はじめに
Microsoft Defender for Endpoint では、詳細なデバイス情報 (フォレンジクス情報を含む) が提供されます。
あなたは、Microsoft Defender for Endpoint を実装した企業で働いているセキュリティ運用アナリストで、あなたの主な業務はインシデントを修復することです。 あなたは、不審な PowerShell コマンドラインに関連するアラートが発生したインシデントを担当しています。 まずインシデントを確認し、関連するすべてのアラート、デバイス、および証拠を把握します。 アラート ページを開いてアラート ストーリーを確認し、デバイスの詳細な分析を実行することを決定します。
[デバイス] ページを開き、インシデントに追加のコンテキストを入力します。 [デバイス] ページの [概要] タブには、リスク レベルや漏えいレベルなどの関連情報がすぐに表示されます。 [アラート] タブを選択すると、デバイスのアラートの履歴が表示されます。 次に、[タイムライン] タブを選択して、デバイスからのイベントの一覧を表示します。 疑わしいイベントが多数表示されます。
このモジュールを終了すると、次のことができるようになります。
- Microsoft Defender for Endpoint の [デバイス] ページを使用する
- Microsoft Defender for Endpoint によって収集されたデバイス フォレンジクス情報について説明する
- Microsoft Defender for Endpoint による動作ブロックについて説明する
前提条件
Windows 10 についての中級レベルの理解。