Introduction
Microsoft Defender pour point de terminaison fournit des informations sur les artefacts légaux détectés dans l’environnement. Il existe des pages observables spécifiques pour les fichiers, les comptes d’utilisateur, les adresses IP et les domaines.
Vous êtes analyste des opérations de sécurité dans une entreprise qui a implémenté Microsoft Defender pour point de terminaison. Votre travail consiste principalement à corriger les incidents. Un incident avec alertes vous est attribué. Il est lié à une ligne de commande PowerShell suspecte.
Vous commencez par examiner l’incident et comprenez toutes les alertes, appareils et preuves associés. L’onglet Preuve affiche trois fichiers, six processus et une méthode de persistance. L’un des fichiers a un nom que vous n’avez jamais vu auparavant. Vous ouvrez la page de fichier pour examiner tout ce qui est connu du fichier.
Le fichier n’a jamais été vu dans l’organisation ailleurs que dans cet incident. S’il s’agit d’un programme malveillant, il est bon de savoir si ce fichier a uniquement impacté que cette ordinateur. Vous décidez de réaliser une analyse approfondie sur le fichier pour voir si le fichier effectue des activités suspectes. Les résultats montrent une activité suspecte. Vous sélectionnez ensuite Ajouter un indicateur dans la page de fichier pour vous assurer que Defender pour point de terminaison utilise l’indicateur pour les détections.
À l’issue de ce module, vous pourrez :
- Examiner les fichiers dans Microsoft Defender pour point de terminaison
- Examiner les domaines et les adresses IP dans Microsoft Defender pour point de terminaison
- Examiner les comptes d’utilisateur dans Microsoft Defender pour point de terminaison
Prérequis
Avoir un niveau de connaissance intermédiaire de Windows 10.