MS Defender for Endpoint的裝置調查行動

Microsoft Defender for Endpoint 提供遠端功能包含裝置和收集取證(Forensics)資料。即時回應功能允許在設備上使用受限的遠端存取 shell。

打開告警頁面以查看告警故事並決定對設備執行進一步分析。我們開啟「Device」頁面，並決定需要遠端存取裝置以執行自訂 PowerShell 腳本來收集更多取證資訊。

我們可以從「Device」頁面啟動Live Response session，並從腳本庫執行 PowerShell 腳本。下載該檔案以與取證工具一起使用。查看取證資料後，我們可以從「Device」頁面執行設備隔離操作。

裝置上的行動

在調查設備時，我們可以執行操作、收集資料或遠端存取機器。 Defender for Endpoint 提供所需的裝置控制。我們可以執行以下遏制操作：

• Isolate Device
• Restrict app execution
• Run antivirus scan

我們可以執行以下調查行動:

• Initiate Automated Investigation
• Collect investigation package
• Initiate Live Response Session

Action center提供有關對設備或檔案執行的操作的資訊。

從網路上隔離裝置

根據攻擊的嚴重性和設備的敏感性，我們可能希望將設備與網路隔離。此操作可以幫助防止攻擊者控制受感染的設備並執行進一步的活動，例如資料外洩和橫向移動。

此裝置隔離功能可中斷受感染裝置與網路的連接，同時保留與 Defender for Endpoint 服務的連接，該服務將繼續監控裝置。

在 Windows 10 版本 1709 或之後的版本，可以對網路隔離等級進行另一種控制。也可以選擇啟用 Outlook、Microsoft Teams 和 Skype for Business 連線（也稱為「選擇性隔離」）。

在設備頁面上選擇隔離設備後，輸入註釋並選擇確認。Action center將顯示掃描訊息，設備時間軸將包含新事件。當設備被隔離時，會顯示通知，告知使用者該設備正在與網路隔離。

限制應用程式執行

除了透過停止malicious processes來遏制攻擊之外，還可以鎖定裝置並防止潛在惡意程式的後續嘗試運行。

PS:
這種操作需要

1. Windows 10 版本 1709 或之後的版本的裝置。
2. 使用 Microsoft Defender 防毒軟體。
3. 此操作需要滿足 Windows Defender Application Control code integrity policy formats and signing。

為了限制應用程式運行，套用 code integrity policy，只允許由 Microsoft 頒發的憑證簽署的檔案運行。這種限制方法可以幫助防止攻擊者控制受感染的裝置並執行進一步的惡意活動。

您可以隨時取消應用程式運行的限制。裝置頁面上的按鈕將變更為“Remove app restrictions”，然後可以採取與限制應用程式執行相同的步驟。

在裝置頁面上選擇“Restrict app execution”後，輸入註釋並選擇“確認”。Action Center將顯示掃描訊息，設備時間軸將包含新事件。

當應用程式受到限制時，會顯示通知，告知使用者應用程式的運作受到限制。

執行Microsoft Defender antivirus scan

作為調查或回應流程的一部分，我們可以遠端啟動防毒掃描，以協助識別和修復受感染裝置上可能存在的惡意軟體。

PS:
此操作適用於 Windows 10 版本 1709 或更高版本的裝置。 Microsoft Defender 防毒軟體 (Microsoft Defender AV) 掃描可與其他防毒解決方案一起運行(這是微軟說的)，無論 Microsoft Defender AV 是否​​是主動防毒解決方案。 Microsoft Defender AV 可以處於被動模式。有關詳細資訊，參閱 Microsoft Defender Antivirus compatibility。

另外使用 Defender for Endpoint 回應操作觸發掃描時，Microsoft Defender 防毒軟體「ScanAvgCPULoadFactor」value仍適用並限制掃描對 CPU 的影響。如果未配置 ScanAvgCPULoadFactor，則預設值為掃描期間最大 CPU 負載的 50% 限制。

選擇「執行防毒掃描」後，選擇要執行的掃描類型（快速或完整）並在確認掃描之前新增註解。

Action Center將顯示掃描訊息，設備時間軸將包含一個新事件，反映在設備上提交的掃描操作。 Microsoft Defender AV 告警將反映掃描期間出現的任何偵測結果。

如果需要，可以在裝置上啟動new general purpose automated investigation。調查運行時，設備產生的任何其他告警都會加入到正在進行的自動調查中，直到該調查完成。此外，如果在其他設備上發現相同的威脅，這些設備就會被添加到調查中。

從裝置收集調查包(investigation package)

作為調查或回應過程的一部分，可以從設備收集調查包。透過收集調查包，可以識別設備當前的狀態，並進一步了解攻擊者使用的工具和技術。

下載package（Zip 檔案）並調查裝置上發生的事件

• 從裝置頁面最上方的response actions行中選擇Collect investigation package。
• 在文字方塊中指定想要執行此操作的原因。選擇確認。
• 將下載 zip 文件

替代方式：

• 從設備頁面的response actions部分選擇Action center。
• 在「Action center」彈出視窗中，選擇可用於下載 zip 檔案的套件集合包。

該Package包含以下資料夾：

1.Autoruns:
包含一組檔案，每個檔案代表已知的ASEP(auto start entry point) 的註冊表內容，以協助識別攻擊者在裝置上的持久性。如果找不到registry key，該檔案將包含以下訊息：“ERROR: The system was unable to find the specified registry key or value.”

2.Installed programs:
此 .CSV 檔案包含已安裝程式的清單，可協助識別裝置上目前安裝的程式。

3.Network connections:
此資料夾包含一組與連線資訊相關的資料點，可協助識別與可疑 URL、攻擊者的命令與控制 (C&C) 基礎架構、任何橫向移動或遠端連線的連線。

• ActiveNetConnections.txt —
  顯示協定統計資訊和目前 TCP/IP 網路連線。它提供了查找process所建立的可疑連接的能力。
• Arp.txt —
  顯示所有介面的目前ARP cache。
• ARP cache可以揭示網路上已受到入侵的其他主機或網路上可能已被用來運行內部攻擊的可疑系統。
• DnsCache.txt —
  顯示 DNS 用戶端解析程式快取的內容，其中包括從本機 Hosts 檔案預先載入的項目以及最近取得的由電腦解析的名稱查詢的資源記錄。這可以幫助識別可疑連線。
• IpConfig.txt —
  顯示所有adapters的完整 TCP/IP 配置。adapters可以代表實體介面（例如已安裝的網路介面卡）或邏輯介面（例如撥接連接）。
• FirewallExecutionLog.txt and pfirewall.log

4.預取檔案:
Windows 預取檔案(Prefetch files)旨在加速應用程式啟動過程。它可用於追蹤系統中最近使用的所有檔案，並查找可能已刪除但仍可在預取檔案清單中找到的應用程式的痕跡。

• Prefetch folder — 包含 %SystemRoot%\Prefetch 中的預取檔案的副本。建議下載預取檔案檢視器(prefetch file viewer)以查看預取檔案。
• PrefetchFilesList.txt — 包含所有已複製檔案的清單，可用來追蹤預取資料夾是否有任何複製失敗。

5. Processes
包含列出正在運行的process的 .CSV 檔案，該文件能夠識別設備上目前運行的process。這在識別可疑進程及其狀態時非常有用。

6. Scheduled tasks
包含列出scheduled tasks的 .CSV 文件，該文件可用於識別在所選裝置上自動執行的routines，以尋找設定為自動執行的可疑代碼。

7. Security event log
包含安全性事件日誌，其中包含登入或登出活動或系統稽核原則指定的其他安全性相關事件的記錄。可以使用事件檢視器開啟事件記錄檔。

8.Services
包含列出服務及其狀態的 .CSV 檔案。

9. Windows Server Message Block (SMB) sessions
列出對檔案、印表機、serial port的共用存取以及網路上節點之間的其他通訊。這可以幫助識別資料外洩或橫向移動。它還包含 SMBInboundSessions 和 SMBOutboundSession 的檔案。如果沒有session（inbound or outbound），將收到一個文字文件，說沒有找到 SMB sessions。

10. System information
包含 SystemInformation.txt 檔案，其中列出了作業系統版本和網路卡等系統資訊。

11. Temp directories
包含一組文字文件，其中列出了系統中每個使用者位於 %Temp% 中的檔案。這可以幫助追蹤攻擊者可能投放到系統上的可疑檔案。如果該檔案包含以下訊息：“he system can’t find the path specified”，則表示該使用者沒有暫存目錄，可能是因為該使用者沒有登入系統。

12. Users and groups
提供檔案清單，每個檔案代表一個群組及其成員。

13. WdSupportLogs
提供MpCmdRunLog.txt and MPSupportFiles.cab

14. CollectionSummaryReport.xls
該檔案是調查包集合的摘要，它包含資料點清單、用於提取資料的命令、執行狀態以及失敗時的錯誤代碼。可以使用此報告來追蹤調查包是否包含所有預期資料並確定是否存在任何錯誤。

Initiate live response session

Live response可讓安全維運團隊使用remote shell connection即時存取設備。Live response可進行深入調查並立即採取回應措施，以迅速遏制已識別的威脅。

Live response旨在透過讓安全維運團隊能夠收集取證資料、運行腳本、發送可疑實體進行分析、修復威脅以及主動尋找新出現的威脅來加強調查。

透過 live response，資安人員可以執行以下所有任務：

• Run basic and advanced commands to do investigative work on a device.
• Download files such as malware samples and outcomes of PowerShell scripts.
• Download files in the background .
• Upload a PowerShell script or executable to the library and run it on a device from a tenant level.
• Take or undo remediation actions.

預備工作

在裝置上啟動session之前，確保滿足以下要求：

1. Windows 10 或更高階版本
   — 從Setting頁面啟用live response。我們需要在進階功能設定頁面中啟用即時live response。
   — 只有具有管理security 或global admin角色的使用者才能編輯這些設定。
2. 確保設備已給予Automation Remediation level
   我們至少需要為給定設備群組啟用最低修復等級。否則，無法與該群組的設備建立Live Response session。
3. 啟用即時回應未簽署腳本執行（可選）
   允許使用未簽署的腳本可能會增加面臨威脅的風險。不建議執行未簽署的腳本，因為它會增加面臨威脅的風險。但是，如果必須使用它們，則需要在「進階功能設定」頁面中啟用該設定。
4. 確保您擁有適當的權限
   只有具有適當權限的使用者才能發起session。將檔案上傳到Library的選項僅適用於具有適當的RBAC權限的使用者。對於僅具有委派權限的用戶，按鈕呈現灰色。根據授予角色，可以運行basic or advanced live response commands。使用者的權限由RBAC自訂角色控制。

Live response dashboard overview

當我們在裝置上啟動live response session工作階段時，將開啟一個儀表板。儀表板提供有關session的資訊，例如：

• Who created the session
• When the session started
• The duration of the session

儀表板還允許存取：

• Disconnect session
• Upload files to the library
• Command console
• Command log

Live response commands

根據授予的角色，可以運行basic or advanced live response commands。使用者權限由 RBAC 自訂角色控制。 Live response 是一個cloud-based的互動式 shell。因此，特定命令體驗的回應時間可能會有所不同，具體取決於end users和目標設備之間的網路品質和系統負載。

以下命令適用於被授予運行basic live response commands能力的使用者角色。

進階命令

我們可以在控制台中使用的命令遵循與 Windows 命令類似的原則。高級命令提供了擴展的功能。進階操作包括下載或上傳檔案、在裝置上執行腳本以及對實體採取補救操作。

裝置上取得檔案

對於想要從正在調查的裝置取得檔案的情況，可以使用 [getfile] 指令。 [getfile] 指令可儲存裝置中的檔案以進行進一步調查。

以下檔案大小限制適用：

• getfile limit: 3 GB
• fileinfo limit: 10 GB
• library limit: 250 MB

從背景下載檔案

為了使安全維運團隊能夠繼續調查受影響的設備，現在可以在背景下載檔案。

• 若要在背景下載文件，在live response command console鍵入 getfile <file_path>。
• 如果正在等待下載檔案，可以使用 Ctrl + Z 將其移至背景。
• 若要將檔案下載帶到前台，請在 live response command console中鍵入 fg <command_id>。

以下是一些範例：

放檔案到儲存庫(Library)

Live response有一個儲存庫，可以在其中放入檔案。Live response允許 PowerShell 腳本運行。但是，必須先將腳本檔案放入儲存庫中，然後才能運行它們。可以擁有一組 PowerShell 腳本，這些腳本可以在您發起Live response工作階段的裝置上執行。

要上傳儲存庫中的檔案：

1. Select Upload file to library.
2. Select Browse and select the file
3. Provide a brief description.
4. 指定是否要覆寫同名檔案。
5. 如果想了解腳本需要哪些參數，選取script parameters check box。在文字欄位中，輸入範例和說明。
6. Select Confirm.
7. (Optional)若要驗證檔案是否已上傳至儲存庫，請執行 library command。

某些命令需要運行先決命令(prerequisite commands)。如果不執行先決條件命令，則會出現錯誤。例如，在沒有fileinfo的情況下執行下載命令將傳回錯誤。可以使用 auto flag自動執行先決指令，例如：

getfile c:\Users\user\Desktop\jasonkao.txt -auto

在執行 PowerShell 腳本之前，必須先將其上傳到儲存庫。將腳本上傳到儲存庫後，使用run命令運行腳本。如果計劃在session中使用未簽署的腳本，則需要在「進階功能設定」頁面中啟用該設定。

Live response支援表和 JSON 格式輸出類型。對於每個命令，都有一個預設的輸出行為。可以使用以下命令以想要的輸出格式：

• -output json
• -output table

Live response支援piping到 CLI 和檔案。 CLI 是預設輸出行為。可以使用以下命令將輸出透過piping傳輸到檔案：[command] > [filename].txt。

限制

• Live response sessions一次只能跑10個。
• 不支援大規模命令執行。
• Live response session inactive的idle為 5 分鐘。
• 一個使用者一次只能發起一個session。
• 一台設備一次只能處於一個session中。
• 以下檔案大小限制適用：
  Getfile limit: 3 GB
  Fileinfo limit: 10 GB
  Library limit: 250 MB