如何在擦除笔记本电脑之前调查可疑的PowerShell警报
上个月,我在一台财务笔记本电脑上收到了一条来自Outlook的编码PowerShell命令的EDR警报。票据的第一反应是擦除机器。我理解为什么:PowerShell加上Outlook听起来很糟糕。但是用户当天早上正在关闭工资单,如果先擦除机器,将会破坏我们需要的证据,并中断一个真正的截止日期。 我将其视为一个分诊案例,而不是恐慌重建。首先,我在EDR中将设备从网络中隔离,但保持其开机状态。然后,我提取了警报周围的进程树、命令行、父进程、文件哈希、用户登录时间和网络连接。可疑的部分是编码命令,但子进程没有下載二进制文件或打开奇怪的出站会话。父链指向一个Excel插件,该插件导出了一份报告,然后通过PowerShell调用了一个签名的帮助程序。 这仍然不足以关闭它。我检查了脚本块日志、AMSI事件、Defender时间线和插件安装程序哈希与我们的软件库。同时,我也询问了财务部门在那一刻运行了…