Defender for Endpoint – Utilizando o Live Response para desinstalação de aplicativos.

582

Nesta jornada, exploraremos em profundidade o recurso Live Response, parte integrante do produto Defender for Endpoint.

O Live Response é uma funcionalidade que permite se conectar a uma máquina através de uma console de comandos ao vivo. Com ele, você pode:

• Executar scripts em PowerShell;
• Verificar serviços em execução;
• Analisar conexões existentes;
• Fazer download e upload temporários de arquivos para a máquina;
• E realizar diversas outras ações interessantes que irei desmonstrar em outros artigos.

O uso do Live Response requer as licenças apropriadas, como:

1. Microsoft Defender for Endpoint Plan 2
2. Microsoft Defender XDR

Abaixo, segue uma lista dos comandos que temos e conseguimos executar dentro da console do live response junto com a explicação de cada uma delas:

Nesse artigo, vamos configurar o Live Response para desinstalar um software (neste caso, o TeamViewer) de forma mais ágil, utilizando um script PowerShell. Essa abordagem é especialmente útil, considerando que a criação de pacotes de desinstalação para uso no Intune pode levar um tempo considerável, desde a geração do pacote até o momento em que o dispositivo recebe a política. O mesmo ocorre com os scripts de remediation, que seguem um tempo padrão definido pela Microsoft para que o dispositivo receba a remediação.

No cenário apresentado, vamos imaginar uma situação em que é necessário realizar a desinstalação desse software de forma imediata, como parte da correção de uma instalação. Isso pode ocorrer, por exemplo, quando o TeamViewer não foi corretamente vinculado ao tenant corporativo de forma automática. Nesse caso, você pode enfrentar problemas devido a uma política que impede o uso de senhas aleatórias e exige que o instalador seja personalizado para o tenant corporativo. Dessa forma, a única maneira de acessar a máquina seria garantir que a instalação estivesse corretamente vinculada ao tenant do TeamViewer. Essa versão melhora a clareza e fluidez do texto, tornando-o mais profissional e objetivo.

ATENÇÃO: As implementações apresentadas em nossos artigos foram desenvolvidas com base em documentações oficiais e nas boas práticas recomendadas pela Microsoft. Entretanto, enfatizamos que qualquer implementação deve ser previamente testada em ambientes de homologação ou testes para garantir a segurança e a estabilidade do ambiente de produção.

Acesse o portal do Microsoft Defender:

1. Navegue no menu lateral esquerdo até Devices.
2. Pesquise o dispositivo que iremos fazer a sessão do Live Response.
3. Selecione o dispositivo na lista.

Já dentro da pagina do dispositivos vamos precisar acessar o live response que podemos fazer seguindo os passos abaixo:

1. Acessar os 3 pontos no topo na lateral direita
2. Ir ate Initiative Live Response Session e clicar para abrimos a console de comandos.
3. Ao clicarmos em Initiative Live Response Session a conexão ira ser estabelecida de forma automática com a maquina.

Com a conexão iniciada vamos precisar fazer o upload do script para a Library do Defender.

Importante:
*Scripts Locais Não São Permitidos: Não é possível apontar para scripts que foram manualmente enviados para o endpoint ou para qualquer local específico na máquina (exemplo C:\Scripts\meuscript.ps1).
*Scripts da Library: O Live Response permite a execução apenas de scripts aprovados na Script Library, que é gerenciada na interface do portal do Microsoft 365 Defender.

Para fazermos o upload vamos seguir os seguintes passos:

1. No canto superior direito clique em Upload file to library.
2. Na tela que ira se abrir, clique novamente em Upload file to library.
3. Navegue ate o local onde seu script esta salvo em sua maquina local e selecione-o para ser feito o upload.
4. Com o script selecionado, cliquem em subimit para finalizar o upload do mesmo.
   

Agora vamos verificar o script carregado na library para garantir que ele foi enviado corretamente e está pronto para execução.

1. Na console do Live Response, execute o comando library. Esse comando exibe todos os arquivos que foram enviados para a library.
2. Verifique se o script está presente na library.
3. Após confirmar que o script está corretamente listado na library, execute o comando run Uninstall_TV.ps1 e aguarde a saída do comando, conforme mostrado na imagem.
4. Ainda na console do Live Response, utilize o comando registry “HKEY_LOCAL_MACHINE\SOFTWARE\TeamViewer” (o caminho do reg tem que estar entre aspas duplas) para verificar se o TeamViewer foi desinstalado com sucesso.

E chegamos ao final de mais uma Jornada do conhecimento, onde pudemos aprender juntos a usar o “Live Response” um recurso muito legal dentro do Defender no qual pode ser usado para diversos casos em que você necessite se conectar através de uma console de comandos a maquina de destino.

Me diga nos comentários, você já havia ouvido falar ou usado o “Live Response” antes? Compartilhe sua experiencia, faça você também parte desta jornada. ☁️