即時回應讓安全營運團隊能即時存取裝置 (也稱為機器) 透過遠端殼層連線。 即時應變讓您能進行深入調查,並立即採取行動,即時控制已識別的威脅。
即時回應旨在強化調查,讓您的安全運營團隊能收集鑑識資料、執行腳本、派遣可疑實體進行分析、修復威脅,並主動搜尋新興威脅。
透過即時回應,分析師可以執行以下所有任務:
- 執行基本和進階指令,在裝置上進行調查工作。
- 下載檔案,例如惡意軟體範例和 PowerShell 腳本的結果。
- 在背景下載檔案 (全新!) 。
- 把 PowerShell 腳本或執行檔上傳到函式庫,然後從租戶層級在裝置上執行。
- 採取或撤銷修復行動。
必要條件
裝置必須執行以下其中一個版本的 Windows
支援的作業系統
Windows 11
Windows 10:
- 版本為1909年或以後。
- 1903年版本 ,附 有KB4515384。
- 1809 (RS 5) KB4537818。
- 1803 (RS 4) KB4537795。
- 1709 (RS 3 版本 ) KB4537816。
macOS:版本
101.43.84或更新版本。 支援基於 Intel 及 ARM 架構的 macOS 裝置。Linux:版本
101.45.13或更新版本。Windows Server 2022 或更新版本。
Windows Server 2019:
Windows Server 2016 與 Windows Server 2012 R2:
Azure Stack HCI OS: 版本 23H2 或更後。
其他要求
從進階設定頁面啟用即時回應:你需要在 進階功能設定 頁面啟用即時回應功能。
注意事項
只有擁有「管理入口網站設定」權限的管理員和使用者才能啟用即時回應。
請從進階設定頁面 (建議) 啟用伺服器即時回應 。
注意事項
只有擁有「管理入口網站設定」權限的管理員和使用者才能啟用即時回應。
啟用即時回應無簽名腳本執行 (可選) 。
重要事項
簽章驗證只適用於 PowerShell 腳本。
警告
允許使用未簽署腳本可能會增加你面臨威脅的風險。 如果你必須使用,你需要在 進階功能設定 頁面啟用該設定。
確保你擁有適當的權限:只有已設定適當權限的使用者才能啟動會話。 欲了解更多角色分配資訊,請參閱 建立與管理角色。
重要事項
上傳檔案到函式庫的選項僅提供給擁有「管理安全設定」權限的使用者。 這個按鈕對只有授權權限的使用者是灰色的。
根據你被賦予的角色,你可以執行基本或進階的即時回應指令。 使用者權限由 RBAC 自訂角色控制。
即時回應儀表板概述
當你在裝置上啟動即時回應會話時,儀表板會打開。 儀表板提供有關會話的資訊。 例如:
- 會議的創始人
- 遊戲開始時
- 會期長度
儀表板也會讓你存取會話中的動作。 例如:
- 斷線會話
- 上傳檔案至函式庫
- 指令主控台
- 指令日誌
在裝置上啟動即時回應會話
注意事項
從裝置頁面發起的即時回應動作,在 MachineActions API 中無法取得。
進入 端點>裝置清單 ,選擇要調查的裝置。 裝置頁面打開。
選擇「 啟動即時回應會話」啟動即時回應會話。 畫面會顯示指揮控制台。 等會話連接到裝置時再等。
使用內建指令進行調查工作。 欲了解更多資訊,請參閱 即時回應指令。
完成調查後,選擇 斷開連線會話,然後選擇 確認。
即時回應指令
根據你被賦予的角色,你可以執行基本或進階的即時回應指令。 使用者權限由 RBAC 自訂角色控制。 欲了解更多角色分配資訊,請參閱 建立與管理角色。
注意事項
即時回應是一個基於雲端的互動殼殼,因此特定的指令回應時間可能會因網路品質及終端使用者與目標裝置間的系統負載而有所不同。
基本指令
以下指令適用於被賦予執行 基本 即時回應指令能力的使用者角色。 欲了解更多角色分配資訊,請參閱 建立與管理角色。
| 命令 | 描述 | Windows 與 Windows Server | macOS | Linux |
|---|---|---|---|---|
cd |
更改目前的目錄。 | Y | Y | Y |
cls |
清除了主控台畫面。 | Y | Y | Y |
connect |
會對裝置發起即時回應會話。 | Y | Y | Y |
connections |
顯示所有活躍連線。 | Y | N | N |
dir |
顯示目錄中檔案和子目錄的清單。 | Y | Y | Y |
drivers |
顯示裝置上所有已安裝的驅動程式。 | Y | N | N |
fg <command ID> |
將指定的工作放在前景,讓它成為目前的工作。
fg 這是從工作中取得 command ID 的可聘通知,不是PID。 |
Y | Y | Y |
fileinfo |
取得檔案資訊。 | Y | Y | Y |
findfile |
透過裝置上的名稱定位檔案。 | Y | Y | Y |
getfile <file_path> |
下載檔案。 | Y | Y | Y |
help |
提供即時回應指令的協助資訊。 | Y | Y | Y |
jobs |
顯示目前執行的工作、ID(身份識別碼)和狀態。 | Y | Y | Y |
persistence |
顯示裝置上所有已知的持久化方法。 | Y | N | N |
processes |
顯示裝置上所有正在運行的程序。 | Y | Y | Y |
registry |
顯示登錄檔數值。 | Y | N | N |
scheduledtasks |
顯示裝置上所有排程任務。 | Y | N | N |
services |
顯示裝置上的所有服務。 | Y | N | N |
startupfolders |
裝置啟動資料夾中會顯示所有已知檔案。 | Y | N | N |
status |
顯示特定指令的狀態與輸出。 | Y | Y | Y |
trace |
將終端機的日誌模式設為除錯。 | Y | Y | Y |
進階指令
以下指令適用於被賦予執行 進階 即時回應指令能力的使用者角色。 欲了解更多角色分配資訊,請參閱 建立與管理角色。
| 命令 | 描述 | Windows 與 Windows Server | macOS | Linux |
|---|---|---|---|---|
analyze |
利用各種罪證機制分析該實體以達成結論。 | Y | N | N |
collect |
從裝置收集鑑識資料。 | N | Y | Y |
isolate |
將裝置與網路斷開,同時保留與 Defender for Endpoint 服務的連線。 | N | Y | N |
release |
解除裝置的網路隔離。 | N | Y | N |
run |
從裝置上的函式庫執行 PowerShell 腳本。 | Y | Y | Y |
library |
列出已上傳至即時回應函式庫的檔案。 | Y | Y | Y |
putfile |
它會把資料庫的檔案放到裝置上。 檔案會儲存在工作資料夾,裝置重啟時預設會被刪除。 | Y | Y | Y |
remediate |
修復裝置上的實體。 整治行動依實體類型而異:
此指令有先決指令。 你可以將這個 -auto 指令與 remediate 一起使用,自動執行前置指令。 |
Y | Y | Y |
scan |
執行快速防毒掃描,協助識別並修復惡意軟體。 | N | Y | Y |
undo |
恢復已修復的實體。 | Y | N | N |
注意事項
即時回應指令適用 putfile 以下檔案大小限制:
- Windows:300 MB
- 其他平台:10 MB
使用即時回應指令
你在主控台中可以使用的指令遵循與 Windows 指令相似的原則。
進階指令提供了更強大的操作,讓你能執行更強大的操作,例如下載與上傳檔案、在裝置上執行腳本,以及對實體進行修復。
從裝置取得檔案
當你想從調查的裝置取得檔案時,可以使用這個 getfile 指令。 這樣你就能從裝置中儲存檔案以便進一步調查。
注意事項
以下檔案大小限制適用:
-
getfile限制:3 GB -
fileinfo限制:30 GB -
library限制:250 MB
在背景下載檔案
為了讓您的安全運營團隊能持續調查受影響的裝置,現在可以在背景下載檔案。
- 要在背景下載檔案,在即時回應指令主控台輸入
download <file_path> &。 - 如果你正在等待檔案下載,可以用 Ctrl + Z 將它移到背景。
- 要將檔案下載移到前景,請在即時回應指令主控台輸入
fg <command_id>。
範例如下:
| 命令 | 功能 |
|---|---|
getfile "C:\windows\some_file.exe" & |
開始在背景下載一個名為 some_file.exe 的檔案。 |
fg 1234 |
將指令 ID 1234 的下載資料回傳到前景。 |
把檔案放進函式庫
Live Response 有一個函式庫可以放進去。 函式庫儲存檔案 (,例如腳本) ,可在租戶層級的即時回應會話中執行。
即時回應允許執行 PowerShell 與 Bash 腳本;不過,你必須先把檔案放進函式庫,才能執行它們。
你可以有一組 PowerShell 和 Bash 腳本,能在你啟動即時回應會話的裝置上執行。
在函式庫中上傳檔案
注意事項
對於可上傳到圖書館的角色有限制。 使用字母數字和一些符號, (特別 -_.) 、 或 。
選擇 「上傳檔案到圖書館」。
選擇 瀏覽 並選擇檔案。
請提供簡短的描述。
請指定是否要覆蓋同名的檔案。
如果你想,知道腳本需要哪些參數,選擇腳本參數勾選框。 在文字欄位輸入範例和描述。
選取 [確認]。
(可選) 要驗證檔案是否已上傳到函式庫,請執行該
library指令。
取消指令
在會話中,你可以按 CTRL + C 來取消指令。
警告
使用這個捷徑不會停止代理端的指令。 它只會在 Microsoft Defender 入口網站中取消指令。 因此,像「修復」這類變更操作仍可繼續,即使指令已被取消。
執行腳本
在執行 PowerShell/Bash 腳本之前,你必須先把它上傳到函式庫。
將腳本上傳到函式庫後,使用 run 指令執行腳本。
如果你打算在工作階段使用未簽署的 PowerShell 腳本,你需要在 進階功能設定 頁面啟用該設定。
警告
允許使用未簽署腳本可能會增加你面臨威脅的風險。
套用指令參數
查看控制台說明以了解指令參數。 要了解個別指令,請執行:
help <command name>在對指令套用參數時,請注意參數的處理順序是固定的:
<command name> param1 param2在指定非固定順序的參數時,請先用連字號標明參數名稱,再提供該值:
<command name> -param2_name param2使用包含前置指令的指令時,可以使用旗標:
<command name> -type file -id <file path> - auto或
remediate file <file path> - auto`
支援的輸出類型
即時回應支援表格與 JSON 格式的輸出類型。 每個指令都有預設的輸出行為。 您可以使用以下指令修改輸出格式:
-output json-output table
注意事項
由於空間有限,顯示的欄位較少,呈現表格格式。 要在輸出中看到更多細節,可以使用 JSON 輸出指令,這樣就能顯示更多細節。
支援的輸出管線
即時回應支援輸出管道至 CLI 與檔案。 CLI 是預設的輸出行為。 你可以用以下指令將輸出輸出管道傳送到檔案中: [command] > [filename].txt。
例如:
processes > output.txt
查看指令日誌
選擇 「指令日誌 」標籤,查看該裝置在會話中使用的指令。 每個指令都會被完整追蹤,例如:
- 識別碼
- 命令列
- 持續時間
- 狀態與輸入或輸出側邊欄
限制
- 現場回應會議一次限制為25場即時回應。
- 即時回應會話的非活躍逾時值為 30 分鐘。
- 個別即時回應指令的時間限制為 10 分鐘,唯獨
getfile、findfile、run和 的限制為 30 分鐘。 - 使用者最多可啟動五個並行會話。
- 裝置一次只能處於一個會話中。
- 以下檔案大小限制適用:
-
getfile限制:3 GB -
fileinfo限制:30 GB -
library限制:250 MB
-
相關文章
提示
想要深入了解? Engage 與 Microsoft Security 社群互動,加入我們的技術社群:適用於端點的 Microsoft Defender Defender 技術社群。