Mastering Incident Response in Microsoft Defender for Endpoint: A SOC Analyst Certification Challenge
Pregunta
Eres un analista SOC de una empresa XYZ que implementó Microsoft Defender para Endpoint.
Se le asigna un incidente con alertas relacionadas con una línea de comando de PowerShell dudosa.
Comienza revisando el incidente y aprehendiendo todas las alertas, dispositivos y pruebas relacionados.
Abra la página de alerta para evaluar la Alerta y elija realizar más análisis en el dispositivo.
Abre la página Dispositivo y decide que necesita acceso remoto al dispositivo para recopilar más información forense mediante un script .ps1 personalizado.
Una de las siguientes es una acción de dispositivo.
¿Identificar?
Respuestas
A. Reformatear el dispositivo
B. Dispositivo aislado
C Reiniciar
D. Reinstalar.
Respuesta Correcta
Respuesta correcta: B
No puede ejecutar acciones de reinicio, reinstalación o reformateo.
Puede realizar dispositivos de aislamiento.
Según la gravedad del ataque y la sensibilidad del dispositivo, es posible que desee aislar el dispositivo de la red.
Esta acción puede ayudar a evitar que el atacante controle el dispositivo comprometido y realice otras actividades, como la exfiltración de datos y el movimiento lateral.
¡Ahora puedes descargar los tests!
Poco a poco vamos agregando más.