Pour rappel, Defender Security Center représente la brique et le portail dédié associé a Defender for Endpoint, et représente l’offre SAS de Microsoft dans le domaine des EDR (Endpoint Detection and Response), encore appelé antivirus de nouvelle génération.
Dans le cadre de l’exploitation des données remontées par la solution, il peut être utile de collecter des données de diagnostique sans avoir a se connecter sur la machine cible.
Dans le portail Security Center, dans la zone Device Inventory, cliquer sur le device cible pour ouvrir la page du device.
Cliquer sur 
et sélectionner Collect investigation package. La demande est initiée.
Apres quelques minutes, dans le même menu, sélectionner Action Center pour afficher la disponibilité du package
Cliquer sur le lien Package collection package available pour télécharger le package.
Le package contiens différents éléments:
- Programmes installés
- Diagnostiques réseaux (
)
- Une liste un dump du contenu du dossier Windows\Prefetch (
cf: Prefetcher — Wikipédia (wikipedia.org))
- Le détail des processes en cours
- les taches planifiées
- un export de l’eventlog Security
- Le détails des services
- les session SMB
- les infos du systeme (systeminfo.exe)
- les listes de contenu de differents dossier Temporaires
- Les users et groupes locaux
- La collecte de diagnostiques générée avec l’outil mpcmdrun.exe (cf: Utiliser la ligne de commande pour gérer l’Antivirus Microsoft Defender - Windows security | Microsoft Docs ; Collecter des données de diagnostic de l’Antivirus Microsoft Defender - Windows security | Microsoft Docs)