Cómo investigar una alerta sospechosa de PowerShell antes de borrar el portátil
El mes pasado recibí una alerta de EDR en un portátil de finanzas para un comando de PowerShell codificado lanzado desde Outlook. La primera reacción en el ticket fue borrar la máquina. Entiendo por qué: PowerShell más Outlook suena mal. Pero el usuario estaba cerrando la nómina esa mañana, y borrar primero habría destruido las pruebas que necesitábamos e interrumpido un plazo real. Lo traté…