在我们导入microsoft defender for endpoint後,我们主要工作是修复事件。
系统会指派事件给我们,其中具有可疑 PowerShell 命令列的相关Alert。
首先检阅事件,并了解所有相关的警示、装置和辨识项
开启 [警示] 页面来检阅「警示案例」,并决定在装置上执行进一步的分析。
可以开启 [装置] 页面,并决定您需要远端存取装置,
来执行自订 PowerShell 指令码,以收集更多的监识资讯。
我们可以执行下列内含项目动作:
-隔离装置
-限制应用程序执行
-执行防毒扫描
我们可以执行下列调查动作:
-起始自动化调查
-收集调查封装
-起始即时回应工作阶段
<<: 【Day 09】- 今天来创造 Ghost Process(基於断链隐藏 Process 的手法)
昨天有跟大家卖过关子说之後可能会为各位示范如何发送信件,大家应该都还蛮期待的吧!(应该有吧... 那...
好一阵子没写单元测试与整合测试了,大家是否觉得有些生疏了呢? 之前的测试都写得很简单,正好昨天好好...
今天把功能都做完吧~ 首先,我们把图片弄到Assets.xcassets里面,直接把照片拖曳到左边红...
昨天教了一堆变数的资料型态,分别有整数(int)、浮点数(float)、字串(str)、布林值(bo...
避免像去年一样焦头烂额,这次提前至 7 月开始准备铁人赛, 即便提早准备,也不知要写什麽... 只准...