Lancer une session de réponse en direct
La réponse dynamique permet aux équipes chargées des opérations de sécurité d’accéder instantanément à un appareil à l’aide d’une connexion shell à distance. La réponse dynamique vous donne la possibilité d’effectuer des investigations approfondies et de prendre des mesures immédiates pour contenir rapidement les menaces identifiées.
La réponse en direct est conçue pour améliorer les enquêtes en permettant à votre équipe chargée des opérations de sécurité de collecter des données d’investigation, d’exécuter des scripts, d’envoyer des entités suspectes à des fins d’analyse, de corriger des menaces et de rechercher de nouvelles menaces.
Avec la réponse en direct, les analystes peuvent effectuer toutes les tâches suivantes :
Exécutez des commandes de base et avancées pour effectuer un travail d’investigation sur un appareil.
Téléchargez des fichiers tels que des exemples de programmes malveillants et les résultats des scripts PowerShell.
Téléchargez les fichiers en arrière-plan (nouveau !)
Téléchargez un script PowerShell ou un exécutable dans la bibliothèque et exécutez-le sur un appareil à partir d’un niveau de locataire.
Prenez ou annulez les actions de correction.
Prérequis
Avant de pouvoir lancer une session sur un appareil, veillez à respecter les conditions suivantes :
Vérifiez que votre appareil exécute une version prise en charge de Windows 10 ou version ultérieure
Activez la réponse dynamique à partir de la page Paramètres. Vous devez activer la fonctionnalité de réponse dynamique dans la page des paramètres fonctionnalités avancées.
Seuls les utilisateurs disposant des rôles administrateur de la sécurité ou administrateur général peuvent modifier ces paramètres.
S’assurer qu’un niveau de correction Automation est affecté à l’appareil
Vous devez activer au moins le niveau de correction minimal pour un groupe d’appareils donné. Dans le cas contraire, vous ne pouvez pas établir de session de réponse en direct avec un membre de ce groupe.
Activer l’exécution des scripts non signés de réponse dynamique (facultatif)
L’autorisation de l’utilisation de scripts non signés peut accroître votre exposition aux menaces. L’exécution de scripts non signés n’est pas recommandée, car cela peut accroître votre exposition aux menaces. Toutefois, si vous devez les utiliser, vous devez activer le paramètre dans la page Paramètres avancés des fonctionnalités.
Vérifiez que vous disposez des autorisations appropriées
Seuls les utilisateurs qui ont été approvisionnés avec les autorisations appropriées peuvent initier une session. L’option permettant de charger un fichier dans la bibliothèque est uniquement accessible aux utilisateurs qui disposent des autorisations appropriées de contrôle d’accès en fonction du rôle (RBAC). Le bouton est grisé pour les utilisateurs disposant uniquement d’autorisations déléguées. En fonction du rôle qui vous a été accordé, vous pouvez exécuter des commandes de réponse en direct de base ou avancées. Les autorisations des utilisateurs sont contrôlées par le rôle personnalisé RBAC.
Présentation du tableau de bord Live Response
Lorsque vous lancez une session de réponse en direct sur un appareil, un tableau de bord s’ouvre. Le tableau de bord fournit des informations sur la session, par exemple :
Qui a créé la session
Moment du démarrage de la session
Durée de la session
Le tableau de bord vous donne également accès aux éléments suivants :
Déconnecter la session
Charger des fichiers dans la bibliothèque
Console de commandes
Journal des commandes
Commandes de réponse en direct
En fonction du rôle qui vous a été accordé, vous pouvez exécuter des commandes de réponse en direct de base ou avancées. Les autorisations des utilisateurs sont contrôlées par le rôle personnalisé RBAC. La réponse en direct est un interpréteur de commandes interactif basé sur le cloud. L’expérience de commande spécifique peut donc varier en fonction du temps de réponse lié à la qualité du réseau et de la charge système entre l’utilisateur final et l’appareil cible.
Commandes de base
Les commandes suivantes sont disponibles pour les rôles d’utilisateur qui ont la possibilité d’exécuter des commandes de réponse en direct de base.
Commande | Description |
---|---|
[cd] | Change le répertoire actif. |
[cls] | Efface la fenêtre de console. |
[connect] | Lance une session de réponse dynamique sur l’appareil. |
[connections] | Affiche toutes les connexions actives. |
[dir] | Affiche la liste des fichiers et des sous-répertoires d'un répertoire. |
[getfile] <chemin_fichier> | Télécharge un fichier en arrière-plan. |
[drivers] | Affiche tous les pilotes installés sur l’appareil. |
[fg] <ID de commande> | Retourne un téléchargement de fichier au premier plan. |
[fileinfo] | Obtenir des informations sur un fichier. |
[findfile] | Localise les fichiers en fonction d’un nom donné sur l’appareil. |
[help] | Fournit des informations d’aide pour les commandes de réponse en direct. |
[persistence] | Affiche toutes les méthodes de persistance connues sur l’appareil. |
[processes] | Affiche tous les processus en cours d’exécution sur l’appareil. |
[registry] | Affiche les valeurs de registre. |
[scheduledtasks] | Affiche toutes les tâches planifiées sur l’appareil. |
[services] | Affiche tous les services sur l’appareil. |
[trace] | Définit le mode de journalisation du terminal à déboguer. |
Commandes avancées
Les commandes suivantes sont disponibles pour les rôles d’utilisateur qui ont la possibilité d’exécuter des commandes de réponse en direct avancées.
Commande | Description |
---|---|
analyze | Analyse l’entité avec différents moteurs incrimination pour atteindre un verdict. |
getfile | Obtenir un fichier depuis l’appareil. Cette commande a une commande requise. Vous pouvez utiliser la commande-auto avec getfile pour exécuter automatiquement la commande requise. |
Exécuter | Exécute un script PowerShell à partir de la bibliothèque sur l’appareil. |
bibliothèque | Répertorie les fichiers qui ont été téléchargés vers la bibliothèque de réponses en direct. |
putfile | Place un fichier de la bibliothèque sur l’appareil. Les fichiers sont enregistrés dans un dossier de travail et sont supprimés lorsque l’appareil redémarre par défaut. |
remediate | Corrige une entité sur l’appareil. L’action de correction varie selon le type d’entité. Cette commande a une commande requise. Vous pouvez utiliser la commande-auto avec pour exécuter automatiquement la commande requise. |
Annuler | Restaure une entité qui a été corrigée. |
Utilise des commandes de réponse en direct
Les commandes que vous pouvez utiliser dans la console suivent des principes similaires à ceux des commandes Windows. Les commandes avancées offrent des fonctionnalités étendues qui vous permettent d’effectuer des actions plus puissantes. Parmi les actions avancées, citons le téléchargement ou le chargement d’un fichier, le l’exécution de scripts sur l’appareil et la prise d’actions de correction sur une entité.
Obtenir un fichier depuis l’appareil
Pour les scénarios où vous souhaitez obtenir un fichier à partir d’un appareil que vous examinez, vous pouvez utiliser la commande [getfile]. La commande [getfile] vous permet d’enregistrer le fichier à partir de l’appareil pour une investigation plus approfondie.
Les limites de taille de fichier suivantes s’appliquent :
limite de getfile : 3 Go
limite FileInfo : 10 Go
limite de bibliothèque : 250 Mo
Télécharger un fichier en arrière-plan
Pour permettre à votre équipe d’opérations de sécurité de continuer à examiner un appareil impacté, les fichiers peuvent maintenant être téléchargés en arrière-plan.
Pour télécharger un fichier en arrière-plan, dans la console de commande de réponse en direct, tapez getfile <chemin_fichier>.
Si vous attendez le téléchargement d’un fichier, vous pouvez le faire passer en arrière-plan en appuyant sur Ctrl + Z.
Pour amener un téléchargement de fichier au premier plan, dans la console de commandes live response, tapez fg <ID_commande>.
Voici quelques exemples :
Commande | Résultat |
---|---|
getfile "C:\windows\some_file.exe" | Démarre le téléchargement d’un fichier nommé some_file.exe en arrière-plan. |
fg 1234 | Retourne un téléchargement avec l’ID de commande 1234 au premier plan. |
Placer un fichier dans la bibliothèque
La réponse dynamique contient une bibliothèque dans laquelle vous pouvez placer des fichiers. La bibliothèque stocke les fichiers (tels que les scripts) qui peuvent être exécutés dans une session de réponse en direct au niveau du locataire. La réponse dynamique permet l’exécution de scripts PowerShell. Toutefois, vous devez d’abord placer les fichiers dans la bibliothèque avant de pouvoir les exécuter. Vous pouvez disposer d’une collection de scripts PowerShell qui peuvent s’exécuter sur des appareils avec lesquels vous lancez des sessions de réponse dynamique.
Pour télécharger un fichier dans la bibliothèque :
Sélectionnez Charger un fichier dans la bibliothèque.
Sélectionnez Parcourir et sélectionnez le fichier.
Fournissez une brève description.
Spécifiez si vous souhaitez remplacer un fichier portant le même nom.
Si vous le souhaitez, vous devez savoir quels paramètres sont nécessaires pour le script, puis activez la case à cocher paramètres de script. Dans le champ de texte, entrez un exemple et une description.
Sélectionnez Confirmer.
Facultatif Pour vérifier que le fichier a été chargé dans la bibliothèque, exécutez la commande de la bibliothèque.
Annuler une commande
À tout moment pendant une session, vous pouvez annuler une commande en appuyant sur CTRL + C.
Exécuter automatiquement les commandes de configuration requise
Certaines commandes comportent des commandes préalables à exécuter. Si vous n’exécutez pas la commande requise, vous obtiendrez une erreur. Par exemple, l’exécution de la commande Download sans FileInfo renverra une erreur. Vous pouvez utiliser l’indicateur auto pour exécuter automatiquement les commandes de configuration requise, par exemple :
getfile c:\Users\user\Desktop\work.txt -auto
Exécuter un script PowerShell
Avant de pouvoir exécuter un script PowerShell, vous devez d’abord le télécharger dans la bibliothèque. Après avoir téléchargé le script dans la bibliothèque, utilisez la commande exécuter pour exécuter le script. Si vous envisagez d’utiliser un script non signé dans la session, vous devez activer le paramètre dans la page des paramètres fonctionnalités avancées.
Appliquez les paramètres de commande
Affichez l’aide de la console pour en savoir plus sur les paramètres de commande. Pour en savoir plus sur une commande individuelle, exécutez :
help <command name>
Lorsque vous appliquez des paramètres à des commandes, les paramètres sont gérés selon un ordre fixe :
<command name> param1 param2
Lorsque vous spécifiez des paramètres en dehors de l’ordre fixe, spécifiez le nom du paramètre avec un trait d’Union avant de fournir sa valeur :
<command name> -param2_name param2
Lorsque vous utilisez des commandes qui ont des commandes préalables, vous pouvez utiliser des indicateurs :
<command name> -type file -id <file path> - auto or remediate file <file path> - auto.
Types de sortie pris en charge
La réponse dynamique prend en charge les types de sortie de format de table et JSON. Pour chaque commande, il y a un comportement de sortie par défaut. Vous pouvez modifier la sortie dans le format de sortie de votre choix à l’aide des commandes suivantes :
-output json
-output table
Types de sortie pris en charge
La réponse dynamique prend en charge la tuyauterie de sortie vers l’interface CLI et le fichier. L’interface CLI est le comportement de sortie par défaut. Vous pouvez diriger la sortie vers un fichier à l’aide de la commande suivante : [commande] > [nomfichier].txt.
Afficher le journal des commandes
Sélectionnez l’onglet journal des commandes pour afficher les commandes utilisées sur l’appareil au cours d’une session. Chaque commande est suivie avec des détails complets, tels que :
id
Ligne de commande
Duration
Barre latérale d’état et d’entrée ou de sortie
Exemples de commandes
Les exemples suivants illustrent l’utilisation des commandes de réponse en direct.
Analyser
# Analyze the file malware.txt
analyze file c:\Users\user\Desktop\malware.txt
# Analyze the process by PID
analyze process 1234
Limites
La réponse dynamique présente les limitations suivantes :
Les sessions de réponse en direct sont limitées à 10 sessions Live Response à la fois.
L’exécution de commandes à grande échelle n’est pas prise en charge.
La valeur du délai d’attente inactif de la session de réponse dynamique est de 5 minutes.
Un utilisateur ne peut lancer qu’une seule session à la fois.
Un appareil ne peut être que dans une seule session à la fois.
Les limites de taille de fichier suivantes s’appliquent :
Limite de Getfile : 3 Go
Limite de FileInfo : 10 Go
Limite de bibliothèque : 250 Mo