Einführung
Microsoft Defender für Endpunkt bietet die Remotefunktionen zum Einbeziehen von Geräten und Sammeln forensischer Daten. Die Live Response-Funktion ermöglicht eine eingeschränkte Remotezugriffsshell auf dem Gerät.
Sie sind als Security Operations Analyst in einem Unternehmen tätig, das Microsoft Defender für Endpunkt implementiert hat, und in erster Linie für die Bearbeitung von Incidents zuständig. Ihnen wird ein Incident mit Warnungen im Zusammenhang mit einer verdächtigen PowerShell-Befehlszeile zugewiesen. Zunächst überprüfen Sie den Incident und sehen sich alle zugehörigen Warnungen, Geräte und Beweise an.
Sie öffnen die Seite mit Warnungen, um den Warnungsverlauf zu überprüfen, und entscheiden sich für eine weitere Analyse des Geräts. Sie öffnen die Geräteseite und entscheiden, dass Sie Remotezugriff auf das Gerät benötigen, um ein benutzerdefiniertes PowerShell-Skript zum Sammeln weiterer forensischer Informationen auszuführen.
Sie initiieren eine Live Response-Sitzung über die Geräteseite und führen ein PowerShell-Skript aus der Skriptbibliothek aus. Sie laden die Datei zur Verwendung mit Forensiktools herunter. Nachdem Sie die forensischen Daten überprüft haben, führen Sie die Aktion zur Geräteisolierung über die Geräteseite aus.
Nach Abschluss dieses Moduls können Sie folgende Aufgaben durchführen:
- Ausführen von Aktionen auf einem Gerät mithilfe von Microsoft Defender für Endpunkt
- Durchführen der Sammlung forensischer Daten mithilfe von Microsoft Defender für Endpunkt
- Remotezugriff auf Geräte mithilfe von Microsoft Defender für Endpunkt
Voraussetzungen
Fortgeschrittene Kenntnisse zu Windows 10.