Introduzione
Microsoft Defender per endpoint fornisce la funzionalità remota per contenere i dispositivi e raccogliere dati di analisi forense. La funzionalità Live Response offre una shell di accesso remoto con limitazioni nel dispositivo.
Si supponga di lavorare come analista della sicurezza presso un'azienda che ha implementato Microsoft Defender per endpoint e che il proprio compito principale sia correggere gli eventi imprevisti. Si riceve l'assegnazione di un evento imprevisto con avvisi correlati a una riga di comando di PowerShell sospetta. Si inizia esaminando l'evento imprevisto e tutte le evidenze, gli avvisi e i dispositivi correlati.
Si apre la pagina dell'avviso per esaminare la cronologia degli avvisi e si decide di eseguire ulteriori analisi sul dispositivo. Si apre la pagina Dispositivo e si stabilisce che è necessario l'accesso remoto al dispositivo per eseguire uno script di PowerShell personalizzato per raccogliere altre informazioni di analisi forense.
Si avvia una sessione di Live Response dalla pagina Dispositivo e si esegue uno script di PowerShell dalla libreria di script. Si scarica il file per usarlo con gli strumenti di analisi forense. Dopo aver esaminato i dati di analisi forense, eseguire l'azione di isolamento del dispositivo dalla pagina Dispositivo.
Al termine di questo modulo si sarà in grado di:
- Eseguire azioni su un dispositivo con Microsoft Defender per endpoint
- Raccogliere dati di analisi forense usando Microsoft Defender per endpoint
- Accedere ai dispositivi in remoto tramite Microsoft Defender per endpoint
Prerequisiti
Conoscenza intermedia di Windows 10.