Esperienza Microsoft Defender per endpoint tramite attacchi simulati

Importante

Il lab di valutazione Microsoft Defender per endpoint è stato deprecato a gennaio 2024.

Si applica a:

• Microsoft Defender per endpoint Piano 2
• Microsoft Defender XDR

Si desidera provare Microsoft Defender per endpoint? iscriversi a una versione di valutazione gratuita.

Consiglio

• Informazioni sui miglioramenti più recenti in Microsoft Defender per endpoint: Novità di Defender per endpoint?
• Defender per endpoint ha dimostrato le funzionalità di rilevamento e ottica leader del settore nella recente valutazione MITRE. Leggere: Dati analitici sulla valutazione basata su MITRE ATT&CK.

È possibile provare Defender per endpoint prima di eseguire l'onboarding di più di alcuni dispositivi nel servizio. A tale scopo, è possibile eseguire simulazioni di attacco controllate in alcuni dispositivi di test. Dopo aver eseguito gli attacchi simulati, è possibile esaminare il modo in cui Defender per endpoint presenta attività dannose ed esplorare il modo in cui consente una risposta efficiente.

Prima di iniziare

Per eseguire una delle simulazioni fornite, è necessario almeno un dispositivo di onboarding.

Leggere il documento della procedura dettagliata fornito con ogni scenario di attacco. Ogni documento include i requisiti del sistema operativo e dell'applicazione, nonché istruzioni dettagliate specifiche per uno scenario di attacco.

Eseguire una simulazione

1. In Endpoints>Evaluation & tutorials Tutorials& simulations (Esercitazioni> & simulazioni) selezionare gli scenari di attacco disponibili da simulare:

   • Scenario 1: Il documento elimina la backdoor : simula il recapito di un documento di esca socialmente progettato. Il documento avvia una backdoor appositamente creata che consente agli utenti malintenzionati di controllare.
   • Scenario 2: Script di PowerShell in un attacco senza file : simula un attacco senza file che si basa su PowerShell, mostrando la riduzione della superficie di attacco e il rilevamento dell'apprendimento dei dispositivi delle attività di memoria dannose.
   • Scenario 3: risposta automatica agli eventi imprevisti : attiva un'indagine automatizzata, che cerca e corregge automaticamente gli artefatti di violazione per ridimensionare la capacità di risposta agli eventi imprevisti.

2. Scaricare e leggere il documento della procedura dettagliata corrispondente fornito con lo scenario selezionato.

3. Scaricare il file di simulazione o copiare lo script di simulazione passando a Valutazione & esercitazioni Esercitazioni>& simulazioni. È possibile scegliere di scaricare il file o lo script nel dispositivo di test, ma non è obbligatorio.

4. Eseguire il file o lo script di simulazione nel dispositivo di test come indicato nel documento della procedura dettagliata.

Nota

I file di simulazione o gli script simulano l'attività di attacco, ma sono effettivamente benigni e non danneggiano o compromettono il dispositivo di test.

È anche possibile usare il file di test EICAR o la stringa di testo di test EICAR per eseguire alcuni test. È possibile testare le funzionalità di protezione in tempo reale (creare un file di testo, incollare il testo EICAR e salvare il file come file eseguibile nell'unità locale dell'endpoint. Si riceveranno una notifica sull'endpoint di test e un avviso nella console MDE) o la protezione EDR (è necessario disabilitare temporaneamente la protezione in tempo reale nell'endpoint di test e salvare il file di test EICAR, e quindi provare a eseguire, copiare o spostare questo file). Dopo aver eseguito i test, abilitare la protezione in tempo reale nell'endpoint di test.

Si desidera provare Microsoft Defender per endpoint? iscriversi a una versione di valutazione gratuita.

Argomenti correlati

• Eseguire l'onboarding dei dispositivi
• Aggiungere dispositivi Windows

Consiglio

Per saperne di più, Engage con la community Microsoft Security nella community tech: Microsoft Defender per endpoint Tech Community.