ライブ応答コマンドの例

適用対象:

• Microsoft Defender for Endpoint Plan 2
• Microsoft Defender XDR

Defender for Endpoint を試す場合は、 無料試用版にサインアップしてください。

ライブ応答で使用される一般的なコマンドについて説明し、通常の使用方法の例を参照してください。

持っているロールに応じて、基本または高度なライブ応答コマンドを実行できます。 基本的なコマンドと高度なコマンドの詳細については、「 ライブ応答を使用してデバイス上のエンティティを調査する」を参照してください。

analyze

# Analyze the file malware.txt
analyze file c:\Users\user\Desktop\malware.txt

# Analyze the process by PID
analyze process 1234

connections

# List active connections in json format using parameter name
connections -output json

# List active connections in json format without parameter name
connections json

dir

# List files and sub-folders in the current folder (by default it will show relative paths [-relative_path])
dir

# List files and sub-folders in the current folder, with their full path
dir -full_path

# List files and sub-folders in a specific folder
dir C:\Users\user\Desktop\

# List files and subfolders in the current folder in json format
dir -output json

fileinfo

# Display information about a file
fileinfo C:\Windows\notepad.exe

findfile

# Find file by name
findfile test.txt

getfile

# Download a file from a machine
getfile c:\Users\user\Desktop\work.txt

# Download a file from a machine, automatically run prerequisite commands
getfile c:\Users\user\Desktop\work.txt -auto

注:

次のファイルの種類 は、 ライブ応答内からこのコマンドを使用してダウンロードできません。

• ポイント ファイルを再解析する
• スパース ファイル
• 空のファイル
• 仮想ファイル、またはローカルに完全に存在しないファイル

これらのファイルの種類は、PowerShell でサポートされています。

ライブ応答内からこのコマンドを使用して問題が発生した場合は、代わりに PowerShell を使用します。

library

# List files in the library
library

# Delete a file from the library
library delete script.ps1

processes

# Show all processes
processes

# Get process by pid
processes 123

# Get process by pid with argument name
processes -pid 123

# Get process by name
processes -name notepad.exe

putfile

# Upload file from library
putfile get-process-by-name.ps1

# Upload file from library, overwrite file if it exists
putfile get-process-by-name.ps1 -overwrite

# Upload file from library, keep it on the machine after a restart
putfile get-process-by-name.ps1 -keep

registry

# Show information about the values in a registry key
registry HKEY_CURRENT_USER\Console

# Show information about a specific registry value (the double backslash \\ indicates a registry value versus key)
registry HKEY_CURRENT_USER\Console\\ScreenBufferSize

remediate

# Remediate file in specific path
remediate file c:\Users\user\Desktop\malware.exe

# Remediate process with specific PID
remediate process 7960

# See list of all remediated entities
remediate list

run

# Run PowerShell script from the library without arguments
run script.ps1

# Run PowerShell script from the library with arguments
run get-process-by-name.ps1 -parameters "-processName Registry"

注:

'run' や 'getfile' などの実行時間の長いコマンドの場合は、コマンドの末尾にある '&' 記号を使用して、バックグラウンドでそのアクションを実行できます。 これにより、マシンの調査を続行し、'fg' 基本コマンドを使用して完了したときにバックグラウンド コマンドに戻ります。

ライブ応答スクリプトにパラメーターを渡す場合、禁止されている文字 ';'、 '&'、 '|'、 '!'、および '$' は含めないでください。

scheduledtask

# Get all scheduled tasks
scheduledtasks

# Get specific scheduled task by location and name
scheduledtasks Microsoft\Windows\Subscription\LicenseAcquisition

# Get specific scheduled task by location and name with spacing
scheduledtasks "Microsoft\Configuration Manager\Configuration Manager Health Evaluation"

undo

# Restore remediated registry
undo registry HKEY_CURRENT_USER\Console\ScreenBufferSize

# Restore remediated scheduledtask
undo scheduledtask Microsoft\Windows\Subscription\LicenseAcquisition

# Restore remediated file
undo file c:\Users\user\Desktop\malware.exe

ヒント

さらに多くの情報を得るには、 Tech Community 内の Microsoft Security コミュニティ (Microsoft Defender for Endpoint Tech Community) にご参加ください。