Jaa

Laitteiden entiteettien tutkiminen reaaliaikaisen vastauksen avulla

  • Artikkeli

Koskee seuraavia:

Haluatko kokeilla Defender for Endpointia? Rekisteröidy maksuttomaan kokeiluversioon.

Reaaliaikainen vastaus antaa suojaustoiminnoille välittömän pääsyn laitteeseen (jota kutsutaan myös koneeksi) etäliittymäyhteyden avulla. Reaaliaikaisen vastauksen avulla voit tehdä perusteellista tutkimustyötä ja ryhtyä välittömiin toimiin tunnistettujen uhkien nopeaan hillitsemiseen reaaliaikaisesti.

Reaaliaikainen reagointi on suunniteltu tehostamaan tutkimuksia antamalla suojaustiimillesi mahdollisuus kerätä rikosteknisiä tietoja, suorittaa komentosarjoja, lähettää epäilyttäviä entiteettejä analysoitaviksi, korjata uhkia ja etsiä ennakoivasti uusia uhkia.

Reaaliaikaisen vastauksen avulla analyytikot voivat tehdä kaikki seuraavat tehtävät:

  • Suorita perus- ja lisäkomentoja laitteessa tutkimista varten.
  • Lataa tiedostoja, kuten haittaohjelmanäytteitä ja PowerShell-komentosarjojen tuloksia.
  • Lataa tiedostot taustalla (uusi!).
  • Lataa PowerShell-komentosarja tai suoritettava tiedosto kirjastoon ja suorita se laitteessa vuokraajatasolta.
  • Suorita tai kumoa korjaustoimintoja.

Alkuvalmistelut

Ennen kuin voit aloittaa istunnon laitteessa, varmista, että täytät seuraavat vaatimukset:

  • Varmista, että käytössäsi on tuettu Windows-versio.

    Laitteissa on oltava käytössä jokin seuraavista Windows-versioista

    • Windows 10 & 11

    • macOS – Vähimmäisversio: 101.43.84. Tuetaan Intel-pohjaisissa ja ARM-pohjaisissa macOS-laitteissa.

    • Linux – Pienin pakollinen versio: 101.45.13

    • Windows Server 2012 R2KB5005292

    • Windows Server 2016ja KB5005292

      Huomautus

      Jos kyseessä on Windows Server 2012 R2 tai Windows Server 2016, Unified Agent on asennettava, ja on suositeltavaa paikata uusimpaan tunnistinversioon KB5005292. Reaaliaikainen vastaus ei toimi odotetulla tavalla offline-tilassa toimiville alatason palvelimille, jotka on otettu käyttöön virtaviivaistetun menetelmän avulla staattisen välityspalvelimen vuoksi. Harkitse järjestelmän välityspalvelimen käyttöä.

    • Windows Server 2019

    • Windows Server 2022

    • Windows Server 2025 (alkaen helmikuussa 2025 ja käyttöön seuraavien viikkojen aikana)

  • Ota reaaliaikainen vastaus käyttöön Lisäasetukset-sivulta.

    Sinun on otettava käyttöön reaaliaikainen vastaustoiminto Lisäominaisuudet-asetussivulla .

    Huomautus

    Vain järjestelmänvalvojat ja käyttäjät, joilla on portaaliasetusten hallintaoikeudet, voivat ottaa käyttöön reaaliaikaisen vastauksen.

  • Ota reaaliaikainen vastaus käyttöön palvelimille lisäasetusten sivulta (suositus ).

    Huomautus

    Vain järjestelmänvalvojat ja käyttäjät, joilla on portaaliasetusten hallintaoikeudet, voivat ottaa käyttöön reaaliaikaisen vastauksen.

  • Ota käyttöön reaaliaikainen vastaus allekirjoittamaton komentosarjan suorittaminen (valinnainen).

    Tärkeää

    Allekirjoituksen tarkistus koskee vain PowerShell-komentosarjoja.

    Varoitus

    Allekirjoittamattomien komentosarjojen käytön salliminen voi lisätä altistumista uhille.

    Allekirjoittamattomien komentosarjojen suorittamista ei suositella, koska se voi lisätä altistumista uhille. Jos sinun on käytettävä niitä, sinun on otettava asetus käyttöön Lisäominaisuudet-asetussivulla .

  • Varmista, että sinulla on asianmukaiset käyttöoikeudet.

    Vain käyttäjät, joille on määritetty tarvittavat käyttöoikeudet, voivat aloittaa istunnon. Jos haluat lisätietoja roolien määrittämisestä, katso Roolien luominen ja hallinta.

    Tärkeää

    Mahdollisuus ladata tiedosto kirjastoon on käytettävissä vain käyttäjille, joilla on suojausasetusten hallintaoikeus. Painike näkyy harmaana käyttäjille, joilla on vain delegoidut käyttöoikeudet.

    Sinulle myönnetystä roolista riippuen voit suorittaa perus- tai edistyneitä live-vastauskomentoja. Käyttäjien käyttöoikeuksia hallitaan mukautetulla RBAC-roolilla.

Reaaliaikaisen vastauksen koontinäytön yleiskatsaus

Kun aloitat reaaliaikaisen vastausistunnon laitteessa, avautuu koontinäyttö. Koontinäyttö sisältää istuntoa koskevia tietoja, kuten seuraavat:

  • Istunnon luonut käyttäjä
  • Istunnon alkamisajankohdan
  • Istunnon kesto

Koontinäytössä voit myös käyttää:

  • Katkaise istunnon yhteys
  • Tiedostojen lataaminen kirjastoon
  • Komentokonsoli
  • Komentoloki

Aloita reaaliaikainen vastausistunto laitteessa

Huomautus

Laite-sivulta aloitetut reaaliaikaiset vastaustoiminnot eivät ole käytettävissä MachineActions-ohjelmointirajapinnassa.

  1. Kirjaudu sisään Microsoft Defender portaaliin.

  2. Siirry päätepisteisiin>Laitteen varasto ja valitse laite tutkittavaksi. Laitteiden sivu avautuu.

  3. Käynnistä reaaliaikainen vastausistunto valitsemalla Aloita reaaliaikainen vastausistunto. Komentokonsoli tulee näkyviin. Odota, istunto muodostaa yhteyden laitteeseen.

  4. Käytä sisäisiä komentoja tutkimustyön tekemiseen. Lisätietoja on artikkelissa Reaaliaikaisen vastauksen komennot.

  5. Kun olet suorittanut tutkimuksen, valitse Katkaise istunto ja valitse sitten Vahvista.

Reaaliaikaisen vastauksen komennot

Sinulle myönnetystä roolista riippuen voit suorittaa perus- tai edistyneitä live-vastauskomentoja. Käyttäjien käyttöoikeuksia hallitaan mukautetuilla RBAC-rooleilla. Jos haluat lisätietoja roolien määrittämisestä, katso Roolien luominen ja hallinta.

Huomautus

Reaaliaikainen vastaus on pilvipohjainen vuorovaikutteinen käyttöliittymä, joten tietty komentokokemus voi vaihdella vasteajan mukaan verkon laadun ja järjestelmän kuormituksen mukaan loppukäyttäjän ja kohdelaitteen välillä.

Peruskomennot

Seuraavat komennot ovat käytettävissä käyttäjärooleille, joille on myönnetty mahdollisuus suorittaa live-perusvastauskomentoja . Jos haluat lisätietoja roolien määrittämisestä, katso Roolien luominen ja hallinta.

Komento Kuvaus Windows ja Windows Server macOS Linux
cd Muuttaa nykyistä hakemistoa. Y Y Y
cls Tyhjentää konsolinäytön. Y Y Y
connect Käynnistää laitteelle reaaliaikaisen vastausistunnon. Y Y Y
connections Näyttää kaikki aktiiviset yhteydet. Y N N
dir Näyttää luettelon hakemiston tiedostoista ja alihakemistoista. Y Y Y
drivers Näyttää kaikki laitteeseen asennetut ohjaimet. Y N N
fg <command ID> Sijoita määritetty työ edustalle ja tee siitä nykyinen työ. Ota huomioon, että käytettävissä fg ovat command ID työt, eivät PID-tunnuksen. Y Y Y
fileinfo Hae tietoja tiedostosta. Y Y Y
findfile Paikantaa tiedostot annetulla nimellä laitteessa. Y Y Y
getfile <file_path> Lataa tiedoston. Y Y Y
help Tarjoaa ohjeita reaaliaikaisten vastauskomentojen käyttöön. Y Y Y
jobs Näyttää käynnissä olevat työt sekä niiden tunnuksen ja tilan. Y Y Y
persistence Näyttää kaikki laitteen tunnetut pysyvyysmenetelmät. Y N N
processes Näyttää kaikki laitteessa käynnissä olevat prosessit. Y Y Y
registry Näyttää rekisteriarvot. Y N N
scheduledtasks Näyttää kaikki laitteen ajoitetut tehtävät. Y N N
services Näyttää kaikki laitteen palvelut. Y N N
startupfolders Näyttää kaikki tunnetut tiedostot laitteen käynnistyskansioissa. Y N N
status Näyttää tietyn komennon tilan ja tuloksen. Y Y Y
trace Määrittää päätteen kirjaustilan virheenkorjaukseksi. Y Y Y

Lisäkomennot

Seuraavat komennot ovat käytettävissä käyttäjärooleille, joille on myönnetty mahdollisuus suorittaa edistyneitä reaaliaikaisia vastauskomentoja. Jos haluat lisätietoja roolien määrittämisestä, katso Roolien luominen ja hallinta.

Komento Kuvaus Windows ja Windows Server macOS Linux
analyze Analysoi entiteettiä erilaisilla syytösmoottoreilla päätöksen aikaansaamiseksi. Y N N
collect Kerää rikosteknisen paketin laitteesta. N Y Y
isolate Katkaisee laitteen yhteyden verkkoon säilyttäen yhteyden Defender for Endpoint -palveluun. N Y N
release Vapauttaa laitteen verkosta eristyksestä. N Y N
run Suorittaa PowerShell-komentosarjan laitteen kirjastosta. Y Y Y
library Lists tiedostot, jotka on ladattu reaaliaikaiseen vastauskirjastoon. Y Y Y
putfile Siirtää tiedoston kirjastosta laitteeseen. Tiedostot tallennetaan työkansioon, ja ne poistetaan, kun laite käynnistyy oletusarvoisesti uudelleen. Y Y Y
remediate Korjaa laitteen entiteetin. Korjaustoiminto vaihtelee entiteettityypin mukaan:
- Tiedosto: poista
- Prosessi: pysäytä, poista kuvatiedosto
- Palvelu: lopeta, poista kuvatiedosto
- Rekisterimerkintä: poistaminen
- Ajoitettu tehtävä: poista
- Käynnistyskansion kohde: poista tiedosto

Tällä komennolla on edellytyskomento. Voit suorittaa edellytettävän komennon -auto automaattisesti käyttämällä -komentoa yhdessä korjauksen kanssa.		 Y Y Y
scan Suorittaa nopean virustentorjuntatarkistuksen haittaohjelmien tunnistamiseksi ja korjaamiseksi. N Y Y
undo Palauttaa korjatun entiteetin. Y N N

Huomautus

Live-vastauskomentoon sovelletaan seuraavia putfile tiedoston kokorajoituksia:

  • Windows: 300 Mt
  • Muut ympäristöt: 10 Mt

Reaaliaikaisen vastauksen komentojen käyttäminen

Konsolissa käytettävät komennot noudattavat samanlaisia periaatteita kuin Windows-komennot.

Lisäkomennot tarjoavat entistä vankemman toimintojoukon, jonka avulla voit suorittaa tehokkaampia toimintoja, kuten ladata ja ladata tiedoston, suorittaa komentosarjoja laitteessa ja suorittaa korjaustoimintoja entiteetissä.

Tiedoston noutaminen laitteesta

Jos haluat saada tiedoston tutkimastasi laitteesta, voit käyttää komentoa getfile . Tämän avulla voit tallentaa tiedoston laitteesta lisätutkimuksia varten.

Huomautus

Seuraavat tiedoston kokorajoitukset ovat voimassa:

  • getfile raja: 3 Gt
  • fileinfo raja: 30 Gt
  • library raja: 250 Mt

Lataa tiedosto taustalla

Jotta suojaustoimintaryhmä voi jatkaa vaikutuksen avanneen laitteen tutkimista, tiedostot voidaan nyt ladata taustalla.

  • Jos haluat ladata tiedoston taustalla, kirjoita download <file_path> &reaaliaikaisen vastauksen komentokonsoliin .
  • Jos odotat tiedoston lataamista, voit siirtää sen taustalle painamalla Ctrl + Z.
  • Jos haluat tuoda tiedoston latauksen edustalle, kirjoita fg <command_id>live-vastauskomentokonsoliin .

Seuraavassa on joitakin esimerkkejä:

Komento Mitä se tekee
getfile "C:\windows\some_file.exe" & Aloittaa tiedoston lataamisen nimeltä some_file.exe taustalla.
fg 1234 Palauttaa latauksen, jonka komentotunnus on 1234 , edustalle.

Sijoita tiedosto kirjastoon

Reaaliaikaisessa vastauksessa on kirjasto, johon voit sijoittaa tiedostoja. Kirjastoon tallennetaan tiedostoja (kuten komentosarjoja), jotka voidaan suorittaa reaaliaikaisessa vastausistunnossa vuokraajatasolla.

Reaaliaikaisen vastauksen avulla voidaan suorittaa PowerShell- ja Bash-komentosarjoja. Sinun on kuitenkin ensin sijoita tiedostot kirjastoon, ennen kuin voit suorittaa ne.

Sinulla voi olla kokoelma PowerShell- ja Bash-komentosarjoja, jotka voidaan suorittaa laitteissa, joilla aloitat reaaliaikaisen vastausistunnon.

Tiedoston lataaminen kirjastoon

Huomautus

Kirjastoon ladattavien merkkien käytössä on rajoituksia. Käytä aakkosnumeerisia merkkejä ja joitakin symboleita (erityisesti , -, _tai .).

  1. Valitse Lataa tiedosto kirjastoon.

  2. Valitse Selaa ja valitse tiedosto.

  3. Kirjoita lyhyt kuvaus.

  4. Määritä, haluatko korvata samannimisen tiedoston.

  5. Jos haluat olla, tiedä, mitä parametreja komentosarjaan tarvitaan, valitse komentosarjaparametrit -valintaruutu. Kirjoita tekstikenttään esimerkki ja kuvaus.

  6. Valitse Vahvista.

  7. (Valinnainen) Voit varmistaa, että tiedosto on ladattu kirjastoon, suorittamalla komennon library .

Peruuta komento

Voit peruuttaa komennon milloin tahansa istunnon aikana painamalla CTRL + C.

Varoitus

Tämän pikakuvakkeen käyttäminen ei pysäytä komentoa agentin puolella. Se peruuttaa komennon vain Microsoft Defender portaalissa. Muuttuvat toiminnot, kuten korjaaminen, voivat siis jatkua, vaikka komento peruutetaan.

Suorita komentosarja

Ennen kuin voit suorittaa PowerShell/Bash-komentosarjan, sinun on ensin ladattava se kirjastoon.

Kun olet ladannut komentosarjan kirjastoon, suorita komentosarja -komennolla run .

Jos aiot käyttää allekirjoittamatonta PowerShell-komentosarjaa istunnossa, sinun on otettava asetus käyttöön Lisäominaisuudet-asetussivulla .

Varoitus

Allekirjoittamattomien komentosarjojen käytön salliminen voi lisätä altistumista uhille.

Komentoparametrien käyttäminen

  • Katso lisätietoja komentoparametreista konsolin ohjeesta. Saat lisätietoja yksittäisestä komennosta suorittamalla:

    help <command name>

  • Kun käytät parametreja komentoihin, ota huomioon, että parametreja käsitellään kiinteän järjestyksen mukaan:

    <command name> param1 param2

  • Kun määrität parametreja kiinteän järjestyksen ulkopuolella, määritä parametrin nimi yhdysmerkillä ennen arvon antamista:

    <command name> -param2_name param2

  • Kun käytät komentoja, joilla on edellytettävät komennot, voit käyttää merkintöjä:

    <command name> -type file -id <file path> - auto

    TAI

    remediate file <file path> - auto`

Tuetut tulostetyypit

Reaaliaikainen vastaus tukee taulukoiden ja JSON-muotojen tulostetyyppejä. Jokaisella komennolla on oletustulostetoiminta. Voit muokata tulosta haluamassasi tulostusmuodossa seuraavien komentojen avulla:

  • -output json
  • -output table

Huomautus

Taulukkomuodossa näkyy vähemmän kenttiä rajoitetun tilan vuoksi. Jos haluat lisätietoja tuloksista, voit käyttää JSON-tulostekomentoa, jotta näet lisätietoja.

Tuetut tulosputket

Reaaliaikainen vastaus tukee komentorivikäyttöliittymän ja -tiedoston tulosteputkia. Komentorivikäyttöliittymä on oletusarvoinen tulostetoiminto. Voit putkittaa tulosteen tiedostoon käyttämällä seuraavaa komentoa: [command] > [filename].txt.

Esimerkki:

processes > output.txt

Komentolokin tarkasteleminen

Valitse Komentoloki-välilehti , jos haluat tarkastella laitteessa istunnon aikana käytettyjä komentoja. Kutakin komentoa seurataan käyttäen kaikkia tietoja, kuten:

  • ID
  • Komentorivi
  • Kesto
  • Tila ja syöttö- tai tulostussivupalkki

Rajoitukset

  • Reaaliaikaisen vastauksen istunnot on rajoitettu 25 live-vastausistuntoon kerrallaan.
  • Reaaliaikaisen vastauksen istunnon passiivisen aikakatkaisun arvo on 30 minuuttia.
  • Yksittäisten reaaliaikaisten vastauskomentojen aikarajoitus on 10 minuuttia, lukuun ottamatta getfile- findfileja run-komentoja, joiden enimmäisraja on 30 minuuttia.
  • Käyttäjä voi aloittaa enintään 10 samanaikaista istuntoa.
  • Laite voi olla vain yhdessä istunnossa kerrallaan.
  • Seuraavat tiedoston kokorajoitukset ovat voimassa:
    • getfile raja: 3 Gt
    • fileinfo raja: 30 Gt
    • library raja: 250 Mt

Aiheeseen liittyvä artikkeli

Vihje

Haluatko tietää lisää? Engage Microsoft security -yhteisön kanssa teknologiayhteisössämme: Microsoft Defender for Endpoint Tech Community.