MDE Live Response com Microsoft 365 Security
Nesse artigo vamos mostrar como utilizar a função de Live Response dentro do Microsoft 365. A capacidade de resposta ao vivo dá acesso instantâneo a um dispositivo usando uma conexão shell remota. Ele dá o poder de fazer um trabalho investigativo aprofundado e tomar ações de resposta imediata para conter prontamente as ameaças identificadas – em tempo real.
Importante: Alguns recursos serão borrados ou apagados por se tratar de um ambiente produção, assim serão preservados.
Com a resposta ao vivo, podemos realizar as tarefas a seguir:
* Execute comandos básicos e avançados para fazer um trabalho investigativo em um dispositivo;
* Baixe arquivos como amostras de malware e resultados de scripts do PowerShell;
* Baixe arquivos em segundo plano;
* Carregue um script ou executável do PowerShell para a biblioteca e execute-o em um dispositivo a partir de um nível de locatário;
* Execute ou desfaça ações de correção.
Clique em cima de um computador que deseja fazer a conexão com o Live Response:
Clique em "..." e depois em "Initiate Live Response Session"
A resposta ao vivo foi projetada para aprimorar as investigações, permitindo que o usuário do SecOps colete rapidamente dados forenses, execute scripts, envie entidades suspeitas para análise, remediar ameaças e procurar ameaças emergentes de forma proativa. Clique na janela de comando, para começar a digitar.
Enquanto este exemplo percorre a investigação e correção de um arquivo benigno (notepad.exe), os usuários do SecOps podem usar a ferramenta Live Response para verificar, analisar e agir em qualquer arquivo ou processo em execução nos Endpoints da organização.
Veja os caminhos do arquivo de forma remota.
Veja o resultado do scan em cima do arquivo pesquisado.
Você terá todo o log dos comandos executados na sessão remota.
Clique em "Desconectar sessão" e clique em "Confirmar" para sair definitivamente da sessão.
Na menu à esquerda, clique em "Central de ações"
Vamos tentar explorar agora, alguns filtros para esse computador. Vá na aba "History", depois selecione "Quarentine Files" e clique em "Apply":
Veja que o mesmo encontrou erros e contém avisos para serem tratados.
A ferramenta de segurança do Microsoft 365, vem aprimorando cada vez mais os seus recursos e facilitando a vida dos profissionais de segurança. Essa centralização é de extrema importância para uma análise SecOps mais assertiva e constante. Esperamos que essa dica ajude a todos os administradores que utilizam os serviços online da Microsoft.
