即時回應可讓安全營運團隊使用遠端殼層連線即時存取裝置 (也稱為機器) 。 即時回應使您能夠進行深入的調查工作並立即採取回應行動,以即時遏制已識別的威脅。
即時回應旨在讓您的安全性作業小組能夠收集取證資料、執行腳本、傳送可疑實體進行分析、補救威脅,以及主動搜捕新興威脅,以增強調查。
透過即時回應,分析師可以執行下列所有工作:
- 執行基本和進階命令,以在裝置上執行調查工作。
- 下載惡意代碼範例和 PowerShell 腳本結果等檔案。
- 在後台下載文件 (新的!) 。
- 將 PowerShell 腳本或可執行檔上傳至程式庫,並從租用戶層級在裝置上執行它。
- 採取或復原補救動作。
必要條件
裝置必須執行下列其中一個版本的 Windows
支援的作業系統
Windows 10 & 11
- 版本 1909 或更新版本
- 版本 1903 與 KB4515384
- 版本 1809 (RS 5) ,帶 KB4537818
- 版本 1803 (RS 4) ,帶 KB4537795
- 版本 1709 (RS 3) ,帶 KB4537816
macOS- 最低所需版本:
101.43.84。 支援基於 Intel 和基於 ARM 的 macOS 裝置。Linux - 最低必要版本:
101.45.13Windows Server 2012 R2 - 帶KB5005292
Windows Server 2016 - 帶KB5005292
注意事項
對於 Windows Server 2012 R2 或 Windows Server 2016,您必須安裝統一代理程式,建議修補至具有KB5005292的最新感應器版本。 由於靜態 Proxy,使用簡化方法上線的離線下層伺服器,即時回應無法如預期般運作。 請考慮改用系統 Proxy。
Windows Server 2019
Windows Server 2022 和更新版本
Azure Stack HCI OS 版本 23H2 和更新版本
從進階設定頁面啟用即時回應。
您需要在 進階功能設定 頁面中啟用即時回應功能。
注意事項
只有具有「管理入口網站設定」權限的管理員和使用者才能啟用即時回應。
從進階設定頁面啟用伺服器的即時回應 ( 建議的) 。
注意事項
只有具有「管理入口網站設定」權限的管理員和使用者才能啟用即時回應。
啟用即時回應未簽署的指令碼執行 (選用) 。
重要事項
簽章驗證僅適用於 PowerShell 腳本。
警告
允許使用未簽署的腳本可能會增加您面臨威脅的風險。
不建議執行未簽署的腳本,因為它會增加您面臨威脅的風險。 但是,如果您必須使用它們,則需要在 進階功能設定 頁面中啟用該設定。
確保您擁有適當的權限。
只有佈建了適當權限的使用者才能起始工作階段。 如需角色指派的詳細資訊,請參閱 建立和管理角色。
重要事項
將檔案上傳至程式庫的選項僅適用於具有「管理安全性設定」權限的使用者。 對於僅具有委派權限的使用者,該按鈕會顯示為灰色。
根據已授與您的角色,您可以執行基本或進階即時回應命令。 使用者權限由 RBAC 自訂角色控制。
即時回應儀表板概觀
當您在裝置上啟動即時回應工作階段時,儀表板會開啟。 儀表板提供工作階段的相關資訊,例如:
- 誰建立了工作階段
- 工作階段開始時
- 會話的持續時間
儀表板還允許您訪問:
- 中斷連線工作階段
- 將檔案上傳至文件庫
- 指令主控台
- 命令記錄
在裝置上起始即時回應工作階段
注意事項
從「裝置」頁面起始的即時回應動作在 MachineActions API 中不可用。
導航到 端點裝置>清單 ,然後選擇要調查的裝置。 裝置頁面隨即開啟。
選取 [啟動即時回應工作階段] 來啟動即時回應工作階段。 隨即顯示指令主控台。 等待工作階段連線到裝置。
使用內建指令來執行調查工作。 如需詳細資訊,請參閱 即時回應命令。
完成調查之後,請選取 [中斷連線工作階段],然後選取 [確認]。
即時回應命令
根據已授與您的角色,您可以執行基本或進階即時回應命令。 使用者權限由 RBAC 自訂角色控制。 如需角色指派的詳細資訊,請參閱 建立和管理角色。
注意事項
即時回應是雲端式互動式 Shell,因此,特定命令體驗的回應時間可能會有所不同,具體取決於網路品質和終端使用者與目標裝置之間的系統負載。
基本指令
下列命令適用於被授與執行 基本 即時回應命令能力的使用者角色。 如需角色指派的詳細資訊,請參閱 建立和管理角色。
| 命令 | 描述 | Windows 和 Windows Server | macOS | Linux |
|---|---|---|---|---|
cd |
變更目前的目錄。 | Y | Y | Y |
cls |
清除控制台畫面。 | Y | Y | Y |
connect |
起始對裝置的即時回應工作階段。 | Y | Y | Y |
connections |
顯示所有作用中的連線。 | Y | N | N |
dir |
顯示目錄中的檔案和子目錄清單。 | Y | Y | Y |
drivers |
顯示裝置上安裝的所有驅動程式。 | Y | N | N |
fg <command ID> |
將指定的工作放在前景,使其成為目前的工作。 請注意,從 fg 工作中獲取 command ID 可用,而不是 PID。 |
Y | Y | Y |
fileinfo |
取得檔案的相關資訊。 | Y | Y | Y |
findfile |
在裝置上依指定名稱尋找檔案。 | Y | Y | Y |
getfile <file_path> |
下載檔案。 | Y | Y | Y |
help |
提供即時回應命令的說明資訊。 | Y | Y | Y |
jobs |
顯示目前執行中的工作、其 ID 和狀態。 | Y | Y | Y |
persistence |
顯示裝置上所有已知的持續性方法。 | Y | N | N |
processes |
顯示裝置上執行的所有進程。 | Y | Y | Y |
registry |
顯示登錄值。 | Y | N | N |
scheduledtasks |
顯示裝置上的所有排程任務。 | Y | N | N |
services |
顯示裝置上的所有服務。 | Y | N | N |
startupfolders |
顯示裝置上啟動資料夾中的所有已知檔案。 | Y | N | N |
status |
顯示特定命令的狀態和輸出。 | Y | Y | Y |
trace |
將終端機的日誌記錄模式設定為偵錯。 | Y | Y | Y |
進階命令
下列命令適用於被授與執行 進階 即時回應命令能力的使用者角色。 如需角色指派的詳細資訊,請參閱 建立和管理角色。
| 命令 | 描述 | Windows 和 Windows Server | macOS | Linux |
|---|---|---|---|---|
analyze |
使用各種定罪引擎分析實體以做出判決。 | Y | N | N |
collect |
從裝置收集鑑識套件。 | N | Y | Y |
isolate |
中斷裝置與網路的連線,同時保留適用於端點的 Defender 服務的連線。 | N | Y | N |
release |
將裝置從網路隔離中釋放出來。 | N | Y | N |
run |
從裝置上的程式庫執行 PowerShell 腳本。 | Y | Y | Y |
library |
清單已上傳至即時回應程式庫的檔案。 | Y | Y | Y |
putfile |
將檔案從文件庫放入裝置。 檔案儲存在工作資料夾中,預設會在裝置重新啟動時刪除。 | Y | Y | Y |
remediate |
修復裝置上的實體。 補救動作會因實體類型而異: - 檔案:刪除 - 過程:停止、刪除圖像文件 - 服務:停止、刪除圖像文件 - 登錄項目: 刪除 - 排程任務:移除 - 啟動資料夾項目:刪除檔案 此命令具有先決條件命令。 您可以將命令 -auto 與修復結合使用,以自動執行先決條件命令。 |
Y | Y | Y |
scan |
執行快速防毒掃描,以協助識別和修復惡意軟體。 | N | Y | Y |
undo |
還原已補救的實體。 | Y | N | N |
注意事項
下列檔案大小限制 putfile 適用於即時回應命令:
- 視窗:300 MB
- 其他平台:10 MB
使用即時回應命令
您可以在主控台中使用的命令遵循與 Windows 命令類似的原則。
進階命令提供一組更強大的動作,可讓您採取更強大的動作,例如下載和上傳檔案、在裝置上執行指令碼,以及對實體採取補救動作。
從裝置取得檔案
如果您想要從正在調查的裝置取得檔案,您可以使用命令 getfile 。 這允許您從設備保存文件以供進一步調查。
注意事項
適用下列檔案大小限制:
-
getfile限制:3 GB -
fileinfo限制:30 GB -
library限制:250 MB
在背景下載檔案
為了讓您的安全營運團隊能夠繼續調查受影響的裝置,現在可以在背景下載檔案。
- 若要在背景下載檔案,請在即時回應命令主控台中鍵入
download <file_path> &。 - 如果您正在等待文件下載,您可以使用 Ctrl + Z 將其移動到背景。
- 若要將檔案下載帶到前景,請在即時回應指令主控台中鍵入
fg <command_id>。
範例如下:
| 命令 | 功能 |
|---|---|
getfile "C:\windows\some_file.exe" & |
開始在背景下載名為 some_file.exe 的檔案。 |
fg 1234 |
將命令 ID 為 1234 的下載傳回至前景。 |
將檔案放入程式庫
即時回應有一個庫,您可以在其中放入檔案。 程式庫會儲存檔案 (,例如可在租用戶層級的即時回應會話中執行的指令碼) 。
即時回應可讓 PowerShell 和 Bash 腳本執行;不過,您必須先將檔案放入程式庫中,才能執行它們。
您可以擁有一系列 PowerShell 和 Bash 腳本,這些腳本可以在您起始即時回應會話的裝置上執行。
上傳文件庫中的檔案
注意事項
可以上傳到庫的字元有限制。 使用英數字元和一些符號, (具體來說是 -、 或 _) . 。
選取 [將檔案上傳至文件庫]。
選取 [瀏覽] ,然後選取檔案。
提供簡短的描述。
指定是否要覆寫具有相同名稱的檔案。
如果您想要,請知道指令碼需要哪些參數,請選取指令碼參數核取方塊。 在文字欄位中,輸入範例和描述。
選取 [確認]。
(選用) 若要確認檔案已上傳至程式庫,請執行命令
library。
取消命令
在會話期間的任何時候,您可以按 CTRL + C 來取消命令。
警告
使用此快捷方式不會停止代理端的命令。 它只會取消 Microsoft Defender 入口網站中的命令。 因此,即使命令已取消,「補救」等變更作業仍可能繼續。
執行指令碼
您必須先將它上傳至程式庫,才能執行 PowerShell/Bash 腳本。
將指令碼上傳至程式庫之後,請使用指令 run 來執行指令碼。
如果您打算在會話中使用未簽署的 PowerShell 腳本,您必須在 [ 進階功能設定 ] 頁面中啟用設定。
警告
允許使用未簽署的腳本可能會增加您面臨威脅的風險。
套用指令參數
檢視主控台說明以瞭解命令參數。 若要瞭解個別命令,請執行:
help <command name>將參數套用至指令時,請注意,參數是根據固定順序來處理的:
<command name> param1 param2指定固定順序之外的參數時,請先指定參數名稱,然後再提供值:
<command name> -param2_name param2使用具有必要條件命令的命令時,您可以使用旗標:
<command name> -type file -id <file path> - auto或
remediate file <file path> - auto`
支援的輸出類型
即時回應支援表格和 JSON 格式的輸出類型。 對於每個命令,都有預設的輸出行為。 您可以使用下列命令,以偏好的輸出格式修改輸出:
-output json-output table
注意事項
由於空間有限,以表格格式顯示的欄位較少。 若要在輸出中查看更多詳細資料,您可以使用 JSON 輸出命令,以便顯示更多詳細資料。
支援的輸出管道
即時回應支援輸出管道至 CLI 和檔案。 CLI 是預設輸出行為。 您可以使用下列命令將輸出傳送至檔案: [command] > [filename].txt。
例如:
processes > output.txt
檢視命令記錄
選取 [命令記錄] 索引標籤,以查看工作階段期間裝置上使用的命令。 每個命令都會使用完整的詳細資料進行追蹤,例如:
- 識別碼
- 命令列
- 持續時間
- 狀態和輸入或輸出側邊列
限制
- 即時回應工作階段一次限制為 25 個即時回應工作階段。
- 即時回應階段作業非作用中逾時值為 30 分鐘。
- 個別即時回應指令的時間限制為 10 分鐘,
getfile但 、findfile及run除外,其限制為 30 分鐘。 - 使用者最多可以起始 10 個並行工作階段。
- 裝置一次只能在一個工作階段中。
- 適用下列檔案大小限制:
-
getfile限制:3 GB -
fileinfo限制:30 GB -
library限制:250 MB
-
相關文章
提示
想要深入了解? 在我們的技術社區中與Microsoft安全社區Engage:適用於端點的 Microsoft Defender技術社區。