Einführung
Microsoft Defender für Endpunkt liefert Informationen zu forensischen Artefakten in einer Umgebung. Es sind bestimmte beobachtbare Seiten für Dateien, Benutzerkonten, IP-Adressen und Domänen verfügbar.
Sie sind als Security Operations Analyst in einem Unternehmen tätig, das Microsoft Defender für Endpunkt implementiert hat, und in erster Linie für die Bearbeitung von Incidents zuständig. Ihnen wird ein Incident mit Warnungen im Zusammenhang mit einer verdächtigen PowerShell-Befehlszeile zugewiesen.
Zunächst überprüfen Sie den Incident und sehen sich alle zugehörigen Warnungen, Geräte und Beweise an. Auf der Registerkarte „Beweis“ werden drei Dateien, sechs Prozesse und eine Persistenzmethode angezeigt. Eine der Dateien weist einen Namen auf, den Sie noch nie zuvor gesehen haben. Öffnen Sie die Dateiseite, um alle bekannten Informationen zu dieser Datei anzuzeigen.
Mit Ausnahme dieses Incidents wurde diese Datei noch nie innerhalb der Organisation verwendet. Wenn es sich um Schadsoftware handelt, ist es gut zu wissen, ob nur dieser Computer von der Datei beeinträchtigt wurde. Sie beschließen, die Datei umfassend zu analysieren, um herauszufinden, ob die Datei verdächtige Aktivitäten ausführt. Bei dieser Analyse stellen Sie fest, dass verdächtige Aktivitäten ausgeführt werden. Um sicherzustellen, dass Defender für Endpunkt den Indikator zur Ermittlung verwendet, wählen Sie auf der Dateiseite die Option „Indikator hinzufügen“ aus.
Nach Abschluss dieses Moduls können Sie folgende Aufgaben durchführen:
- Untersuchen von Dateien in Microsoft Defender für Endpunkt
- Untersuchen von Domänen und IP-Adressen in Microsoft Defender für Endpunkt
- Untersuchen von Benutzerkonten in Microsoft Defender für Endpunkt
Voraussetzungen
Fortgeschrittene Kenntnisse zu Windows 10.