RabbaniSOC/Microsoft-Defender-EDR-Lab

# 微软防御者EDR调查实验室 ## 项目概述 本项目通过使用微软防御者杀毒软件，展示了端点检测与响应（EDR）调查的实战操作。通过使用EICAR测试文件进行可控的恶意软件模拟，生成安全警报，调查检测事件，审查Windows防御者操作日志，并执行修复操作。 ## 目标 * 理解EDR概念和工作流程 * 使用EICAR生成恶意软件检测事件 * 调查微软防御者警报 * 分析Windows防御者操作日志 * 审查威胁修复活动 * 记录事件调查结果 ## 实验环境 ### 端点 * Windows 11 * 微软防御者杀毒软件 ### 使用工具 * 微软防御者杀毒软件 * Windows安全中心 * 事件查看器 * PowerShell * 任务管理器 ## 调查工作流程 EICAR测试文件创建 ↓ 微软防御者检测 ↓ 事件ID 1116生成 ↓ 威胁调查 ↓ 隔离操作启动 ↓ 事件ID 1011生成 ↓ 威胁修复 ## 检测分析 ### 事件ID 1116 微软防御者检测到EICAR测试文件，并将其分类为严重病毒威胁。 主要发现： * 威胁名称：病毒:DOS/EICAR_Test_File * 严重程度：严重 * 类别：病毒 * 检测来源：本地机器 * 检测来源：用户 * 检测类型：具体 ## 修复分析 使用微软防御者的修复操作对威胁进行了隔离。 ### 事件ID 1011 在分析员采取隔离检测到的文件的操作后，防御者生成了一个修复事件。 结果： * 威胁成功隔离 * 端点受保护 * 防止威胁执行 ## 截图 ## 截图 ### 微软防御者仪表板  ### EICAR威胁检测  ### 事件ID 1116检测事件  ### 事件ID 1117修复事件  ### 威胁修复  ### 进程调查  ### PowerShell活动  ## 展示技能 * 端点检测与响应（EDR） * 微软防御者调查 * 警报分类 * 恶意软件分析 * 威胁检测 * 事件响应 * Windows事件分析 * 安全监控 * 威胁修复 * PowerShell调查

标签：AI合规, EDR调查, EICAR测试文件, Microsoft Defender, PowerShell脚本, Windows事件分析, 事件查看器, 威胁情报, 威胁缓解, 安全中心, 安全日志分析, 安全警报分类, 安全运营, 开发者工具, 扫描框架, 沙箱测试, 终端检测与响应, 自定义DNS解析器