Microsoft Defender XDR/MDE

Deploy Microsoft Defender for Endpoint (MDE). (9) Live Response

Pepuri 2023. 12. 17. 10:33
반응형

이전글

2023.12.17 - [Microsoft 365/MDE] - Deploy Microsoft Defender for Endpoint (MDE). (8) Web Protection

 

I. Introduction

- 실시간으로 원격으로 접속하여 보안 목적으로 제어

- Command를 이용하여 프로세스 종료 및 정보 수집

- Powershell Script 및 실행 파일을 업로드하여 실행

 

관련 기술자료

Investigate entities on devices using live response in Microsoft Defender for Endpoint | Microsoft Learn

Live response command examples | Microsoft Learn

 

II. Enable Live Response

Endpoints -> General -> Advanced feature -> Live Response 기능들을 Enable

Enable Live Response

 

III. Connect

Assets ->Devices

Assets -> Devices

 

연결할 장치를 선택합니다.

Device 선택

 

… -> Initiate Live Response Session

Initiate Live Response Session

 

아래와 같이 연결됨 확인

Connect

 

Help 입력하여 사용할 있는 명령어를 확인할 있습니다.

Help

 

Live Response 실행되면 Timeline에는 다음과 같이 기록됩니다.

SenseIR.exe

-> MsSense.exe (센서) 이용해서 SenseIR.exe 실행하며 연결되는 구조입니다.

 

연결되어 있는 동안 SenseIR.exe 실행되고 있는 것을 확인할 있습니다.

Task Manager

 

프로세스 상세정보

SenseIR.exe 상세정보

 

그리고 이어서 LiveResponseCommand 의해서 감지된다고 기록됩니다.

Observed 기록

 

IV-1. Test: 현재 실행중인 Process 격리

연결된 장치에서 Notepad 실행

Notepad 실행

 

Processes 명령어로 PID 조회

PID 조회

 

Remediate process [PID]

Remediate

->Quarantined 표시되며 해당 프로세스는 격리된다는 것을 확인할 있습니다.

 

실제 해당 머신에서는 아래와 같이 표시되며, Notepad 종료되었습니다.

Remediate 결과

 

Windows Security -> Protection history 에서 격리된 이력을 확인할 있습니다.

Protection History

 

결국 Live Response 동작 원리는 온보딩하는 과정중 동작하는 센서를 통해서 관리자가 완전히 제어권을 얻는 것입니다. 그리고 원격으로 여러가지 조치를 취할 있습니다. 이렇게 되면, End User 별도의 연락을 하여 원격 연결하여 확인하는 번거로운 과정을 줄일 있습니다.

 

IV-2. Test: 특정 경로의 파일 격리

특정 경로에 테스트 파일 생성

Test File

 

경로 조회

경로 조회

 

Remediate file “Filename”

Remediate file

 

명령어가 실행되면, 다음과 같이 경고 메시지가 나타납니다.

Remediate file 경고

 

격리 처리 완료

파일 격리

 

아래와 같이 격리처리 것을 있습니다.

격리 결과

 

Protection history에서 이력을 확인할 있습니다.

Protection history

 

IV-3. Test: 실행중인 Process 목록 내보내기

Processes > output.txt

Output

 

브라우저 상에서 바로 다운로드가 진행됩니다.

output 파일

 

아래와 같이 확인할 있습니다.

Process List

 

V-4. Test: Endpoint에서 Script 실행

Live Response Script 구글에서 검색하면 쉽게 찾을 있습니다. 만약 사용하고 싶은 스크립트가 있다면, Live response용으로 변환해야할 있습니다. 저는 아래의 스크립트를 사용해 보도록 하겠습니다.

LiveResponse/GetFirewallRules.ps1 at master · YongRhee-MDE/LiveResponse · GitHub

 

우측상단의 Upload file to library 클릭합니다.

Upload file to library

 

Upload file to library -> 스크립트 지정 -> Submit

Upload script

 

Library  명령어로 확인

Library

 

Run "Script"

Run Script

 

Getfile "파일경로"

Getfile

 

브라우저 상에서 다운로드 진행

File download

 

결과물 확인

Script Result

 

Live Response 관리자 입장에서는 다양한 활용 시나리오가 있을 같습니다.

반응형