Présentation
Microsoft Defender pour point de terminaison fournit des informations détaillées sur les appareils, y compris des informations forensiques.
Vous êtes analyste des opérations de sécurité dans une entreprise qui a implémenté Microsoft Defender pour point de terminaison. Votre travail consiste principalement à corriger les incidents. Un incident avec alertes vous est attribué. Il est lié à une ligne de commande PowerShell suspecte. Vous commencez par examiner l’incident et comprenez toutes les alertes, appareils et preuves associés. Vous ouvrez la page d’alerte pour passer en revue le récit d’alerte et décidez d’effectuer une analyse plus poussée sur l’appareil.
Pour donner plus de contexte à l’incident, vous ouvrez la page Appareils. L’onglet Vue d’ensemble de la page Appareil fournit immédiatement des informations telles que le niveau de risque et le niveau d’exposition. Pour consulter l’historique des alertes de l’appareil, vous sélectionnez l’onglet Incidents et alertes. Ensuite, pour afficher la liste des événements de l’appareil, vous choisissez l’onglet Chronologie. Vous constatez de nombreux événements suspects.
À l’issue de ce module, vous pourrez :
- Utiliser la page de l’appareil dans Microsoft Defender pour point de terminaison
- Décrire les informations forensiques sur les appareils collectées par Microsoft Defender pour point de terminaison
- Décrire le blocage comportemental par Microsoft Defender pour point de terminaison
Prérequis
- Compréhension intermédiaire de Windows 10 et 11
- Compréhension de base de PowerShell
- Compréhension de base des opérations de sécurité