Úvod
Microsoft Defender for Endpoint poskytuje informace o forenzních artefaktech nalezených v prostředí. Existují konkrétní pozorovatelné stránky pro soubory, uživatelské účty, IP adresy a domény.
Pracujete ve společnosti, která implementovala Microsoft Defender for Endpoint, a vaším primárním úkolem je napravit incidenty. Máte přiřazený incident s upozorněními souvisejícími s podezřelým příkazovým řádkem PowerShellu.
Začnete kontrolou incidentu a seznamte se se všemi souvisejícími výstrahami, zařízeními a důkazy. Karta důkazu ukazuje tři soubory, šest procesů a jednu metodu trvalosti. Jeden ze souborů má název, který jste nikdy neviděli. Otevřete stránku souboru a zkontrolujte vše, co o souboru víme.
Soubor nebyl nikdy vidět v jiné organizaci, než je tento incident. Pokud je situace malware, je dobré vědět, jestli tento soubor ovlivnil pouze tento počítač. Rozhodnete se odeslat hloubkovou analýzu souboru, abyste zjistili, jestli soubor provádí podezřelé aktivity. Výsledky ukazují podezřelou aktivitu; Pak na stránce souboru vyberte Přidat indikátor, abyste zajistili, že Defender for Endpoint použije indikátor pro zjišťování.
Po dokončení tohoto modulu budete umět:
- Zkoumání souborů v programu Microsoft Defender for Endpoint
- Zkoumání domén a IP adres v Programu Microsoft Defender for Endpoint
- Prozkoumání uživatelských účtů v Programu Microsoft Defender for Endpoint
Požadavky
Středně pokročilé znalosti Windows 10