Introduction
Microsoft Defender pour point de terminaison fournit des informations détaillées sur les appareils, y compris des informations forensiques.
Vous êtes analyste des opérations de sécurité dans une entreprise qui a implémenté Microsoft Defender pour point de terminaison. Votre travail consiste principalement à corriger les incidents. Un incident avec alertes vous est attribué. Il est lié à une ligne de commande PowerShell suspecte. Vous commencez par examiner l’incident et comprenez toutes les alertes, appareils et preuves associés. Vous ouvrez la page d’alerte pour passer en revue le récit d’alerte et décidez d’effectuer une analyse plus poussée sur l’appareil.
Vous ouvrez la page de l’appareil pour fournir davantage de contexte sur l’incident. L’onglet Vue d’ensemble de la page de l’appareil fournit immédiatement des informations sur le niveau de risque et le niveau d’exposition. Vous sélectionnez l’onglet Alertes pour afficher l’historique des alertes de l’appareil. Vous choisissez ensuite l’onglet Chronologie pour afficher une liste d’événements de l’appareil. Vous constatez de nombreux événements suspects.
À l’issue de ce module, vous pourrez :
- Utiliser la page de l’appareil dans Microsoft Defender pour point de terminaison
- Décrire les informations forensiques sur les appareils collectées par Microsoft Defender pour point de terminaison
- Décrire le blocage comportemental par Microsoft Defender pour point de terminaison
Prérequis
Avoir un niveau de connaissance intermédiaire de Windows 10.