Introducción
Microsoft Defender para punto de conexión proporciona información detallada del dispositivo, incluida información de análisis forenses.
Supongamos que es un analista de operaciones de seguridad que trabaja en una empresa que ha implementado Microsoft Defender para punto de conexión y su trabajo principal consiste en corregir incidentes. Se le asigna un incidente con alertas relacionadas con una línea de comandos de PowerShell sospechosa. Para empezar, revise el incidente y comprenda todas las alertas, dispositivos y evidencias relacionados. Abra la página de alertas para revisar el historial de la alerta y decidir si se deben realizar análisis adicionales en el dispositivo.
Abra la página Dispositivos para proporcionar más contexto al incidente. La pestaña Información general de la página Dispositivo proporciona inmediatamente información relacionada, como el nivel de riesgo y el nivel de exposición. Seleccione la pestaña Incidentes y alertas para ver el historial de alertas del dispositivo. A continuación, elija la pestaña Escala de tiempo para ver una lista de eventos del dispositivo. Verá muchos eventos sospechosos.
Después de completar este módulo, podrá:
- Usar la página del dispositivo de Microsoft Defender para punto de conexión
- Describir la información de análisis forenses del dispositivo recopilada por Microsoft Defender para punto de conexión
- Describir el bloqueo del comportamiento de Microsoft Defender para punto de conexión
Requisitos previos
- Conocimientos intermedios de Windows 10 y 11
- Conocimientos básicos de PowerShell
- Conocimientos básicos de operaciones de seguridad