起始即時回應工作階段

12 分鐘

即時回應提供安全性作業小組可以使用遠端殼層連線來立即存取裝置。即時回應可讓您進行深入調查並採取立即回應動作來即時包含已識別的威脅。

即時回應的設計旨在要讓您的安全性作業小組能夠收集鑑識資料、執行指令碼、傳送可疑的實體以進行分析、修復威脅，以及主動搜捕新興的威脅，藉此增強調查。

透過即時回應，分析師可以執行下列所有工作：

執行基本和進階命令，以在裝置上執行調查工作。
下載檔案，例如惡意程式碼範例和 PowerShell 指令碼的結果。
在背景中下載檔案 (新增功能！)。
將 PowerShell 指令碼或可執行檔上傳至程式庫，並在裝置上從租用戶層級執行此指令碼或可執行檔。
採取或復原修復動作。

必要條件

在您可以在裝置上啟動工作階段之前，請確定您已滿足下列需求：

確認您正在執行支援的 Windows 10 或更新版本

從 [設定] 頁面啟用即時回應。您必須在 [進階功能設定] 頁面中啟用即時回應功能。

只有具備「管理安全性」或「全域管理員」角色的使用者才能編輯這些設定。

確定裝置已獲指派自動化修復層級

您至少必須為指定的裝置群組啟用最低修復層級。否則，您無法建立該群組成員的即時回應工作階段。

啟用即時回應未簽署的指令碼執行 (選用)

允許使用未簽署的指令碼，可能會增加您暴露於威脅的風險。不建議執行未簽署的指令碼，因為可能會增加您暴露於威脅的風險。不過，如果您必須使用它們，則必須啟用 [進階功能設定] 頁面中的設定。

確定您具有適當的權限

只有已使用適當權限佈建的使用者才能起始工作階段。將檔案上傳至程式庫的選項僅適用於具有適當角色型存取控制(RBAC) 權限的使用者。對於只有委派權限的使用者，按鈕會呈現灰色。根據授與您的角色，您可以執行基本或進階即時回應命令。使用者的權限是由 RBAC 自訂角色所控制。

即時回應儀表板概觀

當您在裝置上起始即時回應工作階段時，儀表板即會開啟。儀表板提供工作階段的相關資訊如下：

誰建立了工作階段
何時啟動了工作階段
工作階段的持續時間

儀表板也可讓您：

中斷工作階段的連線
將檔案上傳至程式庫
存取命令主控台
存取命令記錄檔

存取即時回應命令

根據授與您的角色，您可以執行基本或進階即時回應命令。使用者權限是由 RBAC 自訂角色所控制。即時回應是雲端式互動式殼層。因此，特定的命令體驗可能會有不同回應時間，取決於網路品質，以及使用者與目標裝置之間的系統負載。

基本命令

下列命令適用於授與執行基本即時回應命令能力的使用者角色。

Command	描述
[cd]	變更目前的目錄。
[cls]	清除主控台畫面。
[connect]	啟動裝置的即時回應工作階段。
[connections]	顯示所有作用中的連線。
[dir]	顯示目錄中的檔案及子目錄清單。
[getfile] <file_path>	在背景下載檔案。
[drivers]	顯示裝置上安裝的所有驅動程式。
[fg] <command ID>	讓檔案下載回到前景。
[fileinfo]	取得檔案的相關資訊。
[findfile]	在裝置上依指定的名稱尋找檔案。
[help]	提供即時回應命令的說明資訊。
[persistence]	顯示裝置上所有已知的持續性方法。
[processes]	顯示在裝置上執行的所有流程。
[registry]	顯示登錄值。
[scheduledtasks]	顯示裝置上的所有排程工作。
[services]	顯示裝置上的所有服務。
[trace]	將終端機的記錄模式設定為偵錯。

進階命令

下列命令適用於授與執行進階即時回應命令能力的使用者角色。

Command	描述
analyze	使用各種入罪引擎來分析實體以得出結論。
getfile	從裝置中取得檔案。此命令具有先決命令。您可以使用 -auto 命令搭配 getfile，自動執行先決命令。
run	從裝置上的程式庫執行 PowerShell 指令碼。
程式庫	列出已上傳至即時回應程式庫的檔案。
putfile	將檔案從程式庫放至裝置。檔案會儲存在工作資料夾中，且預設為在裝置重新啟動時刪除。
remediate	修復裝置上的實體。修復動作會根據實體類型而有所不同。此命令具有先決命令。您可以使用 -auto 命令搭配 remediate，自動執行先決命令。
復原	還原已修復的實體。

使用即時回應命令

您可以在主控台中使用的命令遵循與 Windows 命令類似的原則。進階命令提供擴充功能，可讓您採取更強大的動作。進階動作包括下載或上傳檔案、在裝置上執行指令碼，以及在實體上採取修復動作。

從裝置中取得檔案

如果想要從正在調查的裝置中取得檔案，您可以使用 [getfile] 命令。 [getfile] 命令可讓您從裝置儲存檔案，以供進一步調查。

套用下列檔案大小限制：

getfile 限制：3 GB
fileinfo 限制：10 GB
library 限制：250 MB

在背景下載檔案

為了讓您的安全性作業小組能夠繼續調查受影響的裝置，現在可以在背景中下載檔案。

若要在背景中下載檔案，請在即時回應命令主控台中，輸入 getfile <file_path>。
如果正在等候下載檔案，您可以使用 Ctrl + Z 將其移到背景。
若要將檔案下載帶到前景，請在即時回應命令主控台中，輸入 fg <command_id>。

以下列出一些範例：

Command	作用
getfile "C:\windows\some_file.exe"	開始在背景中下載名為 some_file.exe 的檔案。
fg 1234	讓命令識別碼為 1234 的下載回到前景。

將檔案放入程式庫中

即時回應具有您可將檔案放入其中的程式庫。程式庫會儲存檔案 (例如指令碼)，這些檔案可以在租用戶層級的即時回應工作階段中執行。即時回應允許 PowerShell 指令碼執行。不過，您必須先將檔案放入程式庫中，才能執行這些檔案。您可以具有 PowerShell 指令碼的集合，而這些指令碼可在您起始即時回應工作階段所用的裝置上執行。

若要上傳程式庫中的檔案：

選取 [將檔案上傳至程式庫]。
選取 [瀏覽] 並選取檔案。
提供簡短描述。
指定您是否想要覆寫名稱相同的檔案。
如果想要，請了解指令碼需要哪些參數，並選取指令碼參數核取方塊。在文字欄位中，輸入範例和描述。
選取確認。
(選用) 若要驗證檔案是否已上傳至程式庫，請執行 library 命令。

取消命令

在工作階段期間，您可以隨時按下 CTRL + C 來取消命令。

自動執行先決命令

有些命令具有要執行的先決命令。如果您未執行先決命令，將會收到錯誤。例如，在沒有 fileinfo 的情況下執行 download 命令，將會傳回錯誤。您可以使用 auto 旗標，自動執行先決命令，例如：

getfile c:\Users\user\Desktop\work.txt -auto

執行 PowerShell 指令碼

在可以執行 PowerShell 指令碼之前，必須先將其上傳至程式庫。將指令碼上傳至程式庫之後，請使用 run 命令來執行指令碼。如果您打算在工作階段中使用未簽署的指令碼，則必須啟用 [進階功能設定] 頁面中的設定。

套用命令參數

檢視主控台說明，以了解命令參數。若要了解個別命令，請執行：

help <command name>

將參數套用至命令時，會根據固定順序處理參數：

<command name> param1 param2

當指定固定順序以外的參數時，請先指定具有連字號的參數名稱，再提供其值：

<command name> -param2_name param2

使用具有先決命令的命令時，您可以使用旗標：

<command name> -type file -id <file path> - auto or remediate file <file path> - auto.

支援的輸出類型

即時回應支援資料表和 JSON 格式的輸出類型。每個命令都有一個預設輸出行為。您可以使用下列命令，以偏好的輸出格式來修改輸出：

-output json
-output table

支援的輸出管道

即時回應支援透過管道將輸出傳送至 CLI 和檔案。 CLI 是預設的輸出行為。您可以使用下列命令，透過管道將輸出傳送至檔案：[command] > [filename].txt。

檢視命令記錄

選取 [命令記錄] 索引標籤，以查看在工作階段期間用於裝置的命令。系統會追蹤每個命令，並提供完整的詳細資料，例如：

識別碼
命令列
期間
狀態和輸入或輸出提要欄位

命令範例

下一個命令是示範使用即時回應命令的範例。

分析

# Analyze the file malware.txt

analyze file c:\Users\user\Desktop\malware.txt

# Analyze the process by PID

analyze process 1234

限制

即時回應具有下列限制：

即時回應工作階段限制為一次 10 個即時回應工作階段。
不支援大規模命令執行。
即時回應工作階段的非使用中逾時值為 5 分鐘。
使用者一次只能起始一個工作階段。
裝置一次只能在一個工作階段中。
套用下列檔案大小限制：
- getfile 限制：3 GB
- fileinfo 限制：10 GB
- library 限制：250 MB