Introdução

O Microsoft Defender for Endpoint fornece a capacidade remota de conter dispositivos e coletar dados forenses. O recurso Live Response permite um shell de acesso remoto restrito no dispositivo.

Você é um analista de operações de segurança que trabalha em uma empresa que implementou o Microsoft Defender for Endpoint, e seu trabalho principal é remediar incidentes. Você recebe um incidente com alertas relacionados a uma linha de comando suspeita do PowerShell. Você começa analisando o incidente e entendendo todos os alertas, dispositivos e evidências relacionados.

Abra a página de alerta para rever a História de alerta e decidir realizar uma análise mais aprofundada no dispositivo. Abra a página Dispositivo e decida que precisa de acesso remoto ao dispositivo para executar um script personalizado do PowerShell para coletar mais informações forenses.

Inicie uma sessão de Resposta ao Vivo a partir da página Dispositivo e execute um script do PowerShell a partir da sua biblioteca de scripts. Você baixa o arquivo para uso com ferramentas forenses. Depois de analisar os dados forenses, execute a ação de isolamento do dispositivo na página Dispositivo.

Depois de concluir este módulo, conseguirá:

• Executar ações em um dispositivo usando o Microsoft Defender for Endpoint
• Realizar a coleta de dados forenses usando o Microsoft Defender for Endpoint
• Acessar dispositivos remotamente usando o Microsoft Defender for Endpoint

Pré-requisitos

Compreensão intermediária do Windows 10.