How to Handle Suspicious PowerShell Commands: A Guide for Microsoft Defender for Endpoint Analysts at Company XYZ

Pregunta

Eres un analista SOC de una empresa XYZ que implementó Microsoft Defender para Endpoint.

Se le asigna un incidente con alertas relacionadas con una línea de comando de PowerShell dudosa.

Comienza revisando el incidente y aprehendiendo todas las alertas, dispositivos y pruebas relacionados.

Abra la página de alerta para evaluar la Alerta y elija realizar más análisis en el dispositivo.

Abre la página Dispositivo y decide que necesita acceso remoto al dispositivo para recopilar más información forense mediante un script .ps1 personalizado.

¿Qué tipo de información se recopila en un paquete de investigación?

Respuestas

A. Archivos de captación previa

B. Transacciones de red

C. Historial de comandos

D. Historial del proceso.

Respuesta Correcta

Respuesta correcta: A

Las transacciones de red, el proceso y el historial de comandos no se recopilan.

Solo se recopilan archivos Prefetch.

Un paquete de investigación contiene las siguientes carpetas cuando lo recopila de un dispositivo como parte del proceso de investigación.

Estos pueden ayudarnos a identificar el estado actual de los dispositivos y métodos utilizados por los atacantes.

Ejecuciones automáticas, programas instalados, conexiones de red, archivos de recuperación previa, carpeta de recuperación previa, procesos, tareas programadas, registro de eventos de seguridad, servicios, sesiones de bloque de mensajes de Windows Server (SMB), información del sistema, directorios temporales, usuarios y grupos, WdSupportLogs, CollectionSummaryReport.xls

¡Ahora puedes descargar los tests!

Aquí puedes echar un vistazo a los tests que puedes descargar en formato PDF y Epub  para visualizarlos en tus dispositivos favoritos o incluso imprimirlos para estudiar, subrayar o hacer anotaciones en papel.
Poco a poco vamos agregando más.
Descargar versión imprimible
crossmenu