Compartilhar via

MDE Live Response com Microsoft 365 Security

  • Artigo

Nesse artigo vamos mostrar como utilizar a função de Live Response dentro do Microsoft 365. A capacidade de resposta ao vivo dá acesso instantâneo a um dispositivo usando uma conexão shell remota. Ele dá o poder de fazer um trabalho investigativo aprofundado e tomar ações de resposta imediata para conter prontamente as ameaças identificadas – em tempo real. 

**Importante: Alguns recursos serão borrados ou apagados por se tratar de um ambiente produção, assim serão preservados. **

Com a resposta ao vivo, podemos realizar as tarefas a seguir:

*  Execute comandos básicos e avançados para fazer um trabalho investigativo em um dispositivo;
*** ** Baixe arquivos como amostras de malware e resultados de scripts do PowerShell;
*  Baixe arquivos em segundo plano;
*  Carregue um script ou executável do PowerShell para a biblioteca e execute-o em um dispositivo a partir de um nível de locatário;
*  Execute ou desfaça ações de correção.

Clique em cima de um computador que deseja fazer a conexão com o Live Response:

Clique em "..." e depois em "Initiate Live Response Session"

A resposta ao vivo foi projetada para aprimorar as investigações, permitindo que o usuário do SecOps colete rapidamente dados forenses, execute scripts, envie entidades suspeitas para análise, remediar ameaças e procurar ameaças emergentes de forma proativa. Clique na janela de comando, para começar a digitar.

Enquanto este exemplo percorre a investigação e correção de um arquivo benigno (notepad.exe), os usuários do SecOps podem usar a ferramenta Live Response para verificar, analisar e agir em qualquer arquivo ou processo em execução nos Endpoints da organização.

Veja os caminhos do arquivo de forma remota.

Veja o resultado do scan em cima do arquivo pesquisado.

Você terá todo o log dos comandos executados na sessão remota.

Clique em "Desconectar sessão" e clique em "Confirmar" para sair definitivamente da sessão.


Na menu à esquerda, clique em "Central de ações"

Vamos tentar explorar agora, alguns filtros para esse computador. Vá na aba "History", depois selecione "Quarentine Files" e clique em "Apply":

Veja que o mesmo encontrou erros e contém avisos para serem tratados.

A ferramenta de segurança do Microsoft 365, vem aprimorando cada vez mais os seus recursos e facilitando a vida dos profissionais de segurança. Essa centralização é de extrema importância para uma análise SecOps mais assertiva e constante. Esperamos que essa dica ajude a todos os administradores que utilizam os serviços online da Microsoft.