Einführung

Abgeschlossen

Microsoft Defender für Endpunkt bietet umfassende Geräteinformationen, einschließlich forensischer Informationen.

Sie sind als Security Operations Analyst in einem Unternehmen tätig, das Microsoft Defender für Endpunkt implementiert hat, und in erster Linie für die Bearbeitung von Incidents zuständig. Ihnen wird ein Incident mit Warnungen im Zusammenhang mit einer verdächtigen PowerShell-Befehlszeile zugewiesen. Zunächst überprüfen Sie den Incident und sehen sich alle zugehörigen Warnungen, Geräte und Beweise an. Sie öffnen die Seite mit Warnungen, um den Warnungsverlauf zu überprüfen, und entscheiden sich für eine weitere Analyse des Geräts.

Sie öffnen die Gerätseite, um weiteren Kontext für den Incident bereitzustellen. Auf der Registerkarte „Übersicht“ der Geräteseite stehen sofort entsprechende Informationen bereit, z. B. die Risikostufe und die Gefährdungsstufe. Sie wählen die Registerkarte „Warnungen“ aus, um den Warnungsverlauf für das Gerät anzuzeigen. Anschließend wählen Sie die Registerkarte „Zeitachse“ aus, um eine Liste der Ereignisse auf dem Gerät anzuzeigen. Es sind zahlreiche verdächtige Ereignisse enthalten.

Nach Abschluss dieses Moduls können Sie Folgendes:

  • Verwenden der Geräteseite in Microsoft Defender für Endpunkt
  • Beschreiben forensischer Geräteinformationen, die von Microsoft Defender für Endpunkt gesammelt werden
  • Beschreiben des verhaltensbasierten Blockierens durch Microsoft Defender für Endpunkt

Voraussetzungen

Fortgeschrittene Kenntnisse zu Windows 10.