Mastering Incident Response in Microsoft Defender for Endpoint: A SOC Analyst Certification Challenge

Pregunta

Eres un analista SOC de una empresa XYZ que implementó Microsoft Defender para Endpoint.

Se le asigna un incidente con alertas relacionadas con una línea de comando de PowerShell dudosa.

Comienza revisando el incidente y aprehendiendo todas las alertas, dispositivos y pruebas relacionados.

Abra la página de alerta para evaluar la Alerta y elija realizar más análisis en el dispositivo.

Abre la página Dispositivo y decide que necesita acceso remoto al dispositivo para recopilar más información forense mediante un script .ps1 personalizado.

Una de las siguientes es una acción de dispositivo.

¿Identificar?

Respuestas

A. Reformatear el dispositivo

B. Dispositivo aislado

C Reiniciar

D. Reinstalar.

Respuesta Correcta

Respuesta correcta: B

No puede ejecutar acciones de reinicio, reinstalación o reformateo.

Puede realizar dispositivos de aislamiento.

Según la gravedad del ataque y la sensibilidad del dispositivo, es posible que desee aislar el dispositivo de la red.

Esta acción puede ayudar a evitar que el atacante controle el dispositivo comprometido y realice otras actividades, como la exfiltración de datos y el movimiento lateral.

¡Ahora puedes descargar los tests!

Aquí puedes echar un vistazo a los tests que puedes descargar en formato PDF y Epub  para visualizarlos en tus dispositivos favoritos o incluso imprimirlos para estudiar, subrayar o hacer anotaciones en papel.
Poco a poco vamos agregando más.
Descargar versión imprimible
crossmenu