Microsoft Defender per endpoint lab di valutazione

Importante

Il lab di valutazione Microsoft Defender per endpoint è stato deprecato a gennaio 2024.

Si applica a:

Se si desidera provare Microsoft Defender per endpoint, iscriversi a una versione di valutazione gratuita.

Importante

Mentre Microsoft continua a valutare il valore delle funzionalità e dei servizi da fornire, Microsoft ha deciso di ritirare Defender Evaluation Lab. Questa modifica verrà implementata a metà gennaio 2024 e si prevede di completare entro la fine di gennaio 2024.

Eseguire una valutazione completa del prodotto di sicurezza può essere un processo complesso che richiede una configurazione complessa dell'ambiente e del dispositivo prima che sia effettivamente possibile eseguire una simulazione di attacco end-to-end. L'aggiunta alla complessità è la sfida del rilevamento in cui le attività di simulazione, gli avvisi e i risultati vengono riflessi durante la valutazione.

Il lab di valutazione Microsoft Defender per endpoint è progettato per eliminare le complessità della configurazione del dispositivo e dell'ambiente in modo che sia possibile concentrarsi sulla valutazione delle funzionalità della piattaforma, sull'esecuzione di simulazioni e sulla visualizzazione delle funzionalità di prevenzione, rilevamento e correzione in azione.

Con l'esperienza di configurazione semplificata, è possibile concentrarsi sull'esecuzione di scenari di test personalizzati e delle simulazioni predefinite per vedere come viene eseguito Defender per endpoint.

Si avrà accesso completo alle potenti funzionalità della piattaforma, ad esempio indagini automatizzate, ricerca avanzata e analisi delle minacce, consentendo di testare lo stack di protezione completo offerto da Defender per endpoint.

È possibile aggiungere dispositivi Windows 10, Windows 11, Windows Server 2019, Windows Server 2016 e Linux (Ubuntu) pre-configurati per avere le versioni più recenti del sistema operativo e i componenti di sicurezza corretti, nonché Office 2019 Standard installato.

È anche possibile installare simulatori di minacce. Defender per endpoint ha collaborato con piattaforme di simulazione delle minacce leader del settore per testare le funzionalità di Defender per endpoint senza dover uscire dal portale.

Installare il simulatore preferito, eseguire scenari all'interno del lab di valutazione e vedere immediatamente come funziona la piattaforma, il tutto comodamente disponibile senza costi aggiuntivi. Si avrà anche accesso pratico a un'ampia gamma di simulazioni a cui è possibile accedere ed eseguire dal catalogo delle simulazioni.

Prima di iniziare

È necessario soddisfare i requisiti di licenza o avere accesso di valutazione a Microsoft Defender per endpoint per accedere al lab di valutazione.

È necessario disporre delle autorizzazioni Gestisci impostazioni di sicurezza per:

  • Creare il lab
  • Creare dispositivi
  • Reimpostare la password
  • Creare simulazioni

Se è stato abilitato il controllo degli accessi in base al ruolo e è stato creato almeno un gruppo di computer, gli utenti devono avere accesso a Tutti i gruppi di computer.

Per altre informazioni, vedere Creare e gestire ruoli.

Se si desidera provare Microsoft Defender per endpoint, iscriversi a una versione di valutazione gratuita.

Introduzione al lab

È possibile accedere al lab dal menu. Nel menu di spostamento selezionare Valutazione ed esercitazioni > Lab di valutazione.

Nota

  • A seconda del tipo di struttura dell'ambiente selezionato, i dispositivi saranno disponibili per il numero specificato di ore dal giorno dell'attivazione.
  • A ogni ambiente viene effettuato il provisioning con un set limitato di dispositivi di test. Dopo aver usato i dispositivi di cui è stato effettuato il provisioning ed eliminati, è possibile richiedere altri dispositivi.
  • È possibile richiedere risorse lab una volta al mese.

Hai già un laboratorio? Assicurarsi di abilitare i nuovi simulatori di minacce e di avere dispositivi attivi.

Configurare il lab di valutazione

  1. Nel riquadro di spostamento selezionare Evaluation & tutorialsEvaluation lab (Lab di valutazione delle esercitazioni>), quindi selezionare Setup lab (Imposta lab).

    Pagina di benvenuto del lab di valutazione

  2. A seconda delle esigenze di valutazione, è possibile scegliere di configurare un ambiente con meno dispositivi per un periodo più lungo o più dispositivi per un periodo più breve. Selezionare la configurazione del lab preferita, quindi selezionare Avanti.

    Opzioni di configurazione del lab

  3. (Facoltativo) È possibile scegliere di installare i simulatori di minacce nel lab.

    Pagina dell'agente dei simulatori di installazione

    Importante

    È prima di tutto necessario accettare e fornire il consenso ai termini e alle istruzioni di condivisione delle informazioni.

  4. Selezionare l'agente di simulazione delle minacce che si vuole usare e immettere i dettagli. È anche possibile scegliere di installare i simulatori di minacce in un secondo momento. Se si sceglie di installare gli agenti di simulazione delle minacce durante la configurazione del lab, si potrà usufruire del vantaggio di installarli facilmente nei dispositivi aggiunti.

    Pagina di riepilogo

  5. Esaminare il riepilogo e selezionare Lab di installazione.

Al termine del processo di installazione del lab, è possibile aggiungere dispositivi ed eseguire simulazioni.

Aggiungere dispositivi

Quando si aggiunge un dispositivo all'ambiente, Defender per endpoint configura un dispositivo ben configurato con i dettagli di connessione. È possibile aggiungere Windows 10, Windows 11, Windows Server 2019, Windows Server 2016 e Linux (Ubuntu).

Il dispositivo verrà configurato con la versione più aggiornata del sistema operativo e di Office 2019 Standard, nonché con altre app come Java, Python e SysIntenals.

Se si sceglie di aggiungere un simulatore di minacce durante la configurazione del lab, tutti i dispositivi avranno installato l'agente del simulatore di minacce nei dispositivi aggiunti.

Il dispositivo verrà caricato automaticamente nel tenant con i componenti di sicurezza di Windows consigliati attivati e in modalità di controllo, senza alcun impegno.

I componenti di sicurezza seguenti sono pre-configurati nei dispositivi di test:

Nota

Microsoft Defender Antivirus sarà attivato (non in modalità di controllo). Se Microsoft Defender Antivirus impedisce l'esecuzione della simulazione, è possibile disattivare la protezione in tempo reale nel dispositivo tramite Sicurezza di Windows. Per altre informazioni, vedere Configurare la protezione always-on.

Le impostazioni di indagine automatizzate dipenderanno dalle impostazioni del tenant. Verrà configurato per essere semiautomatico per impostazione predefinita. Per altre informazioni, vedere Panoramica delle indagini automatizzate.

Nota

La connessione ai dispositivi di test viene eseguita usando RDP. Assicurarsi che le impostazioni del firewall consentano connessioni RDP.

  1. Nel dashboard selezionare Aggiungi dispositivo.

  2. Scegliere il tipo di dispositivo da aggiungere. È possibile scegliere di aggiungere Windows 10, Windows 11, Windows Server 2019, Windows Server 2016 e Linux (Ubuntu).

    Configurazione del lab con le opzioni del dispositivo

    Nota

    Se si verifica un problema con il processo di creazione del dispositivo, si riceverà una notifica e sarà necessario inviare una nuova richiesta. Se la creazione del dispositivo non riesce, non verrà conteggiata in base alla quota complessiva consentita.

  3. Vengono visualizzati i dettagli della connessione. Selezionare Copia per salvare la password per il dispositivo.

    Nota

    La password viene visualizzata una sola volta. Assicurarsi di salvarlo per un uso successivo.

    Il dispositivo aggiunto con i dettagli di connessione

  4. Inizia la configurazione del dispositivo. Questa operazione può richiedere fino a circa 30 minuti.

  5. Vedere lo stato dei dispositivi di test, i livelli di rischio e di esposizione e lo stato delle installazioni del simulatore selezionando la scheda Dispositivi .

    Scheda Dispositivi

    Consiglio

    Nella colonna Stato simulatore è possibile passare il puntatore del mouse sull'icona delle informazioni per conoscere lo stato di installazione di un agente.

Aggiungere un controller di dominio

Aggiungere un controller di dominio per eseguire scenari complessi, ad esempio lo spostamento laterale e gli attacchi a più fasi in più dispositivi.

Nota

Il supporto del dominio è disponibile solo nel portale di Microsoft Defender (security.microsoft.com).

  1. Nel dashboard selezionare Aggiungi dispositivo.

  2. Selezionare Windows Server 2019 e quindi Imposta come controller di dominio.

  3. Dopo aver effettuato il provisioning del controller di dominio, sarà possibile creare dispositivi aggiunti a un dominio facendo clic su Aggiungi dispositivo. Selezionare quindi Windows 10/Windows 11 e selezionare Aggiungi al dominio.

Nota

Un solo controller di dominio può essere attivo alla volta. Il dispositivo controller di dominio rimarrà attivo finché è connesso un dispositivo live.

Richiesta di altri dispositivi

Quando tutti i dispositivi esistenti vengono usati ed eliminati, è possibile richiedere altri dispositivi. È possibile richiedere risorse lab una volta al mese.

  1. Nel dashboard del lab di valutazione selezionare Richiedi altri dispositivi.

    Opzione di richiesta di altri dispositivi

  2. Scegliere la configurazione.

  3. Inviare la richiesta.

Quando la richiesta viene inviata correttamente, verrà visualizzato un banner di conferma verde e la data dell'ultimo invio.

È possibile trovare lo stato della richiesta nella scheda Azioni utente , che verrà approvata in poche ore.

Una volta approvati, i dispositivi richiesti verranno aggiunti alla configurazione del lab e sarà possibile creare altri dispositivi.

Consiglio

Per ottenere di più dal lab, non dimenticare di consultare la libreria delle simulazioni.

Simulare scenari di attacco

Usare i dispositivi di test per eseguire simulazioni di attacco personalizzate connettendosi a tali dispositivi.

È possibile simulare scenari di attacco usando:

È anche possibile usare ricerca avanzata per eseguire query sui dati e analisi delle minacce per visualizzare i report sulle minacce emergenti.

Scenari di attacco fai-da-te

Se si sta cercando una simulazione predefinita, è possibile usare gli scenari di attacco "Do It Yourself". Questi script sono sicuri, documentati e facili da usare. Questi scenari rifletteranno le funzionalità di Defender per endpoint e illustreranno l'esperienza di analisi.

Nota

La connessione ai dispositivi di test viene eseguita usando RDP. Assicurarsi che le impostazioni del firewall consentano connessioni RDP.

  1. Connettersi al dispositivo ed eseguire una simulazione di attacco selezionando Connetti.

    Pulsante Connetti per i dispositivi di test

    Schermata di connessione desktop remoto

    Per i dispositivi Linux: è necessario usare un client SSH locale e il comando fornito.

    Nota

    Se non si dispone di una copia della password salvata durante l'installazione iniziale, è possibile reimpostare la password selezionando Reimposta password dal menu:

    Opzione Reimposta password

    Il dispositivo cambierà lo stato in "Esecuzione della reimpostazione della password", quindi verrà visualizzata la nuova password in pochi minuti.

  2. Immettere la password visualizzata durante il passaggio di creazione del dispositivo.

    Schermata in cui immettere le credenziali

  3. Eseguire simulazioni di attacco do-it-yourself nel dispositivo.

Scenari del simulatore di minacce

Se si è scelto di installare uno dei simulatori di minacce supportati durante l'installazione del lab, è possibile eseguire le simulazioni predefinite nei dispositivi del lab di valutazione.

L'esecuzione di simulazioni di minacce tramite piattaforme di terze parti è un buon modo per valutare le funzionalità di Microsoft Defender per endpoint entro i limiti di un ambiente lab.

Nota

Prima di poter eseguire simulazioni, verificare che siano soddisfatti i requisiti seguenti:

  • I dispositivi devono essere aggiunti al lab di valutazione
  • I simulatori di minacce devono essere installati nel lab di valutazione
  1. Nel portale selezionare Crea simulazione.

  2. Selezionare un simulatore di minacce.

    Selezione del simulatore di minacce

  3. Scegliere una simulazione o esaminare la raccolta di simulazioni per esplorare le simulazioni disponibili.

    È possibile accedere alla raccolta di simulazione da:

    • Dashboard di valutazione principale nel riquadro Panoramica delle simulazioni o
    • Passando dal riquadro di spostamento Valutazione ed esercitazioni>Simulazione & esercitazioni, quindi selezionare Catalogo simulazioni.
  4. Selezionare i dispositivi in cui si vuole eseguire la simulazione.

  5. Selezionare Crea simulazione.

  6. Visualizzare lo stato di avanzamento di una simulazione selezionando la scheda Simulazioni . Visualizzare lo stato di simulazione, gli avvisi attivi e altri dettagli.

    Scheda Simulazioni

Dopo aver eseguito le simulazioni, è consigliabile esaminare l'indicatore di stato del lab ed esplorare Microsoft Defender per endpoint ha attivato un'indagine e una correzione automatizzate. Controllare le prove raccolte e analizzate dalla funzionalità.

Cercare le prove degli attacchi tramite la ricerca avanzata usando il linguaggio di query avanzato e i dati di telemetria non elaborati ed esaminare alcune minacce a livello mondiale documentate in Analisi delle minacce.

Microsoft Defender per endpoint ha collaborato con varie piattaforme di simulazione delle minacce per offrire un accesso pratico per testare le funzionalità della piattaforma direttamente dall'interno del portale.

Visualizzare tutte le simulazioni disponibili passando al catalogo Simulazioni ed esercitazioni>dal menu.

Nel catalogo sono elencati un elenco di agenti di simulazione delle minacce di terze parti supportati e tipi specifici di simulazioni insieme a descrizioni dettagliate.

È possibile eseguire facilmente qualsiasi simulazione disponibile direttamente dal catalogo.

Catalogo simulazioni

Ogni simulazione include una descrizione approfondita dello scenario di attacco e riferimenti, ad esempio le tecniche di attacco MITRE usate e le query di ricerca avanzate di esempio eseguite.

Esempi:

Esempio di riquadro dei dettagli della descrizione della simulazione per i metodi di persistenza

Dettagli della descrizione della simulazione per APT29

Report di valutazione

I report del lab riepilogano i risultati delle simulazioni eseguite sui dispositivi.

Report di valutazione

A colpo d'occhio, si sarà rapidamente in grado di vedere:

  • Eventi imprevisti attivati
  • Avvisi generati
  • Valutazioni sul livello di esposizione
  • Categorie di minacce osservate
  • Origini di rilevamento
  • Indagini automatizzate

Inviare feedback

Il tuo feedback ci aiuta a migliorare la protezione dell'ambiente dagli attacchi avanzati. Condividi la tua esperienza e le tue impressioni dalle funzionalità dei prodotti e dai risultati della valutazione.

Comunicaci cosa ne pensi selezionando Invia feedback.

Pagina dei commenti e suggerimenti

Consiglio

Per saperne di più, Engage con la community Microsoft Security nella community tech: Microsoft Defender per endpoint Tech Community.