Introduction
Découvrez comment Microsoft Defender pour point de terminaison offre la capacité à distance de contenir des appareils et de collecter des données d’investigation. La fonctionnalité de réponse dynamique permet d’accéder à un interpréteur d’accès à distance limité sur l’appareil.
Vous êtes analyste des opérations de sécurité dans une entreprise qui a implémenté Microsoft Defender pour point de terminaison. Votre travail consiste principalement à corriger les incidents. Un incident avec alertes vous est attribué. Il est lié à une ligne de commande PowerShell suspecte. Vous commencez par examiner l’incident et comprenez toutes les alertes, appareils et preuves associés.
Vous ouvrez la page d’alerte pour passer en revue le récit d’alerte et décider d’effectuer une analyse plus poussée sur l’appareil. Vous ouvrez la page de l’appareil et décidez que vous avez besoin d’un accès à distance à l’appareil pour exécuter un script PowerShell personnalisé afin de collecter des informations plus légales.
Vous lancez une session de réponse en direct à partir de la page de l’appareil et exécutez un script PowerShell à partir de votre bibliothèque de scripts. Vous téléchargez le fichier pour l’utiliser avec des outils d’investigation. Après avoir examiné les données d’investigation, effectuez l’action d’isolation d’appareil à partir de la page de l’appareil.
À l’issue de ce module, vous pourrez :
- Effectuer des actions sur un appareil à l’aide de Microsoft Defender pour point de terminaison
- Exécuter une collecte de données d’investigation à l’aide de Microsoft Defender for Endpoint
- Accéder à distance à des appareils à l’aide de Microsoft Defender pour point de terminaison
Prérequis
Avoir un niveau de connaissance intermédiaire de Windows 10.