Introduksjon

Microsoft Defender for Endpoint gir den eksterne muligheten til å inneholde enheter og samle inn rettsmedisinske data. Live Response-funksjonen gir mulighet for et begrenset skall for ekstern tilgang på enheten.

Du er en sikkerhetsoperasjonsanalytiker som jobber i et selskap som har implementert Microsoft Defender for Endpoint, og den primære jobben er å utbedre hendelser. Du er tilordnet en hendelse med varsler relatert til en mistenkelig PowerShell-kommandolinje. Du starter med å se gjennom hendelsen og forstå alle relaterte varsler, enheter og bevis.

Du åpner varselsiden for å se gjennom varselartikkelen og bestemmer deg for å utføre ytterligere analyser på enheten. Du åpner Enhet-siden og bestemmer deg for at du trenger ekstern tilgang til enheten for å kjøre et egendefinert PowerShell-skript for å samle inn mer rettsmedisinsk informasjon.

Du starter en Live Response-økt fra enhetssiden og kjører et PowerShell-skript fra skriptbiblioteket. Du laster ned filen for bruk med rettsmedisinske verktøy. Når du har gjennomgått de rettsmedisinske dataene, utfører du enhetens isoleringshandling fra enhetssiden.

Når du har fullført denne modulen, kan du:

• Utføre handlinger på en enhet ved hjelp av Microsoft Defender for Endpoint
• Utføre rettsmedisinsk datainnsamling ved hjelp av Microsoft Defender for endepunkt
• Få ekstern tilgang til enheter ved hjelp av Microsoft Defender for endepunkt

Forutsetning

Mellomliggende forståelse av Windows 10.