ライブ応答セッションを開始する
ライブ応答により、セキュリティ運用チームは、リモート シェル接続を使って、デバイスにすぐにアクセスできます。 ライブ応答により、詳細な調査を行い、迅速な対応アクションを実行して、特定された脅威を迅速に封じ込めることができます。
調査を強化するライブ応答の設計により、セキュリティ運用チームは、フォレンジクス データを収集し、スクリプトを実行し、分析のために疑わしいエンティティを送信し、脅威を修復し、新たな脅威を事前にハンティングすることができます。
アナリストは、ライブ応答を使用して、次のすべてのタスクを実行できます。
デバイスでの調査作業を行うために、基本コマンドと詳細コマンドを実行します。
マルウェアのサンプルや PowerShell スクリプトの結果などのファイルをダウンロードします。
バックグラウンドでファイルをダウンロードします (新機能)。
PowerShell スクリプトまたは実行可能ファイルをライブラリにアップロードし、テナント レベルからデバイスでそれを実行します。
修復アクションを実行したり、元に戻したりします。
前提条件
デバイスでセッションを開始する前に、次の要件が満たされていることを確認してください。
Windows 10 以降のサポートされているバージョンが実行されていることを確認する
設定ページからライブ応答を有効にします。 [高度な機能] 設定ページで、ライブ応答機能を有効にする必要があります。
これらの設定を編集できるのは、セキュリティ管理者またはグローバル管理者のロールを持つユーザーのみです。
デバイスに自動修復レベルが割り当てられていることを確認する
少なくとも、特定のデバイス グループに対して修復レベル以上を有効にする必要があります。 そうしないと、そのグループのメンバーに対してライブ応答セッションを確立できません。
ライブ応答の署名なしスクリプトの実行を有効にする (省略可能)
署名されていないスクリプトの使用を許可すると、脅威にさらされる可能性が高くなります。 脅威にさらされる可能性が高くなるため、署名されていないスクリプトを実行することは推奨されません。 ただし、それらを使用する必要がある場合は、[高度な機能] 設定ページで設定を有効にする必要があります。
適切なアクセス許可を持っていることを確認する
適切なアクセス許可を使用してプロビジョニングされたユーザーのみが、セッションを開始できます。 ライブラリにファイルをアップロードするオプションは、適切なロールベース アクセス制御 (RBAC) アクセス許可を持つユーザーだけが使用できます。 委任されたアクセス許可しか持たないユーザーの場合、このボタンはグレーで表示されます。 付与されているロールに応じて、基本または高度のライブ応答コマンドを実行できます。 ユーザーのアクセス許可は、RBAC カスタム ロールによって制御されます。
ライブ応答ダッシュボードの概要
デバイスでライブ応答セッションを開始すると、ダッシュボードが開きます。 ダッシュボードには、次のようなセッションに関する情報が表示されます。
セッションを作成したユーザー
セッションが開始された日時
セッションの継続時間
ダッシュボードからは、以下にアクセスすることもできます。
セッションの切断
ライブラリへのファイルのアップロード
コマンド コンソール
コマンド ログ
ライブ応答のコマンド
付与されているロールに応じて、基本または高度のライブ応答コマンドを実行できます。 ユーザーのアクセス許可は、RBAC カスタム ロールによって制御されます。 ライブ応答は、クラウドベースの対話型シェルです。 そのため、エンド ユーザーとターゲット デバイスの間のネットワークの品質やシステム負荷によって、特定のコマンド エクスペリエンスの応答時間が異なる場合があります。
基本的なコマンド
ライブ応答の基本コマンドを実行する権限が付与されているユーザー ロールでは、次のコマンドを使用できます。
| コマンド | 説明 |
|---|---|
| [cd] | 現在のディレクトリを変更します。 |
| [cls] | コンソールの画面をクリアします。 |
| [connect] | デバイスへのライブ応答セッションを開始します。 |
| [connections] | すべてのアクティブな接続を表示します。 |
| [dir] | ディレクトリ内のファイルとサブディレクトリの一覧を表示します。 |
| [getfile] <file_path> | バックグラウンドでファイルをダウンロードします。 |
| [drivers] | デバイスにインストールされているすべてのドライバーが表示されます。 |
| [fg] <コマンド ID> | ファイルのダウンロードをフォアグラウンドに戻します。 |
| [fileinfo] | ファイルに関する情報の取得 |
| [findfile] | デバイスで指定した名前のファイルを検索します。 |
| [help] | ライブ応答のコマンドに関するヘルプ情報を表示します。 |
| [persistence] | デバイスでの既知のすべての永続化方法を表示します。 |
| [processes] | デバイスで実行されているすべてのプロセスを表示します。 |
| [registry] | レジストリの値を表示します。 |
| [scheduledtasks] | デバイスでスケジュールされているすべてのタスクを表示します。 |
| [services] | デバイス上のすべてのサービスを表示します。 |
| [trace] | ターミナルのログ モードをデバッグに設定します。 |
高度なコマンド
ライブ応答の高度なコマンドを実行する権限が付与されているユーザー ロールでは、次のコマンドを使用できます。
| コマンド | 説明 |
|---|---|
| analyze | さまざまなインクリミネーション エンジンを使用してエンティティを分析し、判定に到達します。 |
| getfile | デバイスからファイルを取得します。 このコマンドには、前提条件のコマンドがあります。 -auto コマンドを getfile と共に使用すると、前提条件のコマンドを自動的に実行できます。 |
| [実行] | デバイス上のライブラリから PowerShell スクリプトを実行します。 |
| ライブラリ | ライブ応答ライブラリにアップロードされたファイルの一覧を表示します。 |
| putfile | ファイルをライブラリからデバイスに配置します。 ファイルは作業フォルダーに保存され、デバイスが再起動すると既定で削除されます。 |
| remediate | デバイス上のエンティティを修復します。 修復アクションは、エンティティの種類によって異なります。 このコマンドには、前提条件のコマンドがあります。 -auto コマンドを remediate と共に使用すると、前提条件のコマンドを自動的に実行できます。 |
| 元に戻す | 修復されたエンティティを元に戻します。 |
ライブ応答のコマンドを使用する
コンソールで使用できるコマンドは、Windows のコマンドと同様の原則に従います。 高度なコマンドにより、より強力なアクションを実行できる拡張機能が提供されます。 高度なアクションには、ファイルのダウンロードまたはアップロード、デバイスでのスクリプトの実行、エンティティに対する修復アクションの実行が含まれます。
デバイスからファイルを取得する
調査しているデバイスからファイルを取得する必要があるシナリオでは、[getfile] コマンドを使用できます。 [getfile] コマンドを使うと、デバイスからファイルを保存してさらに調査することができます。
ファイルのサイズには次の制限が適用されます。
getfile の制限: 3 GB
fileinfo の制限: 10 GB
library の制限: 250 MB
バックグラウンドでファイルをダウンロードする
影響を受けたデバイスの調査をセキュリティ運用チームが続けられるよう、バックグラウンドでファイルをダウンロードできるようになりました。
バックグラウンドでファイルをダウンロードするには、ライブ応答コマンド コンソールで、「getfile <file_path>」と入力します。
ファイルのダウンロードを待っている場合は、Ctrl + Z キーを押すことにより、ダウンロードをバックグラウンドに移動できます。
ファイルのダウンロードをフォアグラウンドに移動するには、ライブ応答コマンドコンソールで「fg <command_id>」と入力します。
次に例をいくつか示します。
| コマンド | 実行内容 |
|---|---|
| getfile "C:\windows\some_file.exe" | some_file.exe という名前のファイルのダウンロードをバックグラウンドで開始します。 |
| fg 1234 | コマンド ID 1234 のダウンロードをフォアグラウンドに戻します。 |
ファイルをライブラリに配置する
ライブ応答には、ファイルを配置できるライブラリがあります。 ライブラリに格納されたファイル (スクリプトなど) は、テナント レベルのライブ応答セッションで実行できます。 ライブ応答では、PowerShell スクリプトを実行できます。 ただし、ファイルを実行するには、先にそのファイルをライブラリに配置する必要があります。 ライブ応答セッションを開始したデバイスで実行できる PowerShell スクリプトのコレクションを作成できます。
ライブラリにファイルをアップロードするには:
[Upload file to library](ファイルをライブラリにアップロード) を選択します。
[参照] を選択して、ファイルを選択します。
簡単な説明を指定します。
同じ名前のファイルを上書きするかどうかを指定します。
必要に応じて、スクリプトに必要なパラメーターを確認し、スクリプト パラメーターのチェック ボックスをオンにします。 テキスト フィールドに、例と説明を入力します。
[確認] を選択します。
(省略可能) ファイルがライブラリにアップロードされたことを確認するには、library コマンドを実行します。
コマンドを取り消す
セッション中のいつでも、Ctrl + C キーを押してコマンドをキャンセルできます。
前提条件のコマンドを自動的に実行する
一部のコマンドには、実行するための前提条件となるコマンドがあります。 前提条件のコマンドを実行しないと、エラーが表示されます。 たとえば、fileinfo を実行しないで download コマンドを実行すると、エラーが返されます。 auto フラグを使用して、前提条件のコマンドを自動的に実行できます。次に例を示します。
getfile c:\Users\user\Desktop\work.txt -auto
PowerShell スクリプトを実行する
PowerShell スクリプトを実行する前に、まずライブラリにアップロードする必要があります。 スクリプトをライブラリにアップロードした後、run コマンドを使用してスクリプトを実行します。 セッションで署名されていないスクリプトを使用する場合は、[高度な機能] 設定ページで設定を有効にする必要があります。
コマンド パラメーターを適用する
コマンド パラメーターの詳細については、コンソールのヘルプを参照してください。 個々のコマンドについて学習するには、次のように実行します。
help <command name>
コマンドにパラメーターを適用すると、パラメーターは決まった順序に基づいて処理されます。
<command name> param1 param2
決まった順序とは異なる順序でパラメーターを指定する場合は、値を指定する前に、ハイフンを付けてパラメーターの名前を指定します。
<command name> -param2_name param2
前提条件のコマンドがあるコマンドを使用する場合は、次のフラグを使用できます。
<command name> -type file -id <file path> - auto or remediate file <file path> - auto.
サポートされている出力の種類
ライブ応答では、テーブル形式と JSON 形式の出力の種類がサポートされています。 各コマンドには、既定の出力動作があります。 次のコマンドを使用して、優先出力形式で出力を変更できます。
-output json
-output table
サポートされている出力のパイプ
ライブ応答では、出力を CLI およびファイルにパイプで渡すことがサポートされています。 CLI が既定の出力動作です。 コマンド [コマンド] > [ファイル名].txt を使用して出力をファイルにパイプすることができます。
コマンドのログを表示する
セッションの間にデバイスで使用されたコマンドを確認するには、[Command log](コマンド ログ) タブを選択します。 各コマンドについて、次のような詳細情報が追跡されます。
id
コマンド ライン
Duration
ステータスおよび入力または出力サイド バー
コマンドの例
次のコマンドは、ライブ応答コマンドの使用を示す例です。
解析
# Analyze the file malware.txt
analyze file c:\Users\user\Desktop\malware.txt
# Analyze the process by PID
analyze process 1234
制限事項
ライブ応答には次の制限があります。
使用できるライブ応答セッションは、一度に 10 個までに制限されています。
大規模なコマンドの実行はサポートされていません。
ライブ応答セッションの非アクティブ タイムアウト値は 5 分です。
ユーザーが開始できるセッションは一度に 1 つだけです。
デバイスは、一度に 1 つのセッションにだけ含まれることができます。
ファイルのサイズには次の制限が適用されます。
getfile の制限: 3 GB
fileinfo の制限: 10 GB
library の制限: 250 MB