimiento de cada comando con detalles completos, como:
ID
Línea de comandos
Duration
Barra lateral de estado y de entrada o salida
Ejemplos de comandos
Los comandos siguientes son ejemplos que demuestran el uso de los comandos de respuesta inmediata.
Analizar
# Analyze the file malware.txt
analyze file c:\Users\user\Desktop\malware.txt
# Analyze the process by PID
analyze process 1234
Limitaciones
La respuesta dinámica tiene las siguientes limitaciones:
Las sesiones de respuesta dinámica se limitan a diez a la vez.
No se admite la ejecución de comandos a gran escala.
El valor de tiempo de espera de sesión inactiva de respuesta dinámica es de 5 minutos.
Un usuario solo puede iniciar una sesión a la vez.
Un dispositivo solo puede estar en una sesión a la vez.
Se aplican los límites de tamaño de archivo siguientes:
Límite de getfile: 3 GB
Límite de fileinfo: 10 GB
Límite de library: 250 MB