Wprowadzenie
Ochrona punktu końcowego w usłudze Microsoft Defender zapewnia zdalną możliwość przechowywania urządzeń i zbierania danych kryminalistycznych. Funkcja odpowiedzi na żywo umożliwia korzystanie z powłoki z ograniczonym dostępem zdalnym na urządzeniu.
Jesteś analitykiem operacji zabezpieczeń pracującym w firmie, która wdrożyła Ochrona punktu końcowego w usłudze Microsoft Defender, a twoim podstawowym zadaniem jest korygowanie zdarzeń. Przypisano zdarzenie z alertami związanymi z podejrzanym wierszem polecenia programu PowerShell. Zacznij od przejrzenia zdarzenia i zrozumienia wszystkich powiązanych alertów, urządzeń i dowodów.
Otworzysz stronę alertu, aby przejrzeć historię alertów i zdecydować się przeprowadzić dalszą analizę na urządzeniu. Otwórz stronę Urządzenie i zdecydujesz, że potrzebujesz dostępu zdalnego do urządzenia, aby uruchomić niestandardowy skrypt programu PowerShell w celu zebrania dodatkowych informacji kryminalistycznych.
Sesję odpowiedzi na żywo należy zainicjować na stronie Urządzenie i wykonać skrypt programu PowerShell z biblioteki skryptów. Plik jest pobierany do użycia z narzędziami kryminalistycznymi. Po przejrzeniu danych kryminalistycznych należy wykonać akcję izolacji urządzenia ze strony Urządzenie.
Po ukończeniu tego modułu będziesz mieć następujące umiejętności:
- Wykonywanie akcji na urządzeniu przy użyciu Ochrona punktu końcowego w usłudze Microsoft Defender
- Przeprowadzanie zbierania danych kryminalistycznych przy użyciu Ochrona punktu końcowego w usłudze Microsoft Defender
- Zdalne uzyskiwanie dostępu do urządzeń przy użyciu Ochrona punktu końcowego w usłudze Microsoft Defender
Wymagania wstępne
Pośrednie zrozumienie systemu Windows 10.