簡介

適用於端點的 Microsoft Defender 可針對在環境中找到的鑑識成品，提供相關資訊。檔案、使用者帳戶、IP 位址和網域都有特定的可觀察頁面。

您是一家公司的安全性作業分析師，貴公司已實作適用於端點的 Microsoft Defender，而您的主要工作是修復事件。系統會將事件指派給您，其中具有可疑 PowerShell 命令列的相關警示。

首先檢閱事件，並了解所有相關的警示、裝置和辨識項。 [辨識項] 索引標籤會顯示三個檔案、六個流程和一個持續性方法。其中一個檔案的名稱您之前從未見過。您可以開啟 [檔案] 頁面來檢閱檔案的所有已知資訊。

除了此事件之外，在組織中從未看過該檔案。如果這是惡意程式碼，最好知道此檔案是否僅對這部電腦造成影響。您決定提交關於此檔案的深入分析，以查看檔案是否執行任何可疑活動。結果顯示為可疑活動；您隨後從 [檔案] 頁面選取 [新增指標]，以確定適用於端點的 Defender 會使用指標進行偵測。

完成本單元後，您將能夠：

必要條件

Windows 10 的中繼理解。