Introduzione
Microsoft Defender per endpoint fornisce informazioni sugli artefatti forensi presenti nell'ambiente. Sono disponibili pagine osservabili specifiche per file, account utente, indirizzi IP e domini.
Si supponga di lavorare come analista della sicurezza presso un'azienda che ha implementato Microsoft Defender per endpoint e che il proprio compito principale sia correggere gli eventi imprevisti. Si riceve l'assegnazione di un evento imprevisto con avvisi correlati a una riga di comando di PowerShell sospetta.
Si inizia esaminando l'evento imprevisto e tutte le evidenze, gli avvisi e i dispositivi correlati. La scheda relativa alle evidenze mostra tre file, sei processi e un metodo di persistenza. Uno dei file ha un nome che non è mai stato visto prima. Si apre la pagina del file per esaminare le informazioni note su di esso.
Il file non è mai stato visto nell'organizzazione se non associato a questo evento imprevisto. Se si tratta di malware, è utile sapere se l'impatto del file è stato limitato al computer in cui è presente. Si decide di inviare il file per un'analisi approfondita per verificare se tale file esegue attività sospette. I risultati mostrano un'attività sospetta, quindi è necessario selezionare Aggiungi indicatore dalla pagina del file per assicurarsi che Defender per endpoint usi l'indicatore per i rilevamenti.
Al termine di questo modulo si sarà in grado di:
- Analizzare i file in Microsoft Defender per endpoint
- Analizzare i domini e gli indirizzi IP in Microsoft Defender per endpoint
- Analizzare gli account utente in Microsoft Defender per endpoint
Prerequisiti
Conoscenza intermedia di Windows 10.