簡介

適用於端點的 Microsoft Defender 提供遠端功能來包含裝置及收集鑑識資料。即時回應功能允許在裝置上執行受限制的遠端存取殼層。

您是一家公司的安全性作業分析師，貴公司已實作適用於端點的 Microsoft Defender，而您的主要工作是修復事件。系統會將事件指派給您，其中具有可疑 PowerShell 命令列的相關警示。首先檢閱事件，並了解所有相關的警示、裝置和辨識項。

您開啟 [警示] 頁面來檢閱「警示案例」，並決定在裝置上執行進一步的分析。您可以開啟 [裝置] 頁面，並決定您需要遠端存取裝置，來執行自訂 PowerShell 指令碼，以收集更多的鑑識資訊。

您從 [裝置] 頁面起始即時回應工作階段，然後從您的指令碼程式庫執行 PowerShell 指令碼。您可以下載檔案，以搭配使用鑑識工具。在檢閱鑑識資料之後，您可以從 [裝置] 頁面執行裝置隔離動作。

完成本單元後，您將能夠：

必要條件

Windows 10 的中繼理解。