Introducción
Microsoft Defender para punto de conexión proporciona la capacidad remota para contener dispositivos y recopilar datos de análisis forenses. La característica de respuesta dinámica permite que un shell tenga acceso remoto restringido en el dispositivo.
Supongamos que es un analista de operaciones de seguridad que trabaja en una empresa que ha implementado Microsoft Defender para punto de conexión y su trabajo principal consiste en corregir incidentes. Se le asigna un incidente con alertas relacionadas con una línea de comandos de PowerShell sospechosa. Para empezar, revise el incidente y comprenda todas las alertas, dispositivos y evidencias relacionados.
Abra la página de alertas para revisar el historial de la alerta y decidir si se deben realizar análisis adicionales en el dispositivo. Abra la página del dispositivo y decida si necesita acceso remoto al dispositivo para ejecutar un script de PowerShell personalizado para recopilar más información de análisis forenses.
Inicie una sesión de respuesta dinámica desde la página del dispositivo y ejecute un script de PowerShell desde la biblioteca de scripts. Descargue el archivo para usarlo con herramientas de análisis forenses. Después de revisar los datos de los análisis forenses, se realiza la acción de aislamiento del dispositivo desde la página del dispositivo.
Después de completar este módulo, podrá:
- Realizar acciones en un dispositivo con Microsoft Defender para punto de conexión
- Realizar la recopilación de datos forenses con Microsoft Defender para punto de conexión
- Acceder a dispositivos de forma remota con Microsoft Defender para punto de conexión
Requisitos previos
Conocimientos intermedios de Windows 10.