소개
엔드포인트용 Microsoft Defender는 디바이스를 포함하여 포렌식 분석 데이터를 수집하는 원격 기능을 제공합니다. 라이브 응답 기능을 사용하면 디바이스에서 제한된 원격 액세스 셸을 사용할 수 있습니다.
엔드포인트용 Microsoft Defender를 구현하는 회사에 근무하는 보안 작업 분석가이며 주요 업무는 인시던트를 수정하는 것입니다. 의심스러운 PowerShell 명령줄과 관련된 경고를 포함하는 인시던트를 할당받습니다. 우선 해당 인시던트를 검토한 뒤 관련 경고, 디바이스, 증명 정보를 모두 파악합니다.
경고 페이지를 열어 경고 스토리를 검토하고 디바이스에 대한 추가 분석을 수행하도록 결정합니다. 디바이스 페이지를 열고 사용자 지정 PowerShell 스크립트를 실행하여 더 많은 포렌식 정보를 수집하는 디바이스에 대한 원격 액세스 권한의 필요성 여부를 결정합니다.
디바이스 페이지에서 라이브 응답 세션을 시작하고 스크립트 라이브러리에서 PowerShell 스크립트를 실행합니다. 포렌식 도구와 함께 사용할 파일을 다운로드합니다. 포렌식 데이터를 검토한 후 디바이스 페이지에서 디바이스 격리 작업을 수행합니다.
이 모듈을 완료한 후에는 다음을 수행할 수 있습니다.
- 엔드포인트용 Microsoft Defender를 사용하여 디바이스에서 작업하기
- 엔드포인트용 Microsoft Defender를 사용하여 포렌식 분석 데이터 수집하기
- 엔드포인트용 Microsoft Defender를 사용하여 디바이스에 원격으로 액세스하기
필수 구성 요소
Windows 10에 대한 중급 수준의 이해.