はじめに
Microsoft Defender for Endpoint は、環境内で検出されたフォレンジック アーティファクトに関する情報を提供します。 ファイル、ユーザー アカウント、IP アドレス、ドメインについて監視可能な特定のページがあります。
あなたは、Microsoft Defender for Endpoint を実装した企業で働いているセキュリティ運用アナリストで、あなたの主な業務はインシデントを修復することです。 あなたは、不審な PowerShell コマンドラインに関連するアラートが発生したインシデントを担当しています。
あなたは最初にインシデントを確認し、関連するすべてのアラート、デバイス、および証拠を把握します。 [証拠] タブには、3 つのファイル、6 つのプロセス、および 1 つの永続化方式が表示されます。 ファイルの 1 つには、これまでに見たことのない名前が付いています。 [ファイル] ページを開いて、ファイルに関する既知の情報をすべて確認します。
組織では、このインシデント以外でこのファイルが表示されたことはありません。 状況がマルウェアの場合は、このファイルの影響を受けたのがこのコンピューターのみかどうかを確認することをお勧めします。 疑わしいアクティビティをファイルが実行しているかどうかを確認するために、ファイルに対して詳細な分析を提出することにしました。 結果には、疑わしいアクティビティが表示されています。次に、[ファイル] ページで [インジケーターの追加] を選択して、Defender for Endpoint が必ずインジケーターを使用して検出を行うようにします。
このモジュールを終了すると、次のことができるようになります。
- Microsoft Defender for Endpoint でファイルを調査する
- Microsoft Defender for Endpoint でドメインと IP アドレスを調査する
- Microsoft Defender for Endpoint でユーザー アカウントを調査する
前提条件
Windows 10 についての中級レベルの理解。