라이브 응답을 사용하여 디바이스에서 엔터티 조사
적용 대상:
엔드포인트용 Defender를 경험하고 싶으신가요? 무료 평가판을 신청하세요.
라이브 응답은 보안 운영 팀이 원격 셸 연결을 사용하여 디바이스(컴퓨터라고도 함)에 즉시 액세스할 수 있도록 합니다. 라이브 응답은 심층 조사 작업을 수행하고 즉각적인 대응 조치를 취하여 식별된 위협을 실시간으로 즉시 포함할 수 있는 권한을 제공합니다.
라이브 응답은 보안 운영 팀이 포렌식 데이터를 수집하고, 스크립트를 실행하고, 분석을 위해 의심스러운 엔터티를 보내고, 위협을 수정하고, 새로운 위협을 사전에 헌팅할 수 있도록 하여 조사를 향상하도록 설계되었습니다.
실시간 응답을 통해 분석가는 다음 작업을 모두 수행할 수 있습니다.
- 기본 및 고급 명령을 실행하여 디바이스에서 조사 작업을 수행합니다.
- 맬웨어 샘플 및 PowerShell 스크립트의 결과와 같은 파일을 다운로드합니다.
- 백그라운드에서 파일 다운로드(신규!).
- PowerShell 스크립트 또는 실행 파일을 라이브러리에 업로드하고 테넌트 수준에서 디바이스에서 실행합니다.
- 수정 작업을 수행하거나 실행 취소합니다.
시작하기 전에
디바이스에서 세션을 시작하기 전에 다음 요구 사항을 충족하는지 확인합니다.
지원되는 버전의 Windows를 실행하고 있는지 확인합니다.
디바이스는 다음 버전의 Windows 중 하나를 실행해야 합니다.
Windows 10 & 11
macOS - 최소 필수 버전: 101.43.84. Intel 기반 및 ARM 기반 macOS 디바이스에 대해 지원됩니다.
Linux - 최소 필수 버전: 101.45.13
Windows Server 2012 R2 - KB5005292
Windows Server 2016 - KB5005292
참고
Windows Server 2012R2 또는 2016의 경우 통합 에이전트가 설치되어 있어야 하며 KB5005292 사용하여 최신 센서 버전으로 패치하는 것이 좋습니다.
Windows Server 2019
Windows Server 2022
고급 설정 페이지에서 라이브 응답을 사용하도록 설정합니다.
고급 기능 설정 페이지에서 라이브 응답 기능을 사용하도록 설정해야 합니다.
참고
"포털 설정 관리" 권한이 있는 관리자 및 사용자만 라이브 응답을 사용하도록 설정할 수 있습니다.
고급 설정 페이지에서 서버에 대한 라이브 응답을 사용하도록 설정합니다 (권장).
참고
"포털 설정 관리" 권한이 있는 관리자 및 사용자만 라이브 응답을 사용하도록 설정할 수 있습니다.
라이브 응답 서명되지 않은 스크립트 실행을 사용하도록 설정합니다 (선택 사항).
중요
서명 확인은 PowerShell 스크립트에만 적용됩니다.
경고
서명되지 않은 스크립트를 사용하도록 허용하면 위협에 대한 노출이 증가할 수 있습니다.
서명되지 않은 스크립트를 실행하는 것은 위협에 대한 노출을 증가시킬 수 있으므로 권장되지 않습니다. 그러나 사용해야 하는 경우 고급 기능 설정 페이지에서 설정을 사용하도록 설정해야 합니다.
적절한 권한이 있는지 확인합니다.
적절한 권한으로 프로비전된 사용자만 세션을 시작할 수 있습니다. 역할 할당에 대한 자세한 내용은 역할 만들기 및 관리를 참조하세요.
중요
라이브러리에 파일을 업로드하는 옵션은 "보안 설정 관리" 권한이 있는 사용자만 사용할 수 있습니다. 위임된 권한만 있는 사용자에 대해 단추가 회색으로 표시됩니다.
부여된 역할에 따라 기본 또는 고급 라이브 응답 명령을 실행할 수 있습니다. 사용자 권한은 RBAC 사용자 지정 역할에 의해 제어됩니다.
라이브 응답 dashboard 개요
디바이스에서 라이브 응답 세션을 시작하면 dashboard 열립니다. dashboard 다음과 같은 세션에 대한 정보를 제공합니다.
- 세션을 만든 사람
- 세션이 시작된 경우
- 세션 기간
또한 dashboard 다음 항목에 액세스할 수 있습니다.
- 세션 연결 끊기
- 라이브러리에 파일 업로드
- 명령 콘솔
- 명령 로그
디바이스에서 라이브 응답 세션 시작
참고
디바이스 페이지에서 시작된 라이브 응답 작업은 machineactions API에서 사용할 수 없습니다.
Microsoft Defender 포털에 로그인합니다.
엔드포인트 > 디바이스 인벤토리로 이동하고 조사할 디바이스를 선택합니다. 디바이스 페이지가 열립니다.
라이브 응답 세션 시작을 선택하여 라이브 응답 세션을 시작합니다. 명령 콘솔이 표시됩니다. 세션이 디바이스에 연결되는 동안 기다립니다.
기본 제공 명령을 사용하여 조사 작업을 수행합니다. 자세한 내용은 라이브 응답 명령을 참조하세요.
조사를 완료한 후 세션 연결 끊기를선택한 다음 확인을 선택합니다.
라이브 응답 명령
부여된 역할에 따라 기본 또는 고급 라이브 응답 명령을 실행할 수 있습니다. 사용자 권한은 RBAC 사용자 지정 역할에 의해 제어됩니다. 역할 할당에 대한 자세한 내용은 역할 만들기 및 관리를 참조하세요.
참고
라이브 응답은 클라우드 기반 대화형 셸입니다. 따라서 특정 명령 환경은 최종 사용자와 대상 디바이스 간의 네트워크 품질 및 시스템 부하에 따라 응답 시간에 따라 달라질 수 있습니다.
기본 명령
다음 명령은 기본 라이브 응답 명령을 실행할 수 있는 권한이 부여된 사용자 역할에 사용할 수 있습니다. 역할 할당에 대한 자세한 내용은 역할 만들기 및 관리를 참조하세요.
명령 | 설명 | Windows 및 Windows Server | macOS | Linux |
---|---|---|---|---|
cd |
현재 디렉터리를 변경합니다. | Y | Y | Y |
cls |
콘솔 화면을 지웁니다. | Y | Y | Y |
connect |
디바이스에 대한 라이브 응답 세션을 시작합니다. | Y | Y | Y |
connections |
모든 활성 연결을 표시합니다. | Y | N | N |
dir |
디렉터리의 파일 및 하위 디렉터리 목록을 표시합니다. | Y | Y | Y |
drivers |
디바이스에 설치된 모든 드라이버를 표시합니다. | Y | N | N |
fg <command ID> |
지정된 작업을 포그라운드에 배치하여 현재 작업으로 만듭니다. PID가 fg command ID 아닌 작업에서 사용할 수 있습니다. |
Y | Y | Y |
fileinfo |
파일에 대한 정보를 가져옵니다. | Y | Y | Y |
findfile |
디바이스에서 지정된 이름으로 파일을 찾습니다. | Y | Y | Y |
getfile <file_path> |
파일을 다운로드합니다. | Y | Y | Y |
help |
라이브 응답 명령에 대한 도움말 정보를 제공합니다. | Y | Y | Y |
jobs |
현재 실행 중인 작업, 해당 ID 및 상태 표시합니다. | Y | Y | Y |
persistence |
디바이스에서 알려진 모든 지속성 메서드를 표시합니다. | Y | N | N |
processes |
디바이스에서 실행되는 모든 프로세스를 표시합니다. | Y | Y | Y |
registry |
레지스트리 값을 표시합니다. | Y | N | N |
scheduledtasks |
디바이스의 모든 예약된 작업을 표시합니다. | Y | N | N |
services |
디바이스의 모든 서비스를 표시합니다. | Y | N | N |
startupfolders |
디바이스의 시작 폴더에 알려진 모든 파일을 표시합니다. | Y | N | N |
status |
특정 명령의 상태 및 출력을 표시합니다. | Y | Y | Y |
trace |
터미널의 로깅 모드를 디버그하도록 설정합니다. | Y | Y | Y |
고급 명령
다음 명령은 고급 라이브 응답 명령을 실행할 수 있는 권한이 부여된 사용자 역할에 사용할 수 있습니다. 역할 할당에 대한 자세한 내용은 역할 만들기 및 관리를 참조하세요.
명령 | 설명 | Windows 및 Windows Server | macOS | Linux |
---|---|---|---|---|
analyze |
다양한 범죄 엔진으로 엔터티를 분석하여 판결에 도달합니다. | Y | N | N |
collect |
디바이스에서 포렌식 패키지를 수집합니다. | N | Y | Y |
isolate |
엔드포인트용 Defender 서비스에 대한 연결을 유지하면서 네트워크에서 디바이스 연결을 끊습니다. | N | Y | N |
release |
네트워크 격리에서 디바이스를 해제합니다. | N | Y | N |
run |
디바이스의 라이브러리에서 PowerShell 스크립트를 실행합니다. | Y | Y | Y |
library |
라이브 응답 라이브러리에 업로드된 파일을 Lists. | Y | Y | Y |
putfile |
라이브러리에서 디바이스로 파일을 넣습니다. 파일은 작업 폴더에 저장되며 디바이스가 기본적으로 다시 시작될 때 삭제됩니다. | Y | Y | Y |
remediate |
디바이스에서 엔터티를 수정합니다. 수정 작업은 엔터티 형식에 따라 달라집니다. - 파일: 삭제 - 프로세스: 중지, 이미지 파일 삭제 - 서비스: 중지, 이미지 파일 삭제 - 레지스트리 항목: 삭제 - 예약된 작업: 제거 - 시작 폴더 항목: 파일 삭제 이 명령에는 필수 구성 요소 명령이 있습니다. remediate와 함께 명령을 사용하여 -auto 필수 구성 요소 명령을 자동으로 실행할 수 있습니다. |
Y | Y | Y |
scan |
빠른 바이러스 백신 검사를 실행하여 맬웨어를 식별하고 수정합니다. | N | Y | Y |
undo |
수정된 엔터티를 복원합니다. | Y | N | N |
참고
라이브 응답 명령에는 다음 파일 크기 제한이 적용됩니다 putfile
.
- Windows: 300MB
- 기타 플랫폼: 10MB
라이브 응답 명령 사용
콘솔에서 사용할 수 있는 명령은 Windows 명령과 유사한 원칙을 따릅니다.
고급 명령은 파일을 다운로드 및 업로드하고, 디바이스에서 스크립트를 실행하고, 엔터티에서 수정 작업을 수행하는 등 보다 강력한 작업을 수행할 수 있는 보다 강력한 작업 집합을 제공합니다.
디바이스에서 파일 가져오기
조사 중인 디바이스에서 파일을 가져올 시나리오의 경우 명령을 사용할 getfile
수 있습니다. 이렇게 하면 추가 조사를 위해 디바이스에서 파일을 저장할 수 있습니다.
참고
다음 파일 크기 제한이 적용됩니다.
-
getfile
제한: 3GB -
fileinfo
제한: 30GB -
library
limit: 250MB
백그라운드에서 파일 다운로드
보안 운영 팀이 영향을 받은 디바이스를 계속 조사할 수 있도록 하려면 이제 백그라운드에서 파일을 다운로드할 수 있습니다.
- 백그라운드에서 파일을 다운로드하려면 라이브 응답 명령 콘솔에서 를 입력합니다
download <file_path> &
. - 파일이 다운로드되기를 기다리는 경우 Ctrl + Z를 사용하여 배경으로 이동할 수 있습니다.
- 파일 다운로드를 포그라운드로 가져오려면 라이브 응답 명령 콘솔에서 를 입력합니다
fg <command_id>
.
다음은 몇 가지 예입니다.
명령 | 속성 기능 |
---|---|
getfile "C:\windows\some_file.exe" & |
백그라운드에서 some_file.exe 파일 다운로드를 시작합니다. |
fg 1234 |
명령 ID가 1234 인 다운로드를 포그라운드로 반환합니다. |
라이브러리에 파일 배치
라이브 응답에는 파일을 넣을 수 있는 라이브러리가 있습니다. 라이브러리는 테넌트 수준에서 라이브 응답 세션에서 실행할 수 있는 파일(예: 스크립트)을 저장합니다.
라이브 응답을 사용하면 PowerShell 및 Bash 스크립트를 실행할 수 있습니다. 그러나 파일을 실행하려면 먼저 라이브러리에 파일을 넣어야 합니다.
라이브 응답 세션을 시작하는 디바이스에서 실행할 수 있는 PowerShell 및 Bash 스크립트 컬렉션을 사용할 수 있습니다.
라이브러리에서 파일을 업로드하려면
라이브러리에 파일 업로드를 클릭합니다.
찾아보기를 클릭하고 파일을 선택합니다.
간단한 설명을 제공합니다.
같은 이름의 파일을 덮어쓸지 여부를 지정합니다.
원하는 경우 스크립트에 필요한 매개 변수를 알고 검사 스크립트 매개 변수 상자를 선택합니다. 텍스트 필드에 예제와 설명을 입력합니다.
확인을 클릭합니다.
(선택 사항) 파일이 라이브러리에 업로드되었는지 확인하려면 명령을 실행합니다
library
.
명령 취소
세션 중에 언제든지 Ctrl + C를 눌러 명령을 취소할 수 있습니다.
경고
이 바로 가기를 사용하면 에이전트 쪽에서 명령이 중지되지 않습니다. 포털에서만 명령을 취소합니다. 따라서 명령이 취소되는 동안 "수정"과 같은 변경 작업이 계속될 수 있습니다.
스크립트 실행
PowerShell/Bash 스크립트를 실행하려면 먼저 라이브러리에 업로드해야 합니다.
라이브러리에 스크립트를 업로드한 후 명령을 사용하여 run
스크립트를 실행합니다.
세션에서 서명되지 않은 PowerShell 스크립트를 사용하려는 경우 고급 기능 설정 페이지에서 설정을 사용하도록 설정해야 합니다.
경고
서명되지 않은 스크립트를 사용하도록 허용하면 위협에 대한 노출이 증가할 수 있습니다.
명령 매개 변수 적용
콘솔 도움말을 보고 명령 매개 변수에 대해 알아봅니다. 개별 명령에 대해 알아보려면 다음을 실행합니다.
help <command name>
명령에 매개 변수를 적용할 때 매개 변수는 고정 순서에 따라 처리됩니다.
<command name> param1 param2
고정 순서 외부에서 매개 변수를 지정할 때 값을 제공하기 전에 하이픈을 사용하여 매개 변수의 이름을 지정합니다.
<command name> -param2_name param2
필수 구성 요소 명령이 있는 명령을 사용하는 경우 플래그를 사용할 수 있습니다.
<command name> -type file -id <file path> - auto
또는
remediate file <file path> - auto`
지원되는 출력 형식
라이브 응답은 테이블 및 JSON 형식 출력 형식을 지원합니다. 각 명령에 대해 기본 출력 동작이 있습니다. 다음 명령을 사용하여 원하는 출력 형식으로 출력을 수정할 수 있습니다.
-output json
-output table
참고
제한된 공간으로 인해 테이블 형식으로 표시되는 필드 수가 줄어듭니다. 출력에서 자세한 내용을 보려면 JSON 출력 명령을 사용하여 자세한 내용을 표시할 수 있습니다.
지원되는 출력 파이프
라이브 응답은 CLI 및 파일에 대한 출력 파이핑을 지원합니다. CLI는 기본 출력 동작입니다. 명령을 [command] > [filename].txt
사용하여 출력을 파일로 파이프할 수 있습니다.
예:
processes > output.txt
명령 로그 보기
명령 로그 탭을 선택하여 세션 중에 디바이스에서 사용되는 명령을 확인합니다. 각 명령은 다음과 같은 전체 세부 정보로 추적됩니다.
- ID
- 명령줄
- 기간
- 상태 및 입력 또는 출력 사이드바
제한 사항
- 라이브 응답 세션은 한 번에 25개의 라이브 응답 세션으로 제한됩니다.
- 라이브 응답 세션 비활성 시간 제한 값은 30분입니다.
- 개별 라이브 응답 명령의 시간 제한은 30분으로 제한되는 ,
findfile
및run
를 제외하고getfile
10분입니다. - 사용자는 최대 10개의 동시 세션을 시작할 수 있습니다.
- 디바이스는 한 번에 하나의 세션에만 있을 수 있습니다.
- 다음 파일 크기 제한이 적용됩니다.
-
getfile
제한: 3GB -
fileinfo
제한: 30GB -
library
limit: 250MB
-
관련 문서
팁
더 자세히 알아보고 싶으신가요? 기술 커뮤니티: 엔드포인트용 Microsoft Defender Tech Community의 Microsoft 보안 커뮤니티와 Engage.