Einführung
Microsoft Defender für Endpunkt bietet umfassende Geräteinformationen, einschließlich forensischer Informationen.
Sie sind als Security Operations Analyst in einem Unternehmen tätig, das Microsoft Defender für Endpunkt implementiert hat, und in erster Linie für die Bearbeitung von Incidents zuständig. Ihnen wird ein Incident mit Warnungen im Zusammenhang mit einer verdächtigen PowerShell-Befehlszeile zugewiesen. Zunächst überprüfen Sie den Incident und sehen sich alle zugehörigen Warnungen, Geräte und Beweise an. Sie öffnen die Seite mit Warnungen, um den Warnungsverlauf zu überprüfen, und entscheiden sich für eine weitere Analyse des Geräts.
Sie öffnen die Seite „Geräte”, um weiteren Kontext für den Incident bereitzustellen. Auf der Registerkarte Übersicht der Geräteseite stehen sofort entsprechende Informationen bereit, z. B. die Risikostufe und die Gefährdungsstufe. Sie wählen die Registerkarte Incidents und Warnungen aus, um den Warnungsverlauf für das Gerät anzuzeigen. Anschließend wählen Sie die Registerkarte Zeitachse aus, um eine Liste der Ereignisse auf dem Gerät anzuzeigen. Es sind zahlreiche verdächtige Ereignisse enthalten.
Nach Abschluss dieses Moduls können Sie folgende Aufgaben durchführen:
- Verwenden der Geräteseite in Microsoft Defender für Endpunkt
- Beschreiben forensischer Geräteinformationen, die von Microsoft Defender für Endpunkt gesammelt werden
- Beschreiben des verhaltensbasierten Blockierens durch Microsoft Defender für Endpunkt
Voraussetzungen
- Fortgeschrittene Kenntnisse zu Windows 10 und 11.
- Grundkenntnisse über PowerShell
- Grundlegende Kenntnisse von Security Operations