Inleiding

Microsoft Defender voor Eindpunt biedt de externe mogelijkheid om apparaten te bevatten en forensische gegevens te verzamelen. Met de functie Live Response kunt u een shell voor beperkte externe toegang op het apparaat gebruiken.

U bent een beveiligingsanalist die werkt bij een bedrijf dat Microsoft Defender voor Eindpunt heeft geïmplementeerd en uw primaire taak is om incidenten te herstellen. U krijgt een incident met waarschuwingen met betrekking tot een verdachte PowerShell-opdrachtregel. U begint met het controleren van het incident en alle gerelateerde waarschuwingen, apparaten en bewijsmateriaal te begrijpen.

U opent de waarschuwingspagina om het waarschuwingsverhaal te bekijken en besluit verdere analyse uit te voeren op het apparaat. U opent de pagina Apparaat en besluit dat u externe toegang tot het apparaat nodig hebt om een aangepast PowerShell-script uit te voeren om meer forensische informatie te verzamelen.

U start een Live Response-sessie vanaf de apparaatpagina en voert een PowerShell-script uit vanuit uw scriptbibliotheek. U downloadt het bestand voor gebruik met forensische hulpprogramma's. Nadat u de forensische gegevens hebt bekeken, voert u de actie apparaatisolatie uit vanaf de pagina Apparaat.

Als u deze module hebt voltooid, kunt u het volgende:

• Acties uitvoeren op een apparaat met behulp van Microsoft Defender voor Eindpunt
• Forensische gegevensverzameling uitvoeren met behulp van Microsoft Defender voor Eindpunt
• Toegang tot apparaten op afstand met behulp van Microsoft Defender voor Eindpunt

Vereisten

Tussenliggend begrip van Windows 10.