使用实时响应调查设备上的实体

适用于:

希望体验 Defender for Endpoint? 注册免费试用版

实时响应允许安全运营团队使用远程 shell 连接即时访问设备 (也称为计算机) 。 实时响应使你能够进行深入的调查工作,并立即采取响应操作,以及时实时包含已识别的威胁。

实时响应旨在通过使安全运营团队能够收集取证数据、运行脚本、发送可疑实体进行分析、修正威胁以及主动搜寻新出现的威胁来增强调查。

通过实时响应,分析师可以执行以下所有任务:

  • 运行基本和高级命令以在设备上执行调查工作。
  • 下载文件,例如恶意软件示例和 PowerShell 脚本的结果。
  • 在后台下载文件 (new!) 。
  • 将 PowerShell 脚本或可执行文件上传到库,并从租户级别在设备上运行它。
  • 执行或撤消修正操作。

开始之前

在设备上启动会话之前,请确保满足以下要求:

  • 验证你运行的是受支持的 Windows 版本

    设备必须运行以下 Windows 版本之一

  • 从高级设置页启用实时响应

    需要在 “高级功能设置 ”页中启用实时响应功能。

    注意

    只有具有“管理门户设置”权限的管理员和用户才能启用实时响应。

  • 从高级设置页为服务器启用实时响应 , (建议) 。

    注意

    只有具有“管理门户设置”权限的管理员和用户才能启用实时响应。

  • (可选) 启用实时响应未签名脚本执行

    重要

    签名验证仅适用于 PowerShell 脚本。

    警告

    允许使用未签名的脚本可能会增加受到威胁的风险。

    不建议运行未签名的脚本,因为这会增加受到威胁的风险。 但是,如果必须使用它们,则需要在 “高级功能设置 ”页中启用设置。

  • 确保具有适当的权限

    只有预配了相应权限的用户才能启动会话。 有关角色分配的详细信息,请参阅 创建和管理角色

    重要

    将文件上传到库的选项仅适用于具有“管理安全设置”权限的用户。 对于仅具有委派权限的用户,该按钮灰显。

    根据授予的角色,可以运行基本或高级实时响应命令。 用户权限由 RBAC 自定义角色控制。

实时响应仪表板概述

在设备上启动实时响应会话时,将打开仪表板。 仪表板提供有关会话的信息,如下所示:

  • 会话的创建者
  • 会话启动时间
  • 会话的持续时间

仪表板还允许你访问:

  • 断开会话连接
  • 将文件上传到库
  • 命令控制台
  • 命令日志

在设备上启动实时响应会话

注意

从“设备”页启动的实时响应操作在 MachineActions API 中不可用。

  1. 登录到Microsoft Defender门户

  2. 导航到“终结点”“>设备清单”,然后选择要调查的设备。 此时会打开“设备”页。

  3. 通过选择“启动实时响应会话”启动 实时响应会话。 将显示命令控制台。 等待会话连接到设备。

  4. 使用内置命令执行调查工作。 有关详细信息,请参阅 实时响应命令

  5. 完成调查后,选择“ 断开连接会话”,然后选择“ 确认”。

实时响应命令

根据授予的角色,可以运行基本或高级实时响应命令。 用户权限由 RBAC 自定义角色控制。 有关角色分配的详细信息,请参阅 创建和管理角色

注意

实时响应是基于云的交互式 shell,因此,特定的命令体验在响应时间上可能会有所不同,具体取决于最终用户和目标设备之间的网络质量和系统负载。

基本命令

以下命令适用于被授予运行 基本 实时响应命令功能的用户角色。 有关角色分配的详细信息,请参阅 创建和管理角色

命令 说明 Windows 和 Windows Server macOS Linux
cd 更改当前目录。 Y Y Y
cls 清除主机屏幕。 Y Y Y
connect 启动与设备的实时响应会话。 Y Y Y
connections 显示所有活动连接。 Y N N
dir 显示目录中的文件和子目录的列表。 Y Y Y
drivers 显示设备上安装的所有驱动程序。 Y N N
fg <command ID> 将指定的作业置于前台,使其成为当前作业。 请注意, fg 获取 command ID 作业中可用的,而不是 PID。 Y Y Y
fileinfo 获取有关文件的信息。 Y Y Y
findfile 在设备上按给定名称查找文件。 Y Y Y
getfile <file_path> 下载文件。 Y Y Y
help 提供实时响应命令的帮助信息。 Y Y Y
jobs 显示当前正在运行的作业及其 ID 和状态。 Y Y Y
persistence 显示设备上所有已知的持久性方法。 Y N N
processes 显示设备上运行的所有进程。 Y Y Y
registry 显示注册表值。 Y N N
scheduledtasks 显示设备上的所有计划任务。 Y N N
services 显示设备上的所有服务。 Y N N
startupfolders 显示设备上的启动文件夹中的所有已知文件。 Y N N
status 显示特定命令的状态和输出。 Y Y Y
trace 设置要调试的终端日志记录模式。 Y Y Y

高级命令

以下命令适用于有权运行 高级 实时响应命令的用户角色。 有关角色分配的详细信息,请参阅 创建和管理角色

命令 说明 Windows 和 Windows Server macOS Linux
analyze 分析具有各种指控引擎的实体,以得出判决。 Y N N
collect 从设备收集取证包。 N Y Y
isolate 断开设备与网络的连接,同时保留与 Defender for Endpoint 服务的连接。 N Y N
release 从网络隔离中释放设备。 N Y N
run 从设备上的库运行 PowerShell 脚本。 Y Y Y
library Lists上传到实时响应库的文件。 Y Y Y
putfile 将库中的文件放入设备。 文件保存在工作文件夹中,并在设备重启时默认删除。 Y Y Y
remediate 修正设备上的实体。 修正操作因实体类型而异:
- 文件:删除
- 进程:停止、删除图像文件
- 服务:停止、删除映像文件
- 注册表项:删除
- 计划任务:删除
- 启动文件夹项:删除文件

此命令具有先决条件命令。 可以将 -auto 命令与修正结合使用,以自动运行先决条件命令。
Y Y Y
scan 运行快速防病毒扫描以帮助识别和修正恶意软件。 N Y Y
undo 还原已修正的实体。 Y N N

注意

以下文件大小限制适用于 putfile 实时响应命令:

  • Windows:300 MB
  • 其他平台:10 MB

使用实时响应命令

可在控制台中使用的命令遵循与 Windows 命令类似的原则。

高级命令提供了一组更可靠的操作,使你能够执行更强大的操作,例如下载和上传文件、在设备上运行脚本以及对实体执行修正操作。

从设备获取文件

对于想要从正在调查的设备获取文件的情况,可以使用 getfile 命令。 这允许你保存设备中的文件以供进一步调查。

注意

以下文件大小限制适用:

  • getfile 限制:3 GB
  • fileinfo 限制:30 GB
  • library 限制:250 MB

在后台下载文件

为了使安全运营团队能够继续调查受影响的设备,现在可以在后台下载文件。

  • 若要在后台下载文件,请在实时响应命令控制台中键入 download <file_path> &
  • 如果正在等待下载文件,可以使用 Ctrl + Z 将其移动到后台。
  • 若要将文件下载带到前台,请在实时响应命令控制台中键入 fg <command_id>

下面是一些示例:

命令 功能
getfile "C:\windows\some_file.exe" & 开始在后台下载名为 some_file.exe 的文件。
fg 1234 将命令 ID 为 1234 的下载返回到前台。

将文件放入库中

实时响应具有一个库,可在其中放置文件。 库存储可在租户级别的实时响应会话中运行的文件 (,例如脚本) 。

实时响应允许运行 PowerShell 和 Bash 脚本;但是,必须先将文件放入库中,然后才能运行它们。

可以拥有一组 PowerShell 和 Bash 脚本,这些脚本可以在启动实时响应会话的设备上运行。

在库中上传文件

注意

可上传到库的字符存在限制。 使用字母数字字符和一些符号,具体 (、 -_.) 。

  1. 选择“ 将文件上传到库”。

  2. 选择“ 浏览 ”,然后选择文件。

  3. 提供简要说明。

  4. 指定是否要覆盖同名的文件。

  5. 如果需要,请知道脚本需要哪些参数,请选择“脚本参数”框检查。 在文本字段中,输入示例和说明。

  6. 选择“确认”。

  7. (可选) 若要验证文件是否已上传到库,请 library 运行 命令。

取消命令

在会话期间,可以随时通过按 CTRL + C 取消命令。

警告

使用此快捷方式不会停止代理端中的命令。 它仅取消Microsoft Defender门户中的 命令。 因此,更改操作(例如“修正”)可能会继续,即使命令已取消。

运行脚本

必须先将其上传到库,然后才能运行 PowerShell/Bash 脚本。

将脚本上传到库后,使用 run 命令运行脚本。

如果计划在会话中使用未签名的 PowerShell 脚本,则需要在 “高级功能设置 ”页中启用此设置。

警告

允许使用未签名的脚本可能会增加受到威胁的风险。

应用命令参数

  • 查看控制台帮助,了解命令参数。 若要了解单个命令,请运行:

    help <command name>
    
  • 将参数应用于命令时,请注意,参数的处理顺序是固定的:

    <command name> param1 param2
    
  • 指定固定顺序之外的参数时,请在提供值之前使用连字符指定参数的名称:

    <command name> -param2_name param2
    
  • 使用具有先决条件命令的命令时,可以使用标志:

    <command name> -type file -id <file path> - auto
    

    remediate file <file path> - auto`
    

支持的输出类型

实时响应支持表和 JSON 格式输出类型。 对于每个命令,都有一个默认的输出行为。 可以使用以下命令以首选输出格式修改输出:

  • -output json
  • -output table

注意

由于空间有限,以表格式显示的字段较少。 若要在输出中查看更多详细信息,可以使用 JSON 输出命令,以便显示更多详细信息。

支持的输出管道

实时响应支持将输出管道连接到 CLI 和文件。 CLI 是默认输出行为。 可以使用以下命令通过管道将输出传递给文件: [command] > [filename].txt

示例:

processes > output.txt

查看命令日志

选择“ 命令日志 ”选项卡以查看会话期间在设备上使用的命令。 每个命令都跟踪完整详细信息,例如:

  • ID
  • 命令行
  • 持续时间
  • 状态和输入或输出侧栏

限制

  • 实时响应会话一次限制为 25 个实时响应会话。
  • 实时响应会话非活动超时值为 30 分钟。
  • 单个实时响应命令的时间限制为 10 分钟,但 getfilefindfilerun除外,其限制为 30 分钟。
  • 用户最多可以启动 10 个并发会话。
  • 一个设备一次只能处于一个会话中。
  • 以下文件大小限制适用:
    • getfile 限制:3 GB
    • fileinfo 限制:30 GB
    • library 限制:250 MB

相关文章

提示

想要了解更多信息? Engage技术社区中的Microsoft安全社区:Microsoft Defender for Endpoint技术社区