Inicjowanie sesji odpowiedzi na żywo
Odpowiedź na żywo zapewnia zespołom ds. operacji zabezpieczeń natychmiastowy dostęp do urządzenia przy użyciu połączenia zdalnej powłoki. Odpowiedź na żywo zapewnia możliwość szczegółowego badania i podjęcia natychmiastowych akcji reagowania, aby szybko zawierać zidentyfikowane zagrożenia.
Odpowiedź na żywo została zaprojektowana w celu ulepszenia badań, umożliwiając zespołowi ds. operacji zabezpieczeń zbieranie danych kryminalistycznych, uruchamianie skryptów, wysyłanie podejrzanych jednostek do analizy, korygowanie zagrożeń i aktywne wyszukiwanie pojawiających się zagrożeń.
Dzięki odpowiedzi na żywo analitycy mogą wykonywać wszystkie następujące zadania:
Uruchom podstawowe i zaawansowane polecenia, aby wykonać pracę śledczą na urządzeniu.
Pobierz pliki, takie jak przykłady złośliwego oprogramowania i wyniki skryptów programu PowerShell.
Pobierz pliki w tle (nowy!).
Przekaż skrypt programu PowerShell lub plik wykonywalny do biblioteki i uruchom go na urządzeniu z poziomu dzierżawy.
Podejmij lub cofnij akcje korygowania.
Wymagania wstępne
Przed rozpoczęciem sesji na urządzeniu upewnij się, że spełniasz następujące wymagania:
Sprawdź, czy korzystasz z obsługiwanej wersji systemu Windows 10 lub nowszej
Włącz odpowiedź na żywo na stronie ustawień. Musisz włączyć funkcję odpowiedzi na żywo na stronie Ustawienia funkcji zaawansowanych.
Te ustawienia mogą edytować tylko użytkownicy z rolami zabezpieczeń lub administratorami globalnymi.
Upewnij się, że urządzenie ma przypisany poziom korygowania automatyzacji
Należy włączyć co najmniej minimalny poziom korygowania dla danej grupy urządzeń. W przeciwnym razie nie można ustanowić sesji odpowiedzi na żywo do członka tej grupy.
Włączanie wykonywania niepodpisanego skryptu odpowiedzi na żywo (opcjonalnie)
Zezwolenie na używanie niepodpisanych skryptów może zwiększyć narażenie na zagrożenia. Uruchamianie niepodpisanych skryptów nie jest zalecane, ponieważ może zwiększyć narażenie na zagrożenia. Jeśli jednak musisz ich używać, musisz włączyć to ustawienie na stronie Ustawienia zaawansowane.
Upewnij się, że masz odpowiednie uprawnienia
Tylko użytkownicy, którzy zostali aprowizowani przy użyciu odpowiednich uprawnień, mogą zainicjować sesję. Opcja przekazania pliku do biblioteki jest dostępna tylko dla użytkowników z odpowiednimi uprawnieniami kontroli dostępu opartej na rolach (RBAC). Przycisk jest wyszarzony dla użytkowników z uprawnieniami delegowanymi. W zależności od roli, która została Ci udzielona, możesz uruchamiać podstawowe lub zaawansowane polecenia odpowiedzi na żywo. Uprawnienia użytkowników są kontrolowane przez rolę niestandardową RBAC.
Omówienie pulpitu nawigacyjnego odpowiedzi na żywo
Po zainicjowaniu sesji odpowiedzi na żywo na urządzeniu zostanie otwarty pulpit nawigacyjny. Pulpit nawigacyjny zawiera informacje o sesji, takie jak:
Kto utworzył sesję
Po rozpoczęciu sesji
Czas trwania sesji
Pulpit nawigacyjny zapewnia również dostęp do:
Rozłącz sesję
Przekazywanie plików do biblioteki
Konsola poleceń
Dziennik poleceń
Polecenia odpowiedzi na żywo
W zależności od roli, która została Ci udzielona, możesz uruchamiać podstawowe lub zaawansowane polecenia odpowiedzi na żywo. Uprawnienia użytkownika są kontrolowane przez role niestandardowe RBAC. Odpowiedź na żywo to interaktywna powłoka oparta na chmurze. W związku z tym określone środowisko polecenia może się różnić w czasie odpowiedzi w zależności od jakości sieci i obciążenia systemu między użytkownikiem końcowym a urządzeniem docelowym.
Podstawowe polecenia
Następujące polecenia są dostępne dla ról użytkowników, które mają możliwość uruchamiania podstawowych poleceń odpowiedzi na żywo.
| Polecenie | opis |
|---|---|
| [cd] | Zmienia bieżący katalog. |
| [cls] | Czyści ekran konsoli. |
| [połącz] | Uruchamia sesję odpowiedzi na żywo na urządzeniu. |
| [połączenia] | Pokazuje wszystkie aktywne połączenia. |
| [dir] | Przedstawia listę plików i podkatalogów w katalogu. |
| [getfile] <file_path> | Pobiera plik w tle. |
| [sterowniki] | Pokazuje wszystkie sterowniki zainstalowane na urządzeniu. |
| [fg] <identyfikator polecenia> | Zwraca plik pobrany na pierwszy plan. |
| [fileinfo] | Uzyskaj informacje o pliku. |
| [findfile] | Lokalizuje pliki według danej nazwy na urządzeniu. |
| [pomoc] | Zawiera informacje pomocy dotyczące poleceń odpowiedzi na żywo. |
| [trwałość] | Przedstawia wszystkie znane metody trwałości na urządzeniu. |
| [procesy] | Pokazuje wszystkie procesy uruchomione na urządzeniu. |
| [rejestr] | Pokazuje wartości rejestru. |
| [scheduledtasks] | Pokazuje wszystkie zaplanowane zadania na urządzeniu. |
| [usługi] | Pokazuje wszystkie usługi na urządzeniu. |
| [trace] | Ustawia tryb rejestrowania terminalu na debugowanie. |
Polecenia zaawansowane
Następujące polecenia są dostępne dla ról użytkowników, które mają możliwość uruchamiania zaawansowanych poleceń odpowiedzi na żywo.
| Polecenie | opis |
|---|---|
| analizować | Analizuje jednostkę za pomocą różnych aparatów oskarżania, aby osiągnąć werdykt. |
| getfile | Pobiera plik z urządzenia. To polecenie ma wstępnie wymagane polecenie. Możesz użyć -auto polecenia z getfile, aby automatycznie uruchomić wstępnie wymagane polecenie. |
| uruchom | Uruchamia skrypt programu PowerShell z biblioteki na urządzeniu. |
| biblioteka | Wyświetla listę plików przekazanych do biblioteki odpowiedzi na żywo. |
| putfile | Umieszcza plik z biblioteki na urządzeniu. Pliki są zapisywane w folderze roboczym i są usuwane po ponownym uruchomieniu urządzenia domyślnie. |
| Koryguj | Koryguj jednostkę na urządzeniu. Akcja korygowania będzie się różnić w zależności od typu jednostki. To polecenie ma wstępnie wymagane polecenie. Możesz użyć -auto polecenia z korygowania, aby automatycznie uruchomić polecenie wymagań wstępnych. |
| Cofnij | Przywraca jednostkę, która została skorygowana. |
Używanie poleceń odpowiedzi na żywo
Polecenia, których można używać w konsoli programu, są zgodne z podobnymi zasadami co polecenia systemu Windows. Zaawansowane polecenia oferują rozszerzone możliwości, które umożliwiają wykonywanie bardziej zaawansowanych akcji. Zaawansowane akcje obejmują pobieranie lub przekazywanie pliku, uruchamianie skryptów na urządzeniu i wykonywanie akcji korygujących w jednostce.
Pobieranie pliku z urządzenia
W przypadku scenariuszy, w których chcesz uzyskać plik z badanego urządzenia, możesz użyć polecenia [getfile]. Polecenie [getfile] umożliwia zapisanie pliku z urządzenia w celu dalszego zbadania.
Obowiązują następujące limity rozmiaru pliku:
limit pliku getfile: 3 GB
fileinfo limit: 10 GB
limit biblioteki: 250 MB
Pobieranie pliku w tle
Aby umożliwić zespołowi ds. operacji zabezpieczeń kontynuowanie badania urządzenia, na które ma to wpływ, pliki można teraz pobrać w tle.
Aby pobrać plik w tle, w konsoli poleceń odpowiedzi na żywo wpisz getfile <file_path>.
Jeśli czekasz na pobranie pliku, możesz przenieść go do tła za pomocą Ctrl + Z.
Aby pobrać plik na pierwszym planie, w konsoli poleceń odpowiedzi na żywo wpisz fg <command_id>.
Oto kilka przykładów:
| Polecenie | Wyniki działania |
|---|---|
| getfile "C:\windows\some_file.exe" | Rozpoczyna pobieranie pliku o nazwie some_file.exe w tle. |
| fg 1234 | Zwraca pobieranie z identyfikatorem polecenia 1234 na pierwszym planie. |
Umieść plik w bibliotece
Odpowiedź na żywo zawiera bibliotekę, w której można umieścić pliki. Biblioteka przechowuje pliki (takie jak skrypty), które mogą być uruchamiane w sesji odpowiedzi na żywo na poziomie dzierżawy. Odpowiedź na żywo umożliwia uruchamianie skryptów programu PowerShell. Należy jednak najpierw umieścić pliki w bibliotece, zanim będzie można je uruchomić. Możesz mieć kolekcję skryptów programu PowerShell, które można uruchamiać na urządzeniach, za pomocą których inicjowane są sesje odpowiedzi na żywo.
Aby przekazać plik w bibliotece:
Wybierz pozycję Przekaż plik do biblioteki.
Wybierz pozycję Przeglądaj i wybierz plik.
Podaj krótki opis.
Określ, czy chcesz zastąpić plik o tej samej nazwie.
Jeśli chcesz, sprawdź, jakie parametry są potrzebne dla skryptu, zaznacz pole wyboru Parametry skryptu. W polu tekstowym wprowadź przykład i opis.
Wybierz pozycję Potwierdź.
(Opcjonalnie) Aby sprawdzić, czy plik został przekazany do biblioteki, uruchom polecenie biblioteki.
Anulowanie polecenia
Za każdym razem, gdy podczas sesji możesz anulować polecenie, naciskając CTRL + C.
Automatycznie uruchamiaj polecenia wymagań wstępnych
Niektóre polecenia mają wymagane polecenia do uruchomienia. Jeśli nie uruchomisz polecenia wymagań wstępnych, zostanie wyświetlony błąd. Na przykład uruchomienie polecenia pobierania bez polecenia fileinfo spowoduje zwrócenie błędu. Możesz użyć automatycznej flagi, aby automatycznie uruchamiać polecenia wymagań wstępnych, na przykład:
getfile c:\Users\user\Desktop\work.txt -auto
Uruchamianie skryptu programu PowerShell
Przed uruchomieniem skryptu programu PowerShell należy najpierw przekazać go do biblioteki. Po przekazaniu skryptu do biblioteki użyj polecenia run , aby uruchomić skrypt. Jeśli planujesz użyć niepodpisanego skryptu w sesji, musisz włączyć to ustawienie na stronie Ustawienia zaawansowane.
Stosowanie parametrów polecenia
Wyświetl pomoc konsoli, aby dowiedzieć się więcej o parametrach polecenia. Aby dowiedzieć się więcej o pojedynczym poleceniu, uruchom polecenie:
help <command name>
Podczas stosowania parametrów do poleceń parametry są obsługiwane w oparciu o stałą kolejność:
<command name> param1 param2
Podczas określania parametrów poza stałą kolejnością określ nazwę parametru łącznikiem przed podaniem jego wartości:
<command name> -param2_name param2
W przypadku używania poleceń z poleceniami wstępnymi można użyć flag:
<command name> -type file -id <file path> - auto or remediate file <file path> - auto.
Obsługiwane typy danych wyjściowych
Odpowiedź na żywo obsługuje typy danych wyjściowych formatu tabeli i formatu JSON. Dla każdego polecenia występuje domyślne zachowanie danych wyjściowych. Dane wyjściowe można zmodyfikować w preferowanym formacie danych wyjściowych przy użyciu następujących poleceń:
-output json
-output table
Obsługiwane potoki wyjściowe
Odpowiedź na żywo obsługuje potoki danych wyjściowych do interfejsu wiersza polecenia i pliku. Interfejs wiersza polecenia jest domyślnym zachowaniem danych wyjściowych. Dane wyjściowe można przesyłać potokiem do pliku przy użyciu następującego polecenia: [polecenie] [nazwa pliku] > .txt.
Wyświetlanie dziennika poleceń
Wybierz kartę Dziennik poleceń, aby wyświetlić polecenia używane na urządzeniu podczas sesji. Każde polecenie jest śledzone z pełnymi szczegółami, takimi jak:
ID
Wiersz polecenia
Czas trwania
Stan i pasek boczny danych wejściowych lub wyjściowych
Przykłady poleceń
Następne polecenia to przykłady, które pokazują użycie poleceń odpowiedzi na żywo.
Analiza
# Analyze the file malware.txt
analyze file c:\Users\user\Desktop\malware.txt
# Analyze the process by PID
analyze process 1234
Ograniczenia
Odpowiedź na żywo ma następujące ograniczenia:
Sesje odpowiedzi na żywo są ograniczone do 10 sesji odpowiedzi na żywo naraz.
Wykonywanie poleceń na dużą skalę nie jest obsługiwane.
Wartość limitu czasu nieaktywnej sesji odpowiedzi na żywo wynosi 5 minut.
Użytkownik może zainicjować tylko jedną sesję naraz.
Urządzenie może znajdować się tylko w jednej sesji naraz.
Obowiązują następujące limity rozmiaru pliku:
Limit pliku Getfile: 3 GB
Limit informacji o pliku: 10 GB
Limit biblioteki: 250 MB