使用实时响应调查设备上的实体
适用于:
希望体验 Defender for Endpoint? 注册免费试用版。
实时响应允许安全运营团队使用远程 shell 连接即时访问设备 (也称为计算机) 。 实时响应使你能够进行深入的调查工作,并立即采取响应操作,以及时实时包含已识别的威胁。
实时响应旨在通过使安全运营团队能够收集取证数据、运行脚本、发送可疑实体进行分析、修正威胁以及主动搜寻新出现的威胁来增强调查。
通过实时响应,分析师可以执行以下所有任务:
- 运行基本和高级命令以在设备上执行调查工作。
- 下载文件,例如恶意软件示例和 PowerShell 脚本的结果。
- 在后台下载文件 (new!) 。
- 将 PowerShell 脚本或可执行文件上传到库,并从租户级别在设备上运行它。
- 执行或撤消修正操作。
开始之前
在设备上启动会话之前,请确保满足以下要求:
验证你运行的是受支持的 Windows 版本。
设备必须运行以下 Windows 版本之一
Windows 10 & 11
macOS - 最低要求版本:101.43.84。 支持基于 Intel 和基于 ARM 的 macOS 设备。
Linux - 最低要求版本:101.45.13
Windows Server 2012 R2 - 具有KB5005292
Windows Server 2016 - 具有KB5005292
注意
对于 Windows Server 2012R2 或 2016,必须安装统一代理,并且建议使用 KB5005292 修补到最新的传感器版本。
Windows Server 2019
- 版本 1903 或 (KB4515384) 更高版本
- 具有 KB4537818) 的版本 1809 (
Windows Server 2022
从高级设置页启用实时响应。
需要在 “高级功能设置 ”页中启用实时响应功能。
注意
只有具有“管理门户设置”权限的管理员和用户才能启用实时响应。
从高级设置页为服务器启用实时响应 , (建议) 。
注意
只有具有“管理门户设置”权限的管理员和用户才能启用实时响应。
(可选) 启用实时响应未签名脚本执行。
重要
签名验证仅适用于 PowerShell 脚本。
警告
允许使用未签名的脚本可能会增加受到威胁的风险。
不建议运行未签名的脚本,因为这会增加受到威胁的风险。 但是,如果必须使用它们,则需要在 “高级功能设置 ”页中启用设置。
确保具有适当的权限。
只有预配了相应权限的用户才能启动会话。 有关角色分配的详细信息,请参阅 创建和管理角色。
重要
将文件上传到库的选项仅适用于具有“管理安全设置”权限的用户。 对于仅具有委派权限的用户,该按钮灰显。
根据授予的角色,可以运行基本或高级实时响应命令。 用户权限由 RBAC 自定义角色控制。
实时响应仪表板概述
在设备上启动实时响应会话时,将打开仪表板。 仪表板提供有关会话的信息,如下所示:
- 会话的创建者
- 会话启动时间
- 会话的持续时间
仪表板还允许你访问:
- 断开会话连接
- 将文件上传到库
- 命令控制台
- 命令日志
在设备上启动实时响应会话
注意
从“设备”页启动的实时响应操作在 machineactions API 中不可用。
登录到Microsoft Defender门户。
导航到 “终结点”“ > 设备清单 ”,然后选择要调查的设备。 此时会打开“设备”页。
通过选择“启动实时响应会话”启动 实时响应会话。 将显示命令控制台。 等待会话连接到设备。
使用内置命令执行调查工作。 有关详细信息,请参阅 实时响应命令。
完成调查后,选择“ 断开连接会话”,然后选择“ 确认”。
实时响应命令
根据授予的角色,可以运行基本或高级实时响应命令。 用户权限由 RBAC 自定义角色控制。 有关角色分配的详细信息,请参阅 创建和管理角色。
注意
实时响应是基于云的交互式 shell,因此,特定的命令体验在响应时间上可能会有所不同,具体取决于最终用户和目标设备之间的网络质量和系统负载。
基本命令
以下命令适用于被授予运行 基本 实时响应命令功能的用户角色。 有关角色分配的详细信息,请参阅 创建和管理角色。
| 命令 | 说明 | Windows 和 Windows Server | macOS | Linux |
|---|---|---|---|---|
cd |
更改当前目录。 | Y | Y | Y |
cls |
清除主机屏幕。 | Y | Y | Y |
connect |
启动与设备的实时响应会话。 | Y | Y | Y |
connections |
显示所有活动连接。 | Y | N | N |
dir |
显示目录中的文件和子目录的列表。 | Y | Y | Y |
drivers |
显示设备上安装的所有驱动程序。 | Y | N | N |
fg <command ID> |
将指定的作业置于前台,使其成为当前作业。 请注意, fg 获取 command ID 作业中可用的,而不是 PID。 |
Y | Y | Y |
fileinfo |
获取有关文件的信息。 | Y | Y | Y |
findfile |
在设备上按给定名称查找文件。 | Y | Y | Y |
getfile <file_path> |
下载文件。 | Y | Y | Y |
help |
提供实时响应命令的帮助信息。 | Y | Y | Y |
jobs |
显示当前正在运行的作业及其 ID 和状态。 | Y | Y | Y |
persistence |
显示设备上所有已知的持久性方法。 | Y | N | N |
processes |
显示设备上运行的所有进程。 | Y | Y | Y |
registry |
显示注册表值。 | Y | N | N |
scheduledtasks |
显示设备上的所有计划任务。 | Y | N | N |
services |
显示设备上的所有服务。 | Y | N | N |
startupfolders |
显示设备上的启动文件夹中的所有已知文件。 | Y | N | N |
status |
显示特定命令的状态和输出。 | Y | Y | Y |
trace |
设置要调试的终端日志记录模式。 | Y | Y | Y |
高级命令
以下命令适用于有权运行 高级 实时响应命令的用户角色。 有关角色分配的详细信息,请参阅 创建和管理角色。
| 命令 | 说明 | Windows 和 Windows Server | macOS | Linux |
|---|---|---|---|---|
analyze |
分析具有各种指控引擎的实体,以得出判决。 | Y | N | N |
collect |
从设备收集取证包。 | N | Y | Y |
isolate |
断开设备与网络的连接,同时保留与 Defender for Endpoint 服务的连接。 | N | Y | N |
release |
从网络隔离中释放设备。 | N | Y | N |
run |
从设备上的库运行 PowerShell 脚本。 | Y | Y | Y |
library |
Lists上传到实时响应库的文件。 | Y | Y | Y |
putfile |
将库中的文件放入设备。 文件保存在工作文件夹中,并在设备重启时默认删除。 | Y | Y | Y |
remediate |
修正设备上的实体。 修正操作因实体类型而异: - 文件:删除 - 进程:停止、删除图像文件 - 服务:停止、删除映像文件 - 注册表项:删除 - 计划任务:删除 - 启动文件夹项:删除文件 此命令具有先决条件命令。 可以将 -auto 命令与修正结合使用,以自动运行先决条件命令。 |
Y | Y | Y |
scan |
运行快速防病毒扫描以帮助识别和修正恶意软件。 | N | Y | Y |
undo |
还原已修正的实体。 | Y | N | N |
注意
以下文件大小限制适用于 putfile 实时响应命令:
- Windows:300 MB
- 其他平台:10 MB
使用实时响应命令
可在控制台中使用的命令遵循与 Windows 命令类似的原则。
高级命令提供了一组更可靠的操作,使你能够执行更强大的操作,例如下载和上传文件、在设备上运行脚本以及对实体执行修正操作。
从设备获取文件
对于想要从正在调查的设备获取文件的情况,可以使用 getfile 命令。 这允许你保存设备中的文件以供进一步调查。
注意
以下文件大小限制适用:
-
getfile限制:3 GB -
fileinfo限制:30 GB -
library限制:250 MB
在后台下载文件
为了使安全运营团队能够继续调查受影响的设备,现在可以在后台下载文件。
- 若要在后台下载文件,请在实时响应命令控制台中键入
download <file_path> &。 - 如果正在等待下载文件,可以使用 Ctrl + Z 将其移动到后台。
- 若要将文件下载带到前台,请在实时响应命令控制台中键入
fg <command_id>。
下面是一些示例:
| 命令 | 功能 |
|---|---|
getfile "C:\windows\some_file.exe" & |
开始在后台下载名为 some_file.exe 的文件。 |
fg 1234 |
将命令 ID 为 1234 的下载返回到前台。 |
将文件放入库中
实时响应具有一个库,可在其中放置文件。 库存储可在租户级别的实时响应会话中运行的文件 (,例如脚本) 。
实时响应允许运行 PowerShell 和 Bash 脚本;但是,必须先将文件放入库中,然后才能运行它们。
可以拥有一组 PowerShell 和 Bash 脚本,这些脚本可以在启动实时响应会话的设备上运行。
在库中上传文件
单击“ 将文件上传到库”。
单击“ 浏览 ”并选择文件。
提供简要说明。
指定是否要覆盖同名的文件。
如果需要,请知道脚本需要哪些参数,请选择“脚本参数”框检查。 在文本字段中,输入示例和说明。
单击“ 确认”。
(可选) 若要验证文件是否已上传到库,请
library运行 命令。
取消命令
在会话期间,可以随时通过按 CTRL + C 取消命令。
警告
使用此快捷方式不会停止代理端的命令。 它只会在门户中取消命令。 因此,更改操作(如“修正”)可能会继续,同时取消命令。
运行脚本
必须先将其上传到库,然后才能运行 PowerShell/Bash 脚本。
将脚本上传到库后,使用 run 命令运行脚本。
如果计划在会话中使用未签名的 PowerShell 脚本,则需要在 “高级功能设置 ”页中启用此设置。
警告
允许使用未签名的脚本可能会增加受到威胁的风险。
应用命令参数
查看控制台帮助,了解命令参数。 若要了解单个命令,请运行:
help <command name>将参数应用于命令时,请注意,参数的处理顺序是固定的:
<command name> param1 param2指定固定顺序之外的参数时,请在提供值之前使用连字符指定参数的名称:
<command name> -param2_name param2使用具有先决条件命令的命令时,可以使用标志:
<command name> -type file -id <file path> - auto或
remediate file <file path> - auto`
支持的输出类型
实时响应支持表和 JSON 格式输出类型。 对于每个命令,都有一个默认的输出行为。 可以使用以下命令以首选输出格式修改输出:
-output json-output table
注意
由于空间有限,以表格式显示的字段较少。 若要在输出中查看更多详细信息,可以使用 JSON 输出命令,以便显示更多详细信息。
支持的输出管道
实时响应支持将输出管道连接到 CLI 和文件。 CLI 是默认输出行为。 可以使用以下命令通过管道将输出传递给文件: [command] > [filename].txt。
示例:
processes > output.txt
查看命令日志
选择“ 命令日志 ”选项卡以查看会话期间在设备上使用的命令。 每个命令都跟踪完整详细信息,例如:
- ID
- 命令行
- 持续时间
- 状态和输入或输出侧栏
限制
- 实时响应会话一次限制为 25 个实时响应会话。
- 实时响应会话非活动超时值为 30 分钟。
- 单个实时响应命令的时间限制为 10 分钟,但
getfile、findfile和run除外,其限制为 30 分钟。 - 用户最多可以启动 10 个并发会话。
- 一个设备一次只能处于一个会话中。
- 以下文件大小限制适用:
-
getfile限制:3 GB -
fileinfo限制:30 GB -
library限制:250 MB
-
相关文章
提示
想要了解更多信息? Engage技术社区中的Microsoft安全社区:Microsoft Defender for Endpoint技术社区。