Compartir vía

Prueba de detección de EDR para comprobar la incorporación y los servicios de informes del dispositivo

  • Artículo

Se aplica a:

Requisitos y configuración del escenario

  • Windows 11, Windows 10 versión 1709 compilación 16273 o posterior, Windows 8.1 o Windows 7 SP1.
  • Windows Server 2022, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2 y Windows Server 2008 R2 SP1.
  • Linux
  • macOS
  • Microsoft Defender para punto de conexión
  • Microsoft Defender para punto de conexión en Linux
  • Microsoft Defender para punto de conexión en macOS

La detección y respuesta de puntos de conexión para punto de conexión proporcionan detecciones avanzadas de ataques casi en tiempo real y accionables. Los analistas de seguridad pueden asignar prioridades a las alertas de forma eficaz, obtener visibilidad para todo el ámbito de la vulneración y llevar a cabo acciones de respuesta para corregir las amenazas.

Ejecute una prueba de detección de EDR para comprobar que el dispositivo está incorporado correctamente e informar al servicio. Realice los pasos siguientes en el dispositivo recién incorporado:

Windows

  1. Abrir una ventana del símbolo del sistema

  2. En el símbolo del sistema, copie y ejecute el siguiente comando. La ventana del símbolo del sistema se cerrará automáticamente.

powershell.exe -NoExit -ExecutionPolicy Bypass -WindowStyle Hidden $ErrorActionPreference= 'silentlycontinue';(New-Object System.Net.WebClient).DownloadFile('http://127.0.0.1/1.exe', 'C:\\test-WDATP-test\\invoice.exe');Start-Process 'C:\\test-WDATP-test\\invoice.exe'
  1. Si se realiza correctamente, la prueba de detección se marcará como completada y aparecerá una nueva alerta en unos minutos.

Linux

  1. Descarga del archivo de script en un servidor Linux incorporado
curl -o ~/Downloads/MDE Linux DIY.zip https://aka.ms/LinuxDIY
  1. Extracción del archivo ZIP
unzip ~/Downloads/MDE Linux DIY.zip
  1. Y ejecute el siguiente comando:
./mde_linux_edr_diy.sh

Después de unos minutos, se debe generar una detección en Microsoft Defender XDR.

  1. Examine los detalles de la alerta, la escala de tiempo de la máquina y realice los pasos de investigación típicos.

macOS

  1. En el explorador, Microsoft Edge para Mac o Safari, descargue MDATP MacOS DIY.zip de https://aka.ms/mdatpmacosdiy y extraiga.

    Aparece el mensaje siguiente:

    ¿Desea permitir descargas en "mdatpclientanalyzer.blob.core.windows.net"?
    Puede cambiar qué sitios web pueden descargar archivos en Preferencias de sitios web.

  2. Haga clic en Permitir.

  3. Abra Descargas.

  4. Debe poder ver MDATP MacOS DIY.

    Sugerencia

    Si hace doble clic en MDATP MacOS DIY, recibirá el siguiente mensaje:

    No se puede abrir "MDATP MacOS DIY" porque el desarrollador no puede ser comprobador.
    macOS no puede comprobar que esta aplicación está libre de malware.
    [Mover a la papelera][Cancelar]

  5. Haga clic en Cancelar.

  6. Haga clic con el botón derecho en MDATP MacOS DIYy, a continuación, haga clic en Abrir.

    El sistema muestra el siguiente mensaje:

    macOS no puede comprobar el desarrollador de MDATP MacOS DIY. ¿Está seguro de que desea abrirlo?
    Al abrir esta aplicación, se reemplazará la seguridad del sistema que puede exponer su equipo y la información personal a malware que puede dañar su Mac o poner en peligro su privacidad.

  7. Haga clic en Open (Abrir).

    El sistema mostrará el siguiente mensaje:

    Microsoft Defender para punto de conexión: archivo de prueba de bricolaje de macOS EDR
    La alerta correspondiente estará disponible en el portal de MDATP.

  8. Haga clic en Open (Abrir).

    En pocos minutos, se genera una alerta de prueba de macOS EDR .

  9. Vaya a Microsoft Defender portal (https://security.microsoft.com/).

  10. Vaya a la cola de alertas .

    Captura de pantalla que muestra una alerta de prueba de macOS EDR que muestra la gravedad, la categoría, el origen de detección y un menú contraído de acciones

    La alerta de prueba de EDR de macOS muestra la gravedad, la categoría, el origen de detección y un menú contraído de acciones.

    Examine los detalles de la alerta y la escala de tiempo del dispositivo y realice los pasos de investigación normales.

Los pasos siguientes que puede considerar realizar son agregar exclusiones de AV según sea necesario para la compatibilidad o el rendimiento de las aplicaciones:

Lea Microsoft Defender para punto de conexión Guía de operaciones de seguridad.