Undersøke enheter på enheter ved hjelp av direkte respons

Gjelder for:

• Microsoft Defender for endepunkt plan 2
• Microsoft Defender XDR

Vil du oppleve Defender for endepunkt? Registrer deg for en gratis prøveperiode.

Direkte respons gir sikkerhetsoperasjonsteam øyeblikkelig tilgang til en enhet (også referert til som en maskin) ved hjelp av en ekstern skalltilkobling. Direkte respons gir deg muligheten til å gjøre dyptgående undersøkende arbeid og iverksette umiddelbare responshandlinger for å raskt inneholde identifiserte trusler i sanntid.

Direkte respons er utformet for å forbedre undersøkelser ved å gjøre det mulig for sikkerhetsoperasjonsteamet å samle inn rettsmedisinske data, kjøre skript, sende mistenkelige enheter for analyse, utbedre trusler og proaktivt jakte på nye trusler.

Med direkte respons kan analytikere gjøre alle følgende oppgaver:

• Kjør grunnleggende og avanserte kommandoer for å utføre undersøkende arbeid på en enhet.
• Last ned filer som eksempler på skadelig programvare og resultater av PowerShell-skript.
• Last ned filer i bakgrunnen (ny!).
• Last opp et PowerShell-skript eller en kjørbar fil til biblioteket, og kjør det på en enhet fra et leiernivå.
• Utføre eller angre utbedringshandlinger.

Før du starter

Før du kan starte en økt på en enhet, må du sørge for at du oppfyller følgende krav:

• Kontroller at du kjører en støttet versjon av Windows.

  Enheter må kjøre én av følgende versjoner av Windows

  • Windows 10 & 11

    • Versjon 1909 eller nyere
    • Versjon 1903 med KB4515384
    • Versjon 1809 (RS 5) med KB4537818
    • Versjon 1803 (RS 4) med KB4537795
    • Versjon 1709 (RS 3) med KB4537816

  • macOS – minimum nødvendig versjon: 101.43.84. Støttes for Intel-baserte og ARM-baserte macOS-enheter.

  • Linux – minimum nødvendig versjon: 101.45.13

  • Windows Server 2012 R2 - med KB5005292

  • Windows Server 2016 – med KB5005292

    Obs!

    For Windows Server 2012R2 eller 2016 må du ha Unified Agent installert, og det anbefales å oppdatere til nyeste sensorversjon med KB5005292.

  • Windows Server 2019

    • Versjon 1903 eller (med KB4515384) senere
    • Versjon 1809 (med KB4537818)

  • Windows Server 2022

• Aktiver direkte svar fra siden avanserte innstillinger.

  Du må aktivere funksjonen for direkte respons på siden Avanserte funksjoner.

  Obs!

  Bare administratorer og brukere som har tillatelsen Behandle portalinnstillinger, kan aktivere direkte respons.

• Aktiver direkte svar for servere fra siden avanserte innstillinger (anbefales).

  Obs!

  Bare administratorer og brukere som har tillatelsen Behandle portalinnstillinger, kan aktivere direkte respons.

• Aktiver kjøring av usignert skript for live-svar (valgfritt).

  Viktig

  Signaturbekreftelse gjelder bare for PowerShell-skript.

  Advarsel

  Hvis du tillater bruk av usignerte skript, kan det øke eksponeringen for trusler.

  Det anbefales ikke å kjøre usignerte skript fordi det kan øke eksponeringen for trusler. Hvis du imidlertid må bruke dem, må du aktivere innstillingen på siden Innstillinger for avanserte funksjoner .

• Kontroller at du har de nødvendige tillatelsene.

  Bare brukere som er klargjort med de riktige tillatelsene, kan starte en økt. Hvis du vil ha mer informasjon om rolletildelinger, kan du se Opprette og behandle roller.

  Viktig

  Alternativet for å laste opp en fil til biblioteket er bare tilgjengelig for brukere med tillatelsen Administrere sikkerhetsinnstillinger. Knappen er nedtonet for brukere med bare delegerte tillatelser.

  Avhengig av hvilken rolle du har fått, kan du kjøre grunnleggende eller avanserte kommandoer for direkte respons. Brukertillatelser kontrolleres av den egendefinerte RBAC-rollen.

Oversikt over instrumentbord for direkte respons

Når du starter en økt med direkte respons på en enhet, åpnes et instrumentbord. Instrumentbordet gir informasjon om økten, for eksempel følgende:

• Hvem som opprettet økten
• Da økten startet
• Varigheten av økten

Instrumentbordet gir deg også tilgang til:

• Koble fra økt
• Laste opp filer til biblioteket
• Kommandokonsoll
• Kommandologg

Starte en økt for direkte respons på en enhet

Obs!

Handlinger for direkte respons som er startet fra enhetssiden, er ikke tilgjengelige i machineactions-API-en.

1. Logg på Microsoft Defender portalen.

2. Naviger til enhetsbeholdningen > for endepunkter, og velg en enhet du vil undersøke. Enhetssiden åpnes.

3. Start økten for direkte respons ved å velge Start økt for direkte respons. En kommandokonsoll vises. Vent mens økten kobles til enheten.

4. Bruk de innebygde kommandoene til å utføre undersøkende arbeid. Hvis du vil ha mer informasjon, kan du se Kommandoer for direkte svar.

5. Når du har fullført undersøkelsen, velger du Koble fra økt og deretter Bekreft.

Live response-kommandoer

Avhengig av hvilken rolle du har fått, kan du kjøre grunnleggende eller avanserte kommandoer for direkte respons. Brukertillatelser kontrolleres av egendefinerte RBAC-roller. Hvis du vil ha mer informasjon om rolletildelinger, kan du se Opprette og behandle roller.

Obs!

Direkte svar er et skybasert interaktivt skall, som sådan kan spesifikk kommandoopplevelse variere i responstid avhengig av nettverkskvalitet og systembelastning mellom sluttbrukeren og målenheten.

Grunnleggende kommandoer

Følgende kommandoer er tilgjengelige for brukerroller som får muligheten til å kjøre grunnleggende live-svarkommandoer. Hvis du vil ha mer informasjon om rolletildelinger, kan du se Opprette og behandle roller.

Kommando	Beskrivelse	Windows og Windows Server	macOS	Linux
cd	Endrer gjeldende katalog.	Y	Y	Y
cls	Fjerner konsollskjermen.	Y	Y	Y
connect	Starter en økt med direkte respons på enheten.	Y	Y	Y
connections	Viser alle aktive tilkoblinger.	Y	N	N
dir	Viser en liste over filer og underkataloger i en katalog.	Y	Y	Y
drivers	Viser alle driverne som er installert på enheten.	Y	N	N
fg <command ID>	Plasser den angitte jobben i forgrunnen, noe som gjør den til gjeldende jobb. Vær oppmerksom på at fg tar en command ID tilgjengelig fra jobber, ikke en PID.	Y	Y	Y
fileinfo	Få informasjon om en fil.	Y	Y	Y
findfile	Finner filer med et gitt navn på enheten.	Y	Y	Y
getfile <file_path>	Laster ned en fil.	Y	Y	Y
help	Gir hjelpeinformasjon for live svar-kommandoer.	Y	Y	Y
jobs	Viser jobber som kjører for øyeblikket, ID-en og statusen deres.	Y	Y	Y
persistence	Viser alle kjente vedvarende metoder på enheten.	Y	N	N
processes	Viser alle prosesser som kjører på enheten.	Y	Y	Y
registry	Viser registerverdier.	Y	N	N
scheduledtasks	Viser alle planlagte oppgaver på enheten.	Y	N	N
services	Viser alle tjenester på enheten.	Y	N	N
startupfolders	Viser alle kjente filer i oppstartsmapper på enheten.	Y	N	N
status	Viser status og utdata for en bestemt kommando.	Y	Y	Y
trace	Angir loggingsmodusen for terminalen til feilsøking.	Y	Y	Y

Avanserte kommandoer

Følgende kommandoer er tilgjengelige for brukerroller som er gitt mulighet til å kjøre avanserte live-svarkommandoer. Hvis du vil ha mer informasjon om rolletildelinger, kan du se Opprette og behandle roller.

Kommando	Beskrivelse	Windows og Windows Server	macOS	Linux
analyze	Analyserer enheten med ulike inkrimineringsmotorer for å nå en dom.	Y	N	N
collect	Samler inn rettsmedisinsk pakke fra enheten.	N	Y	Y
isolate	Kobler enheten fra nettverket samtidig som tilkoblingen til Defender for Endpoint-tjenesten beholdes.	N	Y	N
release	Frigir en enhet fra isolering av nettverk.	N	Y	N
run	Kjører et PowerShell-skript fra biblioteket på enheten.	Y	Y	Y
library	Lister filer som ble lastet opp til biblioteket for direkte respons.	Y	Y	Y
putfile	Plasserer en fil fra biblioteket på enheten. Filer lagres i en arbeidsmappe og slettes når enheten startes på nytt som standard.	Y	Y	Y
remediate	Remediates an entity on the device. Utbedringshandlingen varierer avhengig av enhetstypen: - Fil: slett - Prosess: stopp, slett bildefil - Tjeneste: stopp, slett bildefil - Registeroppføring: slett - Planlagt aktivitet: fjern - Oppstartsmappeelement: slette fil Denne kommandoen har en forutsetningskommando. Du kan bruke -auto kommandoen i forbindelse med utbedring for automatisk å kjøre forutsetningskommandoen.	Y	Y	Y
scan	Kjører en rask antivirusskanning for å identifisere og utbedre skadelig programvare.	N	Y	Y
undo	Gjenoppretter en enhet som ble utbedret.	Y	N	N

Obs!

Følgende begrensninger for filstørrelse gjelder for putfile live svar-kommando:

• Windows: 300 MB
• Andre plattformer: 10 MB

Bruke live-svarkommandoer

Kommandoene du kan bruke i konsollen, følger lignende prinsipper som Windows-kommandoer.

De avanserte kommandoene tilbyr et mer robust sett med handlinger som lar deg utføre kraftigere handlinger, for eksempel laste ned og laste opp en fil, kjøre skript på enheten og utføre utbedringshandlinger på en enhet.

Få en fil fra enheten

For scenarioer der du ønsker å få en fil fra en enhet du undersøker, kan du bruke getfile kommandoen. Dette gjør at du kan lagre filen fra enheten for videre undersøkelser.

Obs!

Følgende begrensninger for filstørrelse gjelder:

• getfile grense: 3 GB
• fileinfo grense: 30 GB
• library grense: 250 MB

Laste ned en fil i bakgrunnen

Hvis du vil at sikkerhetsoperasjonsteamet skal kunne fortsette å undersøke en påvirket enhet, kan filer nå lastes ned i bakgrunnen.

• Hvis du vil laste ned en fil i bakgrunnen, skriver du inn download <file_path> &i kommandokonsollen for direkte respons.
• Hvis du venter på at en fil skal lastes ned, kan du flytte den til bakgrunnen ved hjelp av CTRL+Z.
• Hvis du vil laste ned en fil til forgrunnen, skriver du inn fg <command_id>i kommandokonsollen for direkte respons.

Her er noen eksempler:

Kommando	Hva den gjør
getfile "C:\windows\some_file.exe" &	Begynner å laste ned en fil med navnet some_file.exe i bakgrunnen.
fg 1234	Returnerer en nedlasting med kommando-ID 1234 til forgrunnen.

Plassere en fil i biblioteket

Direkte svar har et bibliotek der du kan plassere filer i. Biblioteket lagrer filer (for eksempel skript) som kan kjøres i en økt for direkte respons på leiernivå.

Direkte svar gjør det mulig for PowerShell- og Bash-skript å kjøre; Du må imidlertid først plassere filene i biblioteket før du kan kjøre dem.

Du kan ha en samling av PowerShell- og Bash-skript som kan kjøres på enheter som du starter direkte responsøkter med.

Slik laster du opp en fil i biblioteket

1. Klikk Last opp fil til bibliotek.

2. Klikk Bla gjennom , og velg filen.

3. Gi en kort beskrivelse.

4. Angi om du vil overskrive en fil med samme navn.

5. Hvis du vil være det, vet du hvilke parametere som kreves for skriptet, merk av for skriptparametere. Skriv inn et eksempel og en beskrivelse i tekstfeltet.

6. Klikk Bekreft.

7. (Valgfritt) Kjør kommandoen for å bekrefte at filen ble lastet opp til biblioteket library .

Avbryte en kommando

Når som helst under en økt, kan du avbryte en kommando ved å trykke CTRL +C.

Advarsel

Hvis du bruker denne snarveien, stopper ikke kommandoen på agentsiden. Det vil bare avbryte kommandoen i portalen. Endring av operasjoner som «utbedring» kan derfor fortsette, mens kommandoen avbrytes.

Kjøre et skript

Før du kan kjøre et PowerShell/Bash-skript, må du først laste det opp til biblioteket.

Når du har lastet opp skriptet til biblioteket, bruker run du kommandoen til å kjøre skriptet.

Hvis du planlegger å bruke et usignert PowerShell-skript i økten, må du aktivere innstillingen på siden Innstillinger for avanserte funksjoner .

Advarsel

Hvis du tillater bruk av usignerte skript, kan det øke eksponeringen for trusler.

Bruke kommandoparametere

• Vis hjelpen for konsollen for å lære om kommandoparametere. Hvis du vil lære om en individuell kommando, kjører du:

  help <command name>
  

• Når du bruker parametere på kommandoer, må du være oppmerksom på at parametere håndteres basert på en fast rekkefølge:

  <command name> param1 param2
  

• Når du angir parametere utenfor den faste rekkefølgen, angir du navnet på parameteren med en bindestreking før verdien angis:

  <command name> -param2_name param2
  

• Når du bruker kommandoer som har forutsetningskommandoer, kan du bruke flagg:

  <command name> -type file -id <file path> - auto
  

  eller

  remediate file <file path> - auto`
  

Utdatatyper som støttes

Direkte svar støtter utdatatyper for tabell- og JSON-format. For hver kommando finnes det en standard virkemåte for utdata. Du kan endre utdataene i det foretrukne utdataformatet ved hjelp av følgende kommandoer:

• -output json
• -output table

Obs!

Færre felt vises i tabellformat på grunn av begrenset plass. Hvis du vil se flere detaljer i utdataene, kan du bruke utdatakommandoen for JSON slik at flere detaljer vises.

Støttede utdatakanaler

Direkte svar støtter utdatarør til CLI og fil. CLI er standard virkemåte for utdata. Du kan sende utdataene til en fil ved hjelp av følgende kommando: [command] > [filename].txt.

Eksempel:

processes > output.txt

Vise kommandologgen

Velg kommandologgfanen for å se kommandoene som brukes på enheten under en økt. Hver kommando spores med alle detaljer, for eksempel:

• ID
• Kommandolinje
• Varighet
• Sidestolpe for status og inndata eller utdata

Begrensninger

• Økter med direkte respons er begrenset til 25 økter med direkte respons om gangen.
• Verdi for inaktiv tidsavbrudd for live-svarøkt er 30 minutter.
• Individuelle live-svarkommandoer har en tidsbegrensning på 10 minutter, med unntak av getfile, findfileog run, som har en grense på 30 minutter.
• En bruker kan starte opptil 10 samtidige økter.
• En enhet kan bare være i én økt om gangen.
• Følgende begrensninger for filstørrelse gjelder:
  • getfile grense: 3 GB
  • fileinfo grense: 30 GB
  • library grense: 250 MB

Relatert artikkel

• Eksempler på live-svarkommando

Tips

Vil du lære mer? Engage med Microsoft Security-fellesskapet i teknisk fellesskap: Microsoft Defender for endepunkt teknisk fellesskap.