# Real Time Response
**RTR** é um **acesso remoto via linha de comando (CLI)** ao endpoint.
{% embed url="" %}
Ou seja:
> Você consegue **investigar e agir diretamente na máquina** sem precisar acessar fisicamente ou via RDP.
**Explicando de forma simples**
RTR = tipo um:
* SSH (Linux)
* PowerShell remoto (Windows)
Mas integrado ao Falcon e focado em **resposta a incidente**
**O que você pode fazer com RTR**
**Investigação**
* Listar processos → `ps`
* Ver conexões → `netstat`
* Navegar arquivos → `ls`, `cd`
* Ler arquivos → `cat`
**Resposta (ação direta)**
* Matar processo → `kill`
* Coletar arquivo → `get`
* Executar script → `runscript`
* Rodar comando → `run`
**Coleta forense**
* Baixar arquivos suspeitos
* Coletar logs
* Analisar artefatos
> arquivos baixados vêm zipados com senha “infected”
**Onde acessar**
Você pode abrir RTR a partir de:
* Host Management
* Detections
* Incidents
* Event Actions
**Condição IMPORTANTE**
O host precisa estar:
* **Online**
* Conectado ao Falcon
> “Online = powered on and connected to the cloud console”
**Comandos básicos**
* `ps` → processos
* `netstat` → conexões
* `ls` → listar arquivos
* `cd` → navegar
* `cat` → ler arquivo
* `kill` → matar processo
* `get` → baixar arquivo
* `put` → enviar arquivo
* `run` → executar comando
* `runscript` → rodar script
#### O que procurar quando estiver usando RTR
**Processos suspeitos**
* PowerShell rodando
* Processo desconhecido
* Nome estranho
**Conexões ativas**
* IP externo desconhecido
* Porta suspeita
**Arquivos maliciosos**
* Em:
* `AppData`
* `Temp`
* Executáveis estranhos
#### Quando usar RTR
Use quando:
* Precisa confirmar atividade no host
* Quer coletar evidência
* Precisa conter ameaça
* Quer validar suspeita do alerta