이전글
2023.12.17 - [Microsoft 365/MDE] - Deploy Microsoft Defender for Endpoint (MDE). (8) Web Protection
I. Introduction
- 실시간으로 원격으로 접속하여 보안 목적으로 제어
- Command를 이용하여 프로세스 종료 및 정보 수집
- Powershell Script 및 실행 파일을 업로드하여 실행
관련 기술자료
Live response command examples | Microsoft Learn
II. Enable Live Response
Endpoints -> General -> Advanced feature -> Live Response 기능들을 Enable
III. Connect
Assets ->Devices
연결할 장치를 선택합니다.
… -> Initiate Live Response Session
아래와 같이 연결됨 확인
Help 를 입력하여 사용할 수 있는 명령어를 확인할 수 있습니다.
Live Response가 실행되면 Timeline에는 다음과 같이 기록됩니다.
-> MsSense.exe (센서) 를 이용해서 SenseIR.exe를 실행하며 연결되는 구조입니다.
연결되어 있는 동안 SenseIR.exe가 실행되고 있는 것을 확인할 수 있습니다.
프로세스 상세정보
그리고 이어서 LiveResponseCommand에 의해서 감지된다고 기록됩니다.
IV-1. Test: 현재 실행중인 Process 격리
연결된 장치에서 Notepad 실행
Processes 명령어로 PID 조회
Remediate process [PID]
->Quarantined 표시되며 해당 프로세스는 격리된다는 것을 확인할 수 있습니다.
실제 해당 머신에서는 아래와 같이 표시되며, Notepad가 종료되었습니다.
Windows Security -> Protection history 에서 격리된 이력을 확인할 수 있습니다.
결국 Live Response의 동작 원리는 온보딩하는 과정중 동작하는 센서를 통해서 관리자가 완전히 제어권을 얻는 것입니다. 그리고 원격으로 여러가지 조치를 취할 수 있습니다. 이렇게 되면, End User와 별도의 연락을 하여 원격 연결하여 확인하는 번거로운 과정을 줄일 수 있습니다.
IV-2. Test: 특정 경로의 파일 격리
특정 경로에 테스트 파일 생성
경로 조회
Remediate file “Filename”
명령어가 실행되면, 다음과 같이 경고 메시지가 나타납니다.
격리 처리 완료
아래와 같이 격리처리 된 것을 알 수 있습니다.
Protection history에서 이력을 확인할 수 있습니다.
IV-3. Test: 실행중인 Process 목록 내보내기
Processes > output.txt
브라우저 상에서 바로 다운로드가 진행됩니다.
아래와 같이 확인할 수 있습니다.
V-4. Test: Endpoint에서 Script 실행
Live Response 용 Script는 구글에서 검색하면 쉽게 찾을 수 있습니다. 만약 사용하고 싶은 스크립트가 있다면, Live response용으로 변환해야할 수 있습니다. 저는 아래의 스크립트를 사용해 보도록 하겠습니다.
LiveResponse/GetFirewallRules.ps1 at master · YongRhee-MDE/LiveResponse · GitHub
우측상단의 Upload file to library를 클릭합니다.
Upload file to library -> 스크립트 지정 -> Submit
Library 명령어로 확인
Run "Script"
Getfile "파일경로"
브라우저 상에서 다운로드 진행
결과물 확인
Live Response는 관리자 입장에서는 다양한 활용 시나리오가 있을 것 같습니다.