Iniciar sessão de resposta dinâmica
A resposta em tempo real fornece acesso instantâneo às equipes de operações de segurança a um dispositivo usando uma conexão de shell remoto. A resposta em tempo real fornece a você o poder de fazer uma investigação detalhada e tomar ações imediatas de resposta para conter imediatamente ameaças identificadas.
A resposta dinâmica foi projetada para aprimorar investigações, permitindo que sua equipe de operações de segurança colete dados de análises forenses, execute scripts, envie entidades suspeitas para análise, corrija ameaças e busque proativamente por ameaças emergentes.
Com a Resposta Dinâmica, os analistas podem realizar as seguintes tarefas:
Executar comandos básicos e avançados para realizar o trabalho investigativo em um dispositivo.
Baixar arquivos como exemplos de malware e resultados de scripts do PowerShell.
Baixar arquivos em segundo plano (novo!).
Carregue um script do PowerShell ou executável na biblioteca e execute-o em um dispositivo em nível de locatário.
Executar ou desfazer ações de correção.
Pré-requisitos
Antes de iniciar uma sessão em um dispositivo, lembre-se de atender aos seguintes requisitos:
Verifique se está executando uma versão com suporte do Windows 10 ou posterior
Habilite a resposta dinâmica na página de configurações. Você precisará habilitar a capacidade de resposta dinâmica na página Configurações avançadas de recursos.
Somente os usuários com funções de gerenciar segurança ou administrador global podem editar essas configurações.
Certifique-se de que o dispositivo tem um nível de correção de automação atribuído a ele
Você precisará habilitar, pelo menos, o nível mínimo de correção para um determinado Grupo de Dispositivos. Caso contrário, você não poderá estabelecer uma sessão de Resposta em Tempo Real para um membro desse grupo.
Habilitar a execução do script não assinado de resposta dinâmica (opcional)
Permitir o uso de scripts não assinados pode aumentar sua exposição a ameaças. A execução de scripts não assinados não é recomendada, pois pode aumentar a exposição a ameaças. Mas se você precisar usá-los, precisará habilitar a configuração na página Configurações avançadas de recursos.
Certifique-se de que você tem as permissões apropriadas
Somente os usuários que foram provisionados com as permissões apropriadas podem iniciar uma sessão. A opção de carregar um arquivo na biblioteca só está disponível a usuários com as permissões de RBAC (controle de acesso baseado em função) apropriadas. O botão fica acinzentado para os usuários que tem apenas permissões delegadas. Dependendo da função que foi concedida a você, você pode executar comandos básicos ou avançados de resposta dinâmica. As permissões dos usuários são controladas pela função personalizada RBAC.
Visão geral do painel de resposta dinâmica
Quando você inicia uma sessão de resposta dinâmica em um dispositivo, um painel é aberto. O painel fornece informações sobre a sessão como:
Quem criou a sessão
Quando a sessão foi iniciada
A duração da sessão
O painel também fornece acesso a:
Desconectar sessão
Carregar arquivos para a biblioteca
Console de comando
Log de comandos
Comandos de resposta dinâmica
Dependendo da função que foi concedida a você, você pode executar comandos básicos ou avançados de resposta dinâmica. As permissões de usuários são controladas pela função personalizada RBAC. A resposta dinâmica é um shell interativo baseado em nuvem. Portanto, a experiência de comando específica poderá variar no tempo de resposta, dependendo da qualidade da rede e da carga do sistema entre o usuário final e o dispositivo de destino.
Comandos básicos
Os comandos a seguir estão disponíveis para funções de usuário que recebem a capacidade de executar comandos básicos de resposta dinâmica.
| Comando | Descrição |
|---|---|
| [cd] | Altera o diretório atual. |
| [cls] | Desmarca a tela do console. |
| [connect] | Inicia uma sessão de resposta em tempo real para o dispositivo. |
| [connections] | Mostra todas as conexões ativas. |
| [dir] | Mostra uma lista de arquivos e subdiretórios em um diretório. |
| [getfile] <file_path> | Como baixar um arquivo em segundo plano. |
| [drivers] | Mostra todos os drivers instalados no dispositivo. |
| [fg] <command ID> | Devolve um download de arquivo para o primeiro plano. |
| [fileinfo] | Obtêm Informações sobre um arquivo. |
| [findfile] | Localiza arquivos de um determinado nome no dispositivo. |
| [help] | Fornece informações de ajuda para comandos de resposta dinâmica. |
| [persistence] | Mostra todos os métodos de persistência conhecidos no dispositivo. |
| [processes] | Mostra todos os processos em execução no dispositivo. |
| [registry] | Mostra valores de registro. |
| [scheduledtasks] | Mostra todas as tarefas agendadas no dispositivo. |
| [services] | Mostra todos os serviços no dispositivo. |
| [trace] | Define o modo registrar em log do terminal para depurar. |
Comandos avançados
Os comandos a seguir estão disponíveis para funções de usuário que recebem a capacidade de executar comandos avançados de resposta dinâmica.
| Comando | Descrição |
|---|---|
| Analisar | Analisa a entidade com vários mecanismos de condenação para chegar a um veredicto. |
| GetFile | Obtém um arquivo do dispositivo. Esse comando tem um comando de pré-requisito. Você pode usar o comando automático com o GetFile para executar automaticamente o comando de pré-requisito. |
| Executar | Executa um script do PowerShell da biblioteca no dispositivo. |
| biblioteca | Lista os arquivos que foram carregados para a biblioteca de resposta dinâmica. |
| PutFile | Coloca um arquivo da biblioteca no dispositivo. Os arquivos são salvos em uma pasta de trabalho e são excluídos quando o dispositivo é reiniciado por padrão. |
| Corrigir | Corrige uma entidade no dispositivo. A ação de correção irá variar dependendo do tipo de entidade. Esse comando tem um comando de pré-requisito. Você pode usar o comando automático com o Corrigir para executar automaticamente o comando de pré-requisito. |
| Desfazer | Restaura uma entidade que foi corrigida. |
Usa comandos de resposta dinâmica
Os comandos que você pode usar no console seguem princípios semelhantes aos do Comandos do Windows. Os comandos avançados oferecem funcionalidades mais amplas que permitem executar ações mais poderosas. As ações avançadas incluem baixar ou carregar um arquivo, executar scripts no dispositivo e executar ações de correção em uma entidade.
Obtenha um arquivo do dispositivo
Para cenários em que você deseja obter um arquivo de um dispositivo que você está investigando, é possível usar o comando [Getfile]. O comando [getfile] permite que você salve o arquivo do dispositivo para investigação posterior.
São aplicados os limites de tamanho de arquivo a seguir:
Limite de GetfFile: 3 GB
Limite de FileInfo: 10 GB
Limite da biblioteca: 250 MB
Como baixar um arquivo em segundo plano
Para permitir que sua equipe de operações de segurança continue investigando um dispositivo afetado, agora os arquivos podem ser baixados em segundo plano.
Para baixar um arquivo em segundo plano, no console do comando de Resposta Imediata, insira getfile <file_path>.
Se estiver aguardando o download de um arquivo, você poderá colocá-lo em segundo plano usando Ctrl + Z.
Para colocar um download de arquivo em primeiro plano, no console de comando de resposta dinâmica, insira fg <command_id>.
Estes são alguns exemplos:
| Comando | O que faz |
|---|---|
| getfile "C:\windows\some_file.exe" | Inicia o download de um arquivo chamado some_file.exe no segundo plano. |
| fg 1234 | Devolve um download com a ID de comando 1234 para o primeiro plano. |
Colocar um arquivo na biblioteca
A resposta dinâmica tem uma biblioteca na qual você pode colocar arquivos. Essa biblioteca armazena arquivos (como scripts) que podem ser executados em uma sessão de resposta dinâmica no nível do locatário. A resposta dinâmica permite que os scripts do PowerShell sejam executados. No entanto, primeiro você deve colocar os arquivos na biblioteca antes de poder executá-los. Você pode ter uma coleção de scripts do PowerShell que podem ser executados nos dispositivos nos quais você inicia sessões de resposta dinâmica.
Para carregar um arquivo na biblioteca:
Selecione Carregar arquivo na biblioteca.
Selecione Procurar e selecione o arquivo.
Forneça uma breve descrição.
Especifique se você deseja substituir um arquivo com o mesmo nome.
Se esse for o caso, saiba quais parâmetros são necessários para o script e selecione a opção de parâmetros de script. No campo de texto, insira um exemplo e uma descrição.
Selecione Confirmar.
(Opcional) Para verificar se o arquivo foi carregado na biblioteca, execute o comando da biblioteca.
Cancelar um comando
A qualquer momento durante uma sessão, você pode cancelar um comando pressionando CTRL + C.
Execute automaticamente comandos de pré-requisitos
Alguns comandos têm comandos de pré-requisito para serem executados. Se você não executar o comando de pré-requisito, receberá um erro. Por exemplo, a executar o comando de download sem o FileInfo resultará em um erro. Você pode usar o sinalizador automático para executar comandos de pré-requisito automaticamente, por exemplo:
getfile c:\Users\user\Desktop\work.txt -auto
Executar um script do PowerShell
Antes de executar um script do PowerShell, primeiro você deve carregá-lo na biblioteca. Depois de carregar o script na biblioteca, use o comando Executar para executar o script. Se você planeja usar um script não assinado na sessão, precisará habilitar a configuração na página Configurações avançadas de recursos.
Aplicar parâmetros de comando
Consulte a ajuda do console para saber mais sobre parâmetros de comando. Para saber mais sobre um comando individual, execute:
help <command name>
Ao aplicar parâmetros em comandos, os parâmetros são manipulados com base em uma ordem fixa:
<command name> param1 param2
Ao especificar parâmetros fora da ordem fixa, especifique o nome do parâmetro com um hífen antes de fornecer o seu valor:
<command name> -param2_name param2
Ao usar comandos que têm comandos de pré-requisito, você pode usar sinalizadores:
<command name> -type file -id <file path> - auto or remediate file <file path> - auto.
Tipos de saída compatíveis
A resposta dinâmica é compatível com tipos de saída em formato de tabela e JSON. Para cada comando, há um comportamento de saída padrão. Você pode modificar a saída para o formato de saída da sua preferência usando os comandos a seguir:
-saída JSON
-saída tabela
Tipos de pipes compatíveis
A resposta dinâmica é compatível com o pipe de saída para a CLI e o arquivo. A CLI é o comportamento de saída padrão. Você pode direcionar a saída de um arquivo usando o seguinte comando: [command] > [filename].txt.
Visualizar o log de comandos
Selecione a guia Log de comandos para ver os comandos usados no dispositivo durante uma sessão. Cada comando é acompanhado com detalhes completos, como:
ID
Linha de comando
Duration
Barra lateral de status e entrada ou saída
Exemplos de comando
Os próximos comandos são exemplos que demonstram o uso dos comandos de Resposta Imediata.
Analisar
# Analyze the file malware.txt
analyze file c:\Users\user\Desktop\malware.txt
# Analyze the process by PID
analyze process 1234
Limitações
A resposta dinâmica têm as seguintes limitações:
As sessões de resposta dinâmica são limitadas a 10 sessões de resposta dinâmica por vez.
Não há suporte para a execução de comandos em grande escala.
O valor de tempo inativo limite da sessão de resposta dinâmica é de 5 minutos.
Um usuário só pode iniciar uma sessão de cada vez.
Um dispositivo só pode estar em uma sessão de cada vez.
São aplicados os limites de tamanho de arquivo a seguir:
Limite de GetfFile: 3 GB
Limite de FileInfo: 10 GB
Limite da biblioteca: 250 MB