Introdução
O Microsoft Defender para Ponto de Extremidade fornece informações sobre artefatos forenses encontrados no ambiente. Há páginas observáveis específicas para arquivos, contas de usuário, endereços IP e domínios.
Você é analista de operações de segurança e trabalha em uma empresa que implementou o Microsoft Defender para Ponto de Extremidade. Seu trabalho principal é corrigir incidentes. Você recebe um incidente com alertas relacionados a uma linha de comando suspeita do PowerShell.
Você começa analisando o incidente e compreendendo todos os alertas, dispositivos e evidências relacionados. A guia de evidências mostra três arquivos, seis processos e um método de persistência. Um dos arquivos tem um nome que você nunca viu antes. Você abre a página do arquivo para examinar tudo o que é conhecido sobre ele.
O arquivo nunca foi visto na organização antes desse incidente. Se a situação for relacionada a malware, convém saber se esse arquivo afetou apenas este computador. Você decide enviar um arquivo para uma análise profunda a fim de conferir se ele está executando alguma atividade suspeita. Depois de ver que os resultados mostram atividades suspeitas, você seleciona Adicionar Indicador na página do arquivo a fim de garantir que o Defender para Ponto de Extremidade use o indicador para detecções.
Depois de concluir este módulo, você poderá:
- Investigar arquivos no Microsoft Defender para Ponto de Extremidade
- Investigar domínios e endereços IP no Microsoft Defender para Ponto de Extremidade
- Investigar contas de usuário no Microsoft Defender para Ponto de Extremidade
Pré-requisitos
Noções intermediárias sobre o Windows 10.