Introduzione
Microsoft Defender per endpoint fornisce informazioni dettagliate sui dispositivi, incluse informazioni forensi.
Si supponga di lavorare come analista della sicurezza presso un'azienda che ha implementato Microsoft Defender per endpoint e che il proprio compito principale sia correggere gli eventi imprevisti. Si riceve l'assegnazione di un evento imprevisto con avvisi correlati a una riga di comando di PowerShell sospetta. Si inizia esaminando l'evento imprevisto e tutte le evidenze, gli avvisi e i dispositivi correlati. Si apre la pagina dell'avviso per esaminare la cronologia degli avvisi e si decide di eseguire ulteriori analisi sul dispositivo.
Si apre la pagina del dispositivo per ottenere maggiori informazioni sul contesto dell'incidente. La scheda di panoramica nella pagina del dispositivo fornisce immediatamente informazioni riguardanti il livello di rischio e il livello di esposizione. Si seleziona la scheda Avvisi per visualizzare una cronologia degli avvisi per il dispositivo. Si sceglie quindi la scheda Sequenza temporale per vedere un elenco di eventi del dispositivo. Vengono visualizzati molti eventi sospetti.
Al termine di questo modulo si sarà in grado di:
- Usare la pagina del dispositivo in Microsoft Defender per endpoint
- Descrivere le informazioni forensi dei dispositivi raccolte da Microsoft Defender per endpoint
- Descrivere il blocco secondo dati comportamentali di Microsoft Defender per endpoint
Prerequisiti
Conoscenza intermedia di Windows 10.