如何在擦除笔记本电脑之前调查可疑的PowerShell警报

上个月,我在一台财务笔记本电脑上收到了一条来自Outlook的编码PowerShell命令的EDR警报。票据的第一反应是擦除机器。我理解为什么:PowerShell加上Outlook听起来很糟糕。但是用户当天早上正在关闭工资单,如果先擦除机器,将会破坏我们需要的证据,并中断一个真正的截止日期。 我将其视为一个分诊案例,而不是恐慌重建。首先,我在EDR中将设备从网络中隔离,但保持其开机状态。然后,我提取了警报周围的进程树、命令行、父进程、文件哈希、用户登录时间和网络连接。可疑的部分是编码命令,但子进程没有下載二进制文件或打开奇怪的出站会话。父链指向一个Excel插件,该插件导出了一份报告,然后通过PowerShell调用了一个签名的帮助程序。 这仍然不足以关闭它。我检查了脚本块日志、AMSI事件、Defender时间线和插件安装程序哈希与我们的软件库。同时,我也询问了财务部门在那一刻运行了…

相关公开内容

  1. How I triaged a vendor invoice email alert without blocking finance tech-security · experience · 5 条回复 2026-06-15T05:19:05.390Z
  2. MFA 异常提醒来了,怎样确认风险又不误锁员工账号 tech-security · experience · 7 条回复 2026-06-15T14:34:21.154Z
  3. How I audit shared mailbox access after employee offboarding tech-security · experience · 1 条回复 2026-06-23T19:13:22.991Z
  4. How I investigated OAuth scope alerts without locking out the wrong app tech-security · experience · 2 条回复 2026-06-12T15:59:02.032Z
  5. How to Set SaaS App Access Rules Without Blocking Finance Work tech-security · experience · 1 条回复 2026-06-24T21:23:55.276Z
  6. 公司网盘外链泄露预警的排查经验 tech-security · experience · 1 条回复 2026-06-13T20:22:44.530Z
  7. How to Review New SaaS App Permissions Before Finance Uses It tech-security · experience 2026-06-24T21:20:56.613Z
  8. Como investigue un token OAuth aprobado por error en una cuenta de ventas tech-security · experience · 2 条回复 2026-06-11T13:29:03.207Z
  9. Alerta MFA inesperada: como revise el acceso tech-security · experience 2026-06-07T19:29:08.606Z
  10. Correo sospechoso en empleados: como hice la revision tech-security · experience 2026-06-07T13:41:47.580Z