MDEのLive responseでVPN切断した話

アイシーティーリンクの譚（たん）です。
みなさん、いかがお過ごしでしょうか。
最近気温が極寒になってきましたね。体調管理には十分気を付けていきましょう！

本日は、Microsoft Defender For Endpoint(MDE)の機能についてお話ししたいと思います。

ご紹介するのは、「Liveresponse」という機能です。
対象PCが何らかのウィルスに感染したとき、リモートシェル接続を使用して対象PCのディレクトリを調査、ファイルのダウンロード、スクリプトの実行することができます。（使えるコマンドは限りある）

Microsoft Defender for Endpoint でライブ応答を使用してデバイス上のエンティティを調査する

今回行った検証は、リモートで対象PCのVPNを切断と再接続してみました
まず初めに、VPN切断と再接続のスクリプトを作成し、

1.Live Responseに接続

2.VPNdisconnect.ps1」と「VPNconnect.ps1」をライブラリーへアップロード

3.コマンド「run VPNdisconnect.ps1」を実行し、対象PCのVPNが切断されていることを確認

4.コマンド「run VPNconnect.ps1」を実行し、対象PCのVPNが再接続していることを確認

以上が手順となりますが、見事に切断と再接続をすることができました。

え？いつ使うの？？って思いますよね。
話すと長くなってしまいますので割愛させて下さい
この機能のおかげで大炎上免れたことはまた今度で！

それではまた、お会いしましょう！