라이브 응답 세션 시작
라이브 응답은 보안 운영 팀이 원격 셸 연결을 사용하여 디바이스에 즉시 액세스할 수 있도록 합니다. 라이브 응답을 통해 심층 조사를 수행하고 즉각적인 응답 작업을 수행하여 식별된 위협을 즉시 포함시킬 수 있습니다.
라이브 응답은 보안 운영 팀이 포렌식 데이터를 수집하고, 스크립트를 실행하고, 분석을 위해 의심스러운 엔터티를 전송하고, 위협을 해결하고, 새로운 위협에 대해 사전에 헌팅하도록 하여 조사 결과를 보정합니다.
라이브 응답을 통해 분석가는 다음 작업을 모두 수행할 수 있습니다.
기본 및 고급 명령을 실행하여 디바이스에서 조사 작업을 수행합니다.
맬웨어 샘플 및 PowerShell 스크립트의 결과와 같은 파일을 다운로드합니다.
백그라운드에서 파일을 다운로드합니다(새 기능).
PowerShell 스크립트 또는 실행 파일을 라이브러리에 업로드하고 테넌트 수준에서 디바이스에 대해 실행합니다.
수정 작업을 수행하거나 실행 취소합니다.
필수 구성 요소
디바이스에서 세션을 시작하기 전에 다음 요구 사항을 충족하는지 확인합니다.
지원되는 버전의 Windows 10 이상을 실행하고 있는지 확인합니다.
설정 페이지에서 라이브 응답을 사용하도록 설정합니다. 고급 기능 설정 페이지에서 라이브 응답 기능을 사용하도록 설정해야 합니다.
보안 관리 또는 전역 관리자 역할을 가진 사용자만이 이러한 설정을 편집할 수 있습니다.
디바이스에 할당된 자동화 수정 수준이 있는지 확인합니다
최소한 지정된 디바이스 그룹에 대한 최소 수정 수준을 사용하도록 설정해야 합니다. 그렇지 않은 경우에는 해당 그룹의 구성원에 대한 라이브 응답 세션을 설정할 수 없습니다.
라이브 응답이 서명되지 않은 스크립트 실행 사용(선택)
서명되지 않은 스크립트를 사용하도록 허용하면 위협에 더 노출될 수 있습니다. 서명되지 않은 스크립트는 위협에 대한 노출 가능성을 높일 수 있으므로 실행하지 않는 것이 좋습니다. 그러나 이를 사용해야 하는 경우 고급 기능 설정 페이지에서 설정을 사용하도록 설정해야 합니다.
적절한 사용 권한이 있는지 확인합니다.
적절한 권한으로 프로비저닝된 사용자만 세션을 시작할 수 있습니다. 라이브러리에 파일을 업로드하는 옵션은 적절한 RBAC(역할 기반 액세스 제어) 권한이 있는 사용자만 사용할 수 있습니다. 위임된 사용 권한만을 가진 사용자의 경우 이 단추는 회색으로 표시됩니다. 사용자에게 부여된 역할에 따라 기본 또는 고급 라이브 응답 명령을 실행할 수 있습니다. 사용자의 사용 권한은 RBAC 사용자 지정 역할에 의해 제어됩니다.
라이브 응답 대시보드 개요
디바이스에서 라이브 응답 세션을 시작하면 대시보드가 열립니다. 대시보드는 다음과 같은 세션 정보를 제공합니다.
세션을 생성된 사람
세션이 시작된 시간
임대 기간
다음에 대한 액세스 권한 또한 대시보드가 제공합니다.
세션 연결 끊기
파일을 라이브러리에 업로드
명령 콘솔
명령 로그
라이브 응답 명령
사용자에게 부여된 역할에 따라 기본 또는 고급 라이브 응답 명령을 실행할 수 있습니다. 사용자 권한은 RBAC 사용자 지정 역할에 의해 제어됩니다. 라이브 응답은 클라우드 기반 대화형 셸입니다. 따라서 특정 명령 환경은 최종 사용자와 대상 디바이스 간의 네트워크 품질 및 시스템 부하에 따라 응답 시간에 따라 달라질 수 있습니다.
기본 명령
기본 라이브 응답 명령을 실행할 수 있는 권한이 부여된 사용자 역할에는 다음 명령을 사용할 수 있습니다.
| 명령 | Description |
|---|---|
| [cd] | 현재 디렉터리 사용 |
| [cls] | 콘솔 화면을 지웁니다. |
| [connect] | 디바이스에 대한 라이브 응답 세션을 시작합니다. |
| [connections] | 모든 활성 연결을 표시합니다. |
| [dir] | 디렉터리의 파일 및 하위 디렉터리 목록을 표시합니다. |
| [getfile] <file_path> | 백그라운드에서 파일을 다운로드합니다. |
| [drivers] | 디바이스에 설치된 모든 드라이버를 표시합니다. |
| [fg] <command ID> | 포그라운드로 파일 다운로드를 반환합니다. |
| [fileinfo] | 파일에 대한 정보를 가져옵니다. |
| [findfile] | 디바이스에서 지정된 이름으로 파일을 찾습니다. |
| [help] | 라이브 응답 명령에 대한 도움말 정보를 제공합니다. |
| [persistence] | 디바이스에서 알려진 모든 지속성 메서드를 표시합니다. |
| [processes] | 디바이스에서 실행되는 모든 프로세스를 표시합니다. |
| [registry] | 레지스트리 값을 표시합니다. |
| [scheduledtasks] | 디바이스에서 모든 예약된 작업을 표시합니다. |
| [services] | 디바이스에 있는 모든 서비스를 표시합니다. |
| [trace] | 터미널의 로깅 모드를 디버그로 설정합니다. |
고급 명령
다음 명령은 고급 라이브 응답 명령을 실행할 수 있는 권한이 부여된 사용자 역할에 사용할 수 있습니다.
| 명령 | 설명 |
|---|---|
| 분석 | 다양한 incrimination 엔진을 사용하여 엔터티를 분석하여 verdict에 연결합니다. |
| getfile | 디바이스에서 파일을 가져옵니다. 이 명령에는 필수 구성 요소 명령이 있습니다. Getfile에서-auto 명령을 사용하여 필수 구성 요소 명령을 자동으로 실행할 수 있습니다. |
| 실행 | 디바이스의 라이브러리에서 PowerShell 스크립트를 실행합니다. |
| 라이브러리 | 라이브 응답 라이브러리에 업로드된 파일을 나열합니다. |
| putfile | 라이브러리의 파일을 디바이스에 저장합니다. 파일은 작업 폴더에 저장되고 디바이스는 기본적으로 다시 시작될 때 삭제됩니다. |
| 수정 | 디바이스에서 엔터티를 수정합니다. 수정 작업은 엔터티 형식에 따라 달라집니다. 이 명령에는 필수 구성 요소 명령이 있습니다. -auto 명령과 재구성을 사용하여 필수 구성 요소 명령을 자동으로 실행할 수 있습니다. |
| 실행 취소 | 재구성된 엔터티를 복원합니다. |
라이브 응답 명령 사용
콘솔에서 사용할 수 있는 명령은 Windows 명령과 유사한 원칙을 따릅니다. 고급 명령은 보다 강력한 작업을 수행할 수 있는 확장된 기능을 제공합니다. 고급 작업에는 파일 다운로드 또는 업로드, 디바이스에서 스크립트 실행, 엔터티에 대한 수정 작업 수행이 포함됩니다.
디바이스에서 파일 가져오기
조사 중인 디바이스에서 파일을 가져오려는 경우 [getfile] 명령을 사용할 수 있습니다. [getfile] 명령을 사용하면 추가 조사를 위해 디바이스에서 파일을 저장할 수 있습니다.
다음의 파일 크기 제한이 적용됩니다.
getfile 제한: 3GB
fileinfo 제한: 10GB
라이브러리 제한: 250MB
백그라운드에서 파일 다운로드
보안 운영 팀에서 영향을 받는 디바이스를 계속 조사하도록 하기 위해 이제 파일을 백그라운드에서 다운로드할 수 있습니다.
백그라운드에서 파일을 다운로드하려면 라이브 응답 명령 콘솔에서 getfile <file_path>를 입력합니다.
파일이 다운로드될 때까지 기다리는 경우 Ctrl + Z를 사용하여 배경으로 이동시킬 수 있습니다.
파일 다운로드를 포그라운드로 가져오려면 라이브 응답 명령 콘솔에서 fg <command_id>를 입력합니다.
다음은 몇 가지 예입니다.
| 명령 | 수행하는 작업 |
|---|---|
| getfile "C:\windows\some_file.exe" | 백그라운드에서 some_file.exe이라는 파일 다운로드를 시작합니다. |
| fg 1234 | 명령 ID가 1234인 다운로드를 포그라운드로 반환합니다. |
라이브러리에 파일 저장
라이브 응답에는 파일을 배치할 수 있는 라이브러리가 있습니다. 라이브러리에는 테넌트 수준의 라이브 응답 세션에서 실행할 수 있는 파일(예: 스크립트)이 저장됩니다. 라이브 응답을 통해 PowerShell 스크립트를 실행할 수 있습니다. 그러나 파일을 실행하려면 먼저 라이브러리에 파일을 저장해야 합니다. 라이브 응답 세션을 시작하는 디바이스에서 실행할 수 있는 PowerShell 스크립트 컬렉션을 사용할 수 있습니다.
라이브러리에 파일을 업로드하려면
라이브러리에 파일 업로드를 선택합니다.
찾아보기를 선택하고 파일을 선택합니다.
간단한 설명을 입력합니다.
같은 이름의 파일을 덮어쓸지 여부를 지정합니다.
스크립트에 필요한 매개 변수를 알고 싶으면 스크립트 매개 변수 확인란을 선택합니다. 텍스트 필드에 예제 및 설명을 입력합니다.
확인을 선택합니다.
필드 파일이 라이브러리에 업로드되었는지 확인하려면 라이브러리 명령을 실행합니다.
명령 취소
세션 중에 언제든지 CTRL + C를 눌러 명령을 취소할 수 있습니다.
필수 조건 명령을 자동으로 실행
일부 명령에는 실행할 필수 구성 요소 명령이 있습니다. 필수 구성 요소 명령을 실행하지 않으면 오류가 발생합니다. 예를 들어 fileinfo 없이 다운로드 명령을 실행하면 오류가 반환됩니다. 다음 예시와 같이 자동 플래그를 사용하여 필수 구성 요소 명령을 자동으로 실행할 수 있습니다.
getfile c:\Users\user\Desktop\work.txt -auto
PowerShell 스크립트 실행
PowerShell 스크립트를 실행하려면 먼저 라이브러리에 업로드해야 합니다. 라이브러리에 스크립트를 업로드한 후 실행 명령을 사용하여 스크립트를 실행합니다. 세션에 서명되지 않은 스크립트를 사용하려는 경우 고급 기능 설정 페이지에서 이 설정을 사용하도록 설정해야 합니다.
명령 매개 변수 적용
명령 매개 변수에 대한 자세한 내용은 콘솔 도움말을 참조하세요. 개별 명령에 대해 알아보려면 다음을 실행합니다.
help <command name>
명령에 매개 변수를 적용하는 경우 매개 변수는 고정 순서에 따라 처리됩니다.
<command name> param1 param2
고정 순서를 벗어난 매개 변수를 지정하는 경우 해당 값을 제공하기 전에 하이픈을 사용하여 매개 변수의 이름을 지정합니다.
<command name> -param2_name param2
필수 구성 요소 명령을 가지는 명령을 사용하는 경우 플래그 지정을 사용할 수 있습니다.
<command name> -type file -id <file path> - auto or remediate file <file path> - auto.
지원되는 출력 형식
라이브 응답은 테이블 및 JSON 양식의 출력 형식을 지원합니다. 각 명령에 대한 기본값 출력 동작이 있습니다. 다음 명령을 사용하여 기본값 출력 양식으로 출력을 수정할 수 있습니다.
-output json
-output table
지원되는 출력 파이프
라이브 응답은 CLI 및 파일에 대한 출력 파이프를 지원합니다. CLI가 기본값 출력 동작입니다. 다음 명령을 사용하여 출력을 파일로 파이프할 수 있습니다. [명령] > [filename].txt.
명령 로그 보기
명령 로그 탭을 선택하여 세션 중에 디바이스에 사용된 명령을 확인합니다. 각 명령은 다음과 같은 전체 세부 정보로 추적됩니다.
ID
명령 줄
Duration
상태 및 입력 또는 출력 사이드바
명령 예제
다음 명령은 라이브 응답 명령 사용을 보여 주는 예제입니다.
분석
# Analyze the file malware.txt
analyze file c:\Users\user\Desktop\malware.txt
# Analyze the process by PID
analyze process 1234
제한 사항
라이브 응답에는 다음과 같은 제한 사항이 있습니다.
라이브 응답 세션은 한 번에 10개의 라이브 응답 세션으로 제한됩니다.
대규모 명령 실행은 지원되지 않습니다.
라이브 응답 세션 비활성 시간 제한 값은 5분입니다.
사용자는 한 번에 하나의 세션만 시작할 수 있습니다.
디바이스는 한 번에 하나의 세션만 작업할 수 있습니다.
다음의 파일 크기 제한이 적용됩니다.
Getfile 제한: 3GB
Fileinfo 제한: 10GB
라이브러리 제한: 250MB