启动实时响应会话
实时响应使安全运营团队可以使用远程 shell 连接即时访问设备。 实时响应使你能够执行深入的调查工作并立即采取响应操作,以及时地控制已识别的威胁。
实时响应旨在加强调查,方法是让安全运营团队能够收集取证数据、运行脚本、发送可疑实体以进行分析、修正威胁以及主动搜寻新出现的威胁。
借助实时响应,分析师可以完成以下所有任务:
运行基本和高级命令以在设备上进行调查工作。
下载文件,例如恶意软件示例和 PowerShell 脚本的结果。
在后台下载文件(新增任务!)。
将 PowerShell 脚本或可执行文件上传到库,然后在设备上从租户级别运行它。
采取或撤消修正操作。
先决条件
在设备上启动会话之前,请确保满足以下要求:
验证是否正在运行受支持的 Windows 10 或更高版本
在设置页中启用实时响应。 需要在“高级功能设置”页中启用实时响应功能。
只有具有管理安全性或全局管理员角色的用户才能编辑这些设置。
确保为设备分配了自动修正级别
至少需要为给定的设备组启用最低修正级别。 否则无法与该组的成员建立实时响应会话。
(可选)启用实时响应未签名的脚本执行
允许使用未签名的脚本可能会增加暴露在威胁中的风险。 不建议运行未签名的脚本,因为它可能会增加暴露在威胁中的风险。 但是,如果必须使用它们,则需要在“高级功能设置”页中启用该设置。
确保具有相应的权限
只有预配有相应权限的用户才能启动会话。 将文件上传到库的选项仅适用于具有相应基于角色的访问控制 (RBAC) 权限的用户。 对于仅具有委托的权限的用户,该按钮将灰显。 可以运行基本或高级实时响应命令,具体取决于所授予的角色。 用户的权限由 RBAC 自定义角色控制。
实时响应仪表板概述
在设备上启动实时响应会话时,会打开仪表板。 仪表板会提供有关会话的信息,如下所示:
会议创建者
会话开始时间
会话持续时间
通过仪表板,你还可以访问以下内容:
断开会话连接
将文件上传到库
命令控制台
命令日志
实时响应命令
可以运行基本或高级实时响应命令,具体取决于所授予的角色。 用户的权限由 RBAC 自定义角色控制。 实时响应是基于云的交互式 shell。 因此,特定的命令体验可能会在响应时间上有所不同,具体取决于网络质量以及最终用户与目标设备之间的系统负载。
基本命令
以下命令适用于授予有相应权限而可以运行基本实时响应命令的用户角色。
| 命令 | 说明 |
|---|---|
| [cd] | 更改当前目录。 |
| [cls] | 清除控制台屏幕。 |
| [connect] | 启动到设备的实时响应会话。 |
| [connections] | 显示所有活动连接。 |
| [dir] | 显示目录中的文件和子目录的列表。 |
| [getfile] <file_path> | 在后台下载文件。 |
| [drivers] | 显示设备上安装的所有驱动程序。 |
| [fg] <command ID> | 将文件下载返回到前台。 |
| [fileinfo] | 获取文件的相关信息。 |
| [findfile] | 在设备上按给定的名称查找文件。 |
| [help] | 提供实时响应命令的帮助信息。 |
| [persistence] | 显示设备上所有已知的暂留方法。 |
| [processes] | 显示设备上运行的所有进程。 |
| [registry] | 显示注册表值。 |
| [scheduledtasks] | 显示设备上所有的计划任务。 |
| [services] | 显示设备上的所有服务。 |
| [trace] | 将终端的日志记录模式设置为“调试”。 |
高级命令
以下命令适用于授予有相应权限而可以运行高级实时响应命令的用户角色。
| 命令 | 说明 |
|---|---|
| analyze | 使用各种归因引擎分析实体以得出结论。 |
| getfile | 从设备获取文件。 此命令具有一条必备命令。 可以将 -auto 命令与 getfile 一起使用,以自动运行该必备命令。 |
| run | 在设备上从库运行 PowerShell 脚本。 |
| 库 | 列出已上传到实时响应库的文件。 |
| putfile | 将库中的文件放入设备。 默认情况下,文件保存在工作文件夹中,并在设备重启后删除。 |
| remediate | 在设备上修正实体。 修正操作将因实体类型而异。 此命令具有一条必备命令。 可以将 -auto 命令与 remediate 一起使用,以自动运行该必备命令。 |
| 撤消 | 还原已修正的实体。 |
使用实时响应命令
在控制台中可使用的命令遵循与 Windows 命令类似的原则。 高级命令提供扩展功能,你可以用来执行功能更强大的操作。 高级操作包括下载或上传文件、在设备上运行脚本,以及对实体执行修正操作。
从设备获取文件
对于要从正在调查的设备获取文件的情况,可以使用 [getfile] 命令。 [getfile] 命令使你可以保存设备中的文件以进行进一步的调查。
以下文件大小限制适用:
getfile 限制:3 GB
fileinfo 限制:10 GB
library 限制:250 MB
在后台下载文件
为了让安全运营团队能够继续调查受影响的设备,现在可以在后台下载文件。
若要在后台下载文件,请在实时响应命令控制台中,键入 getfile <file_path>。
如果正在等待文件下载完毕,则可以使用 Ctrl + Z 将其移至后台。
若要将文件下载置于前台,请在实时响应命令控制台中,键入 fg command_id>。
下面是一些示例:
| 命令 | 作用 |
|---|---|
| getfile "C:\windows\some_file.exe" | 开始在后台下载名为 some_file.exe 的文件。 |
| fg 1234 | 将命令 ID 为 1234 的下载返回到前台。 |
将文件放入库中
实时响应拥有一个库,可在其中放入文件。 该库存储可在租户级别的实时响应会话中运行的文件(例如脚本)。 实时响应允许运行 PowerShell 脚本。 但是,必须先将文件放入库中,然后才能运行它们。 你可以拥有一个 PowerShell 脚本集合,这些脚本可以在启动实时响应会话的设备上运行。
若要将文件上传到库中,请执行以下操作:
选择“将文件上传到库中”。
选择“浏览”,然后选择文件。
提供简短描述。
指定是否要覆盖同名文件。
如果想要了解脚本所需的参数,请选中“脚本参数”复选框。 在文本字段中,输入示例和描述。
选择“确认”。
(可选)若要验证文件是否已上传到库中,请运行 library 命令。
取消命令
在会话期间,可以随时通过按 CTRL + C 取消命令。
自动运行必备命令
某些命令需要运行必备命令。 如果未运行相应的必备命令,则会收到一个错误。 例如,在未运行 fileinfo 的情况下运行 download 命令将返回错误。 可以使用 auto 标志自动运行必备命令,例如:
getfile c:\Users\user\Desktop\work.txt -auto
运行 PowerShell 脚本
在运行 PowerShell 脚本之前,必须先将其上传到库中。 将该脚本上传到库中后,使用 run 命令运行该脚本。 如果打算在会话中使用未签名的脚本,则需要在“高级功能设置”页中启用该设置。
应用命令参数
查看控制台帮助,以了解命令参数。 若要了解单个命令,请运行:
help <command name>
将参数应用于命令时,将根据固定顺序处理参数:
<command name> param1 param2
当指定非固定顺序的参数时,请在提供参数值之前指定带有连字符的参数名称:
<command name> -param2_name param2
使用具有必备命令的命令时,可以使用标志:
<command name> -type file -id <file path> - auto or remediate file <file path> - auto.
支持的输出类型
实时响应支持表和 JSON 格式的输出类型。 对于每个命令,都有一个默认的输出行为。 可以使用以下命令以首选的输出格式修改输出:
-output json
-output table
支持的输出管道
实时响应支持到 CLI 和文件的输出管道。 CLI 是默认的输出行为。 可以使用以下命令将输出通过管道传递给文件:[command] > [filename].txt。
查看命令日志
选择“命令日志”选项卡,以查看会话期间设备上使用的命令。 跟踪每个命令的完整详细信息,例如:
ID
命令行
持续时间
状态和输入或输出侧边栏
命令示例
以下命令是演示如何使用实时响应命令的示例。
分析
# Analyze the file malware.txt
analyze file c:\Users\user\Desktop\malware.txt
# Analyze the process by PID
analyze process 1234
限制
实时响应具有以下限制:
实时响应会话限制为一次最多 10 个实时响应会话。
不支持大规模的命令执行。
实时响应会话的停用时间值为 5 分钟。
用户一次只能启动一个会话。
设备一次只能进行一个会话。
以下文件大小限制适用:
Getfile 限制:3 GB
Fileinfo 限制:10 GB
Library 限制:250 MB