Úvod
Microsoft Defender for Endpoint poskytuje vzdálenou možnost obsahovat zařízení a shromažďovat forenzní data. Funkce Live Response umožňuje v zařízení omezené prostředí vzdáleného přístupu.
Pracujete ve společnosti, která implementovala Microsoft Defender for Endpoint, a vaším primárním úkolem je napravit incidenty. Máte přiřazený incident s upozorněními souvisejícími s podezřelým příkazovým řádkem PowerShellu. Začnete kontrolou incidentu a seznamte se se všemi souvisejícími výstrahami, zařízeními a důkazy.
Otevřete stránku upozornění, abyste zkontrolovali scénář upozornění a rozhodli se na zařízení provést další analýzu. Otevřete stránku Zařízení a rozhodnete se, že ke spuštění vlastního skriptu PowerShellu potřebujete vzdálený přístup k zařízení, abyste shromáždili další forenzní informace.
Relaci živé odpovědi zahájíte ze stránky Zařízení a spustíte skript PowerShellu z knihovny skriptů. Stáhnete soubor pro použití s forenzními nástroji. Po kontrole forenzních dat provedete akci izolace zařízení ze stránky Zařízení.
Po dokončení tohoto modulu budete umět:
- Provádění akcí na zařízení pomocí Programu Microsoft Defender for Endpoint
- Provádění shromažďování forenzních dat pomocí Programu Microsoft Defender for Endpoint
- Vzdálený přístup k zařízením pomocí Programu Microsoft Defender for Endpoint
Předpoklady
Středně pokročilé znalosti Windows 10