Contexte : Une alerte EDR remonte l'exécution d'une commande PowerShell encodée sur un poste utilisateur du service comptabilité. Le Problème : La commande semble télécharger du contenu depuis une URL externe inconnue. Vous devez déterminer s'il s'agit d'un outil légitime ou d'une tentative d'exécution malveillante. Contraintes : Vous disposez des logs EDR, de la ligne de commande complète, du hash du fichier téléchargé et des connexions réseau associées. Aucun accès direct au poste n'est autorisé dans un premier temps. Livrable attendu : Analyser les indicateurs fournis, identifier les éléments suspects (encodage, domaine externe, comportement anormal) et rédiger un rapport concluant sur la nécessité d'isoler le poste ou d'escalader l'incident.