はじめに
Microsoft Defender for Endpoint のリモート機能を使用してデバイスを取り込み、フォレンジクス データを収集します。 ライブ応答機能は、デバイスでの制限付きのリモート アクセス シェルに対応しています。
あなたは、Microsoft Defender for Endpoint を実装した企業で働いているセキュリティ運用アナリストで、あなたの主な業務はインシデントを修復することです。 あなたは、不審な PowerShell コマンドラインに関連するアラートが発生したインシデントを担当しています。 まずインシデントを確認し、関連するすべてのアラート、デバイス、および証拠を把握します。
アラート ページを開いてアラート ストーリーを確認し、デバイスの詳細な分析を実行することを決定します。 あなたは、[デバイス] ページを開き、デバイスにリモート アクセしてスカスタム PowerShell スクリプトを実行し、さらに多くのフォレンジクス情報を収集する必要があると判断します。
そして、[デバイス] ページからライブ応答セッションを開始し、スクリプト ライブラリから PowerShell スクリプトを実行します。 フォレンジクス ツールで使用するファイルをダウンロードします。 フォレンジクス データを確認した後、[デバイス] ページからデバイスの分離アクションを実行します。
このモジュールを終了すると、次のことができるようになります。
- Microsoft Defender for Endpoint を使用してデバイスでアクションを実行する
- Microsoft Defender for Endpoint を使用してフォレンジクス データの収集を行う
- Microsoft Defender for Endpoint を使用してデバイスにリモート アクセスする
前提条件
Windows 10 についての中級レベルの理解。