Johdanto

Microsoft Defender for Endpoint tarjoaa etäominaisuuden laitteiden sisältämiseen ja rikosteknisten tietojen keräämiseen. Reaaliaikainen vastaus -ominaisuus mahdollistaa rajoitetun etäkäytön käyttöliittymän laitteessa.

Olet tietoturva-analyytikko, joka työskentelee yrityksessä, joka on ottanut käyttöön Microsoft Defender for Endpointin, ja ensisijainen tehtäväsi on korjata tapaukset. Sinulle on määritetty tapaus, joka sisältää epäilyttävään PowerShell-komentoriviin liittyviä hälytyksiä. Aloitat tarkastelemalla tapausta ja tutustumalla kaikkiin liittyviin hälytyksiin, laitteisiin ja todisteisiin.

Avaat ilmoitussivun, jotta voit tarkistaa ilmoituksen tarinan, ja päätät tehdä lisäanalyyseja laitteessa. Avaat Laite-sivun ja päätät, että tarvitset etäyhteyden laitteeseen ja suoritat mukautetun PowerShell-komentosarjan rikosteknisten tietojen keräämiseksi.

Aloitat reaaliaikaisen vastauksen istunnon laitesivulta ja suoritat PowerShell-komentosarjan komentosarjakirjastostasi. Lataat tiedoston käytettäväksi rikosteknisten työkalujen kanssa. Kun olet tarkistanut rikostekniset tiedot, suoritat laitteen eristämistoiminnon Laite-sivulta.

Kun olet suorittanut tämän moduulin, voit tehdä seuraavia:

• Toimintojen suorittaminen laitteessa Microsoft Defender for Endpointin avulla
• Rikosteknisen tietokokoelman suorittaminen Microsoft Defender for Endpointin avulla
• Laitteiden etäkäyttö Microsoft Defender for Endpointin avulla

Edellytykset

Keskitason ymmärrys Windows 10:stä.