How to Handle Suspicious PowerShell Commands: A Guide for Microsoft Defender for Endpoint Analysts at Company XYZ
Pregunta
Eres un analista SOC de una empresa XYZ que implementó Microsoft Defender para Endpoint.
Se le asigna un incidente con alertas relacionadas con una línea de comando de PowerShell dudosa.
Comienza revisando el incidente y aprehendiendo todas las alertas, dispositivos y pruebas relacionados.
Abra la página de alerta para evaluar la Alerta y elija realizar más análisis en el dispositivo.
Abre la página Dispositivo y decide que necesita acceso remoto al dispositivo para recopilar más información forense mediante un script .ps1 personalizado.
¿Qué tipo de información se recopila en un paquete de investigación?
Respuestas
A. Archivos de captación previa
B. Transacciones de red
C. Historial de comandos
D. Historial del proceso.
Respuesta Correcta
Respuesta correcta: A
Las transacciones de red, el proceso y el historial de comandos no se recopilan.
Solo se recopilan archivos Prefetch.
Un paquete de investigación contiene las siguientes carpetas cuando lo recopila de un dispositivo como parte del proceso de investigación.
Estos pueden ayudarnos a identificar el estado actual de los dispositivos y métodos utilizados por los atacantes.
Ejecuciones automáticas, programas instalados, conexiones de red, archivos de recuperación previa, carpeta de recuperación previa, procesos, tareas programadas, registro de eventos de seguridad, servicios, sesiones de bloque de mensajes de Windows Server (SMB), información del sistema, directorios temporales, usuarios y grupos, WdSupportLogs, CollectionSummaryReport.xls
¡Ahora puedes descargar los tests!
Poco a poco vamos agregando más.