简介

Microsoft Defender for Endpoint 提供了可控制设备和收集取证数据的远程功能。实时响应功能允许在设备上使用受限的远程访问 shell。

你是一位安全运营分析师，你所在的公司已实现 Microsoft Defender for Endpoint，你的主要工作是修正事件。公司向你分配了一个事件，其中包含与可疑 PowerShell 命令行相关的警报。你首先查看该事件，并了解所有相关警报、设备和证据。

你打开警报页以查看警报的详细信息，并决定对设备执行进一步分析。你打开“设备”页，并确定需要远程访问设备以运行自定义 PowerShell 脚本来收集更多的取证信息。

从“设备”页启动实时响应会话，然后从脚本库执行 PowerShell 脚本。下载文件以与取证工具一起使用。查看取证数据后，从“设备”页执行设备隔离操作。

完成此模块后，你将能够：

先决条件

对 Windows 10 有中度理解。