在我們導入microsoft defender for endpoint後,我們主要工作是修復事件。
系統會指派事件給我們,其中具有可疑 PowerShell 命令列的相關Alert。
首先檢閱事件,並了解所有相關的警示、裝置和辨識項
開啟 [警示] 頁面來檢閱「警示案例」,並決定在裝置上執行進一步的分析。
可以開啟 [裝置] 頁面,並決定您需要遠端存取裝置,
來執行自訂 PowerShell 指令碼,以收集更多的鑑識資訊。
我們可以執行下列內含項目動作:
-隔離裝置
-限制應用程式執行
-執行防毒掃描
我們可以執行下列調查動作:
-起始自動化調查
-收集調查封裝
-起始即時回應工作階段
iThome鐵人賽
看影片追技術