Avviare una sessione di Live Response
Live Response fornisce ai team addetti alla sicurezza l'accesso immediato a un dispositivo tramite una connessione shell remota. Consente di eseguire indagini approfondite e intraprendere azioni di risposta immediate per contenere tempestivamente le minacce identificate.
La funzionalità Live Response è progettata per migliorare le indagini consentendo al team delle operazioni di sicurezza di raccogliere dati di analisi forense, eseguire script, inviare entità sospette per l'analisi, correggere le minacce e cercare in modo proattivo le minacce emergenti.
Con Live Response gli analisti possono eseguire tutte le attività seguenti:
Eseguire comandi di base e avanzati a scopo di indagine su un dispositivo.
Scaricare file come esempi di malware e risultati di script di PowerShell.
Scaricare file in background (nuova funzionalità).
Caricare un file eseguibile o uno script di PowerShell nella libreria ed eseguirlo in un dispositivo a livello di tenant.
Eseguire o annullare azioni correttive.
Prerequisiti
Prima di avviare una sessione su un dispositivo, assicurarsi che siano soddisfatti i requisiti seguenti:
Verificare di usare una versione supportata di Windows 10 o versioni successive
Abilitare Live Response dalla pagina Impostazioni. È necessario abilitare la funzionalità Live Response nella pagina delle impostazioni delle funzionalità avanzate.
Queste impostazioni possono essere modificate solo dagli utenti con ruoli di amministratore globale o di gestione della sicurezza.
Assicurarsi che al dispositivo sia assegnato il livello di correzione Automazione
Occorre abilitare almeno il livello di correzione minimo per un determinato gruppo di dispositivi. In caso contrario non sarà possibile stabilire una sessione di Live Response per un membro di tale gruppo.
Abilitare l'esecuzione di script non firmati di Live Response (facoltativo)
L'abilitazione dell'uso di script non firmati può aumentare l'esposizione alle minacce. Per questo motivo, l'esecuzione di script non firmati non è consigliata. Se si ha comunque l'esigenza di usarli, abilitare l'impostazione nella pagina delle impostazioni delle funzionalità avanzate.
Assicurarsi di avere le autorizzazioni appropriate
Solo gli utenti a cui sono state assegnate le autorizzazioni appropriate possono avviare una sessione. L'opzione per il caricamento di un file nella libreria è disponibile solo per gli utenti con le autorizzazioni di controllo degli accessi in base al ruolo appropriate. Il pulsante è disattivato per gli utenti che hanno solo autorizzazioni delegate. A seconda del ruolo concesso, è possibile eseguire comandi di Live Response di base o avanzati. Le autorizzazioni degli utenti sono controllate dal ruolo personalizzato di controllo degli accessi in base al ruolo.
Panoramica del dashboard di Live Response
Quando si avvia una sessione di Live Response in un dispositivo, viene aperto un dashboard che fornisce informazioni sulla sessione, ad esempio:
L'utente che ha creato la sessione
La data e ora di avvio della sessione
La durata della sessione
Il dashboard consente anche di:
Disconnettere la sessione
Caricare file nella libreria
Accedere alla console dei comandi
Accedere al log dei comandi
Comandi di Live Response
A seconda del ruolo concesso, è possibile eseguire comandi di Live Response di base o avanzati. Le autorizzazioni dell'utente sono controllate dal ruolo personalizzato di controllo degli accessi in base al ruolo. Live Response è una shell interattiva basata sul cloud. Il tempo di risposta di comandi specifici può variare a seconda della qualità della rete e del carico di sistema tra l'utente finale e il dispositivo di destinazione.
Comandi di base
I comandi descritti di seguito sono disponibili per i ruoli utente ai quali è concessa la possibilità di eseguire comandi di Live Response di base.
| Comando | Descrizione |
|---|---|
| [cd] | Cambia la directory corrente. |
| [cls] | Cancella la schermata della console. |
| [connect] | Avvia una sessione di Live Response nel dispositivo. |
| [connections] | Mostra tutte le connessioni attive. |
| [dir] | Mostra un elenco di file e sottodirectory in una directory. |
| [getfile] <percorso_file> | Scarica un file in background. |
| [drivers] | Mostra tutti i driver installati nel dispositivo. |
| [fg] <ID comando> | Restituisce un download di file in primo piano. |
| [fileinfo] | Ottiene informazioni su un file. |
| [findfile] | Individua i file in base a un determinato nome nel dispositivo. |
| [help] | Visualizza informazioni della Guida per i comandi di Live Response. |
| [persistence] | Mostra tutti i metodi di persistenza noti nel dispositivo. |
| [processes] | Mostra tutti i processi in esecuzione nel dispositivo. |
| [registry] | Mostra i valori del Registro di sistema. |
| [scheduledtasks] | Mostra tutte le attività pianificate nel dispositivo. |
| [services] | Mostra tutti i servizi nel dispositivo. |
| [trace] | Imposta la modalità di registrazione del terminale per il debug. |
Comandi avanzati
I comandi descritti di seguito sono disponibili per i ruoli utente ai quali è concessa la possibilità di eseguire comandi avanzati di Live Response.
| Comando | Descrizione |
|---|---|
| analyze | Analizza l'entità con diversi motori di incriminazione per raggiungere un verdetto. |
| getfile | Ottiene un file dal dispositivo. Questo comando ha un comando dei prerequisiti. È possibile usare il comando -auto con getfile per eseguire automaticamente il comando dei prerequisiti. |
| run | Esegue uno script di PowerShell dalla libreria nel dispositivo. |
| libreria | Elenca i file caricati nella libreria di Live Response. |
| putfile | Inserisce un file della libreria nel dispositivo. I file vengono salvati in una cartella di lavoro e vengono eliminati al riavvio del dispositivo per impostazione predefinita. |
| remediate | Corregge un'entità nel dispositivo. L'azione correttiva varia a seconda del tipo di entità. Questo comando ha un comando dei prerequisiti. È possibile usare il comando -auto con remediate per eseguire automaticamente il comando dei prerequisiti. |
| Annulla | Ripristina un'entità che è stata corretta. |
Usare i comandi di Live Response
I comandi che è possibile usare nella console seguono principi simili ai comandi di Windows. I comandi avanzati offrono funzionalità estese che consentono di eseguire azioni più potenti. Le azioni avanzate includono il download o il caricamento di un file, l'esecuzione di script nel dispositivo e l'esecuzione di azioni di correzione per un'entità.
Ottenere un file dal dispositivo
Se si vuole ottenere un file da un dispositivo sottoposto a indagine, è possibile usare il comando [getfile]. Il comando [getfile] consente di salvare il file dal dispositivo per ulteriori indagini.
Per le dimensioni del file si applicano i limiti seguenti:
Limite di getfile: 3 GB
Limite di fileinfo: 10 GB
Limite di library: 250 MB
Scaricare un file in background
Per consentire al team delle operazioni di sicurezza di continuare a esaminare un dispositivo potenzialmente compromesso, è ora possibile scaricare i file in background.
Per scaricare un file in background, nella console dei comandi di Live Response digitare getfile <percorso_file>.
Se si è in attesa del completamento del download di un file, è possibile spostarlo in background premendo CTRL+Z.
Per portare il download di un file in primo piano, nella console dei comandi di Live Response digitare fg <id_comando>.
Di seguito sono riportati alcuni esempi.
| Comando | Funzione |
|---|---|
| getfile "C:\windows\un_file.exe" | Avvia il download di un file denominato some_file.exe in background. |
| fg 1234 | Riporta in primo piano un download con ID comando 1234. |
Inserire un file nella libreria
Live Response offre una libreria in cui è possibile inserire file. La libreria archivia i file, come gli script, che possono essere eseguiti in una sessione di Live Response a livello di tenant. Live Response consente l'esecuzione di script di PowerShell. Tuttavia, occorre prima inserire i file nella libreria per poterli eseguire. Si può eseguire una raccolta di script di PowerShell nei dispositivi con cui si avviano sessioni di Live Response.
Per caricare un file nella libreria:
Selezionare Upload file to library (Carica file nella libreria).
Selezionare Sfoglia e quindi selezionare il file.
Inserire una breve descrizione.
Specificare se si vuole sovrascrivere un file con lo stesso nome.
Se si vuole sapere quali parametri sono necessari per lo script, selezionare la casella di controllo Parametri script. Nel campo di testo immettere un esempio e una descrizione.
Selezionare Conferma.
(Facoltativo) Per verificare che il file sia stato caricato nella libreria, eseguire il comando library.
Annullare un comando
In qualsiasi momento durante una sessione è possibile annullare un comando premendo CTRL+C.
Eseguire automaticamente i comandi dei prerequisiti
Alcuni comandi hanno comandi dei prerequisiti da eseguire. Se non si esegue il comando dei prerequisiti, si riceve un errore. Se ad esempio si esegue il comando download senza fileinfo, viene restituito un errore. È possibile usare il flag -auto per eseguire automaticamente i comandi dei prerequisiti, ad esempio:
getfile c:\Users\user\Desktop\work.txt -auto
Eseguire uno script di PowerShell
Per poter eseguire uno script di PowerShell, occorre prima caricarlo nella libreria. Dopo aver caricato lo script nella libreria, usare il comando run per eseguire lo script. Se si prevede di usare uno script non firmato nella sessione, è necessario abilitare l'impostazione nella pagina delle impostazioni delle funzionalità avanzate.
Applicare i parametri dei comandi
Per ottenere informazioni sui parametri dei comandi, visualizzare la Guida della console. Per ottenere informazioni su un singolo comando, eseguire:
help <command name>
Quando si applicano parametri ai comandi, i parametri vengono gestiti in base a un ordine fisso:
<command name> param1 param2
Se occorre specificare parametri al di fuori dell'ordine fisso, specificare il nome del parametro con un trattino prima di fornire il relativo valore:
<command name> -param2_name param2
Quando si usano comandi che hanno comandi dei prerequisiti, è possibile usare i flag:
<command name> -type file -id <file path> - auto or remediate file <file path> - auto.
Tipi di output supportati
Live Response supporta i tipi di output in formato tabella e JSON. A ogni comando corrisponde un comportamento di output predefinito. Si può modificare l'output nel formato di output preferito usando i comandi seguenti:
-output json
-output table
Reindirizzamenti dell'output supportati
Live Response supporta il reindirizzamento dell'output all'interfaccia della riga di comando e a file. L'interfaccia della riga di comando è il comportamento di output predefinito. È possibile reindirizzare l'output a un file usando il comando seguente: [command] > [filename].txt.
Visualizzare il log dei comandi
Selezionare la scheda del log dei comandi per visualizzare i comandi usati nel dispositivo durante una sessione. In questa scheda è registrato ogni comando con i dettagli completi, ad esempio:
ID
Riga di comando
Durata
Stato e barra laterale di input o output
Esempi di comando
Di seguito sono riportati alcuni esempi di comandi che illustrano l'uso dei comandi di Live Response.
Analisi
# Analyze the file malware.txt
analyze file c:\Users\user\Desktop\malware.txt
# Analyze the process by PID
analyze process 1234
Limiti
Live Response presenta le limitazioni seguenti:
Le sessioni di Live Response sono limitate a 10 sessioni alla volta.
L'esecuzione di comandi su larga scala non è supportata.
Il valore di timeout di sessione inattiva di Live Response è 5 minuti.
Un utente può avviare una sola sessione alla volta.
Un dispositivo può essere in una sola sessione alla volta.
Per le dimensioni del file si applicano i limiti seguenti:
Limite di getfile: 3 GB
Limite di fileinfo: 10 GB
Limite di library: 250 MB