Wprowadzenie
Ochrona punktu końcowego w usłudze Microsoft Defender zawiera informacje o artefaktach kryminalistycznych znalezionych w środowisku. Istnieją konkretne obserwowalne strony dla plików, kont użytkowników, adresów IP i domen.
Jesteś analitykiem operacji zabezpieczeń pracującym w firmie, która wdrożyła Ochrona punktu końcowego w usłudze Microsoft Defender, a twoim podstawowym zadaniem jest korygowanie zdarzeń. Przypisano zdarzenie z alertami związanymi z podejrzanym wierszem polecenia programu PowerShell.
Zacznij od przejrzenia zdarzenia i zrozumienia wszystkich powiązanych alertów, urządzeń i dowodów. Karta dowodów zawiera trzy pliki, sześć procesów i jedną metodę trwałości. Jeden z plików ma nazwę, której nigdy wcześniej nie widziałeś. Otwórz stronę pliku, aby przejrzeć wszystkie znane informacje o pliku.
Plik nigdy nie był widziany w organizacji innego niż ten incydent. Jeśli sytuacja dotyczy złośliwego oprogramowania, dobrze jest wiedzieć, czy ten plik ma wpływ tylko na tę maszynę. Postanawiasz przesłać głęboką analizę pliku, aby sprawdzić, czy plik wykonuje jakiekolwiek podejrzane działania. Wyniki pokazują podejrzane działania; Następnie wybierz pozycję Dodaj wskaźnik ze strony pliku, aby upewnić się, że usługa Defender dla punktu końcowego będzie używać wskaźnika wykrywania.
Po ukończeniu tego modułu będziesz mieć następujące umiejętności:
- Badanie plików w Ochrona punktu końcowego w usłudze Microsoft Defender
- Badanie domen i adresów IP w Ochrona punktu końcowego w usłudze Microsoft Defender
- Badanie kont użytkowników w Ochrona punktu końcowego w usłudze Microsoft Defender
Wymagania wstępne
Pośrednie zrozumienie systemu Windows 10.