簡介
適用於端點的 Microsoft Defender 提供詳細的裝置資訊,包括鑑識資訊。
您是一家公司的安全性作業分析師,貴公司已實作適用於端點的 Microsoft Defender,而您的主要工作是修復事件。 系統會將事件指派給您,其中具有可疑 PowerShell 命令列的相關警示。 首先檢閱事件,並了解所有相關的警示、裝置和辨識項。 您開啟 [警示] 頁面來檢閱「警示案例」,並決定在裝置上執行進一步的分析。
您開啟 [裝置] 頁面,以提供更多事件的內容。 [裝置] 頁面上的 [概觀] 索引標籤會立即提供相關資訊,例如風險層級和暴露風險層級。 您可以選取 [事件和警示] 索引標籤,以查看裝置的警示歷程記錄。 接下來,您可以選擇 [時間表] 索引標籤,以查看裝置中的事件清單。 您會看到許多可疑事件。
完成本單元後,您將能夠:
- 在適用於端點的 Microsoft Defender 中使用裝置頁面
- 描述適用於端點的 Microsoft Defender 收集的裝置鑑識資訊
- 描述適用於端點的 Microsoft Defender 封鎖的行為
必要條件
- 對 Windows 10 和 11 有中等程度的了解
- 對 PowerShell 的基本了解
- 對安全性作業的基本了解