Microsoft Defender per endpoint lab di valutazione
Importante
Il lab di valutazione Microsoft Defender per endpoint è stato deprecato a gennaio 2024.
Si applica a:
Se si desidera provare Microsoft Defender per endpoint, iscriversi a una versione di valutazione gratuita.
Importante
Mentre Microsoft continua a valutare il valore delle funzionalità e dei servizi da fornire, Microsoft ha deciso di ritirare Defender Evaluation Lab. Questa modifica verrà implementata a metà gennaio 2024 e si prevede di completare entro la fine di gennaio 2024.
Eseguire una valutazione completa del prodotto di sicurezza può essere un processo complesso che richiede una configurazione complessa dell'ambiente e del dispositivo prima che sia effettivamente possibile eseguire una simulazione di attacco end-to-end. L'aggiunta alla complessità è la sfida del rilevamento in cui le attività di simulazione, gli avvisi e i risultati vengono riflessi durante la valutazione.
Il lab di valutazione Microsoft Defender per endpoint è progettato per eliminare le complessità della configurazione del dispositivo e dell'ambiente in modo che sia possibile concentrarsi sulla valutazione delle funzionalità della piattaforma, sull'esecuzione di simulazioni e sulla visualizzazione delle funzionalità di prevenzione, rilevamento e correzione in azione.
Con l'esperienza di configurazione semplificata, è possibile concentrarsi sull'esecuzione di scenari di test personalizzati e delle simulazioni predefinite per vedere come viene eseguito Defender per endpoint.
Si avrà accesso completo alle potenti funzionalità della piattaforma, ad esempio indagini automatizzate, ricerca avanzata e analisi delle minacce, consentendo di testare lo stack di protezione completo offerto da Defender per endpoint.
È possibile aggiungere dispositivi Windows 10, Windows 11, Windows Server 2019, Windows Server 2016 e Linux (Ubuntu) pre-configurati per avere le versioni più recenti del sistema operativo e i componenti di sicurezza corretti, nonché Office 2019 Standard installato.
È anche possibile installare simulatori di minacce. Defender per endpoint ha collaborato con piattaforme di simulazione delle minacce leader del settore per testare le funzionalità di Defender per endpoint senza dover uscire dal portale.
Installare il simulatore preferito, eseguire scenari all'interno del lab di valutazione e vedere immediatamente come funziona la piattaforma, il tutto comodamente disponibile senza costi aggiuntivi. Si avrà anche accesso pratico a un'ampia gamma di simulazioni a cui è possibile accedere ed eseguire dal catalogo delle simulazioni.
Prima di iniziare
È necessario soddisfare i requisiti di licenza o avere accesso di valutazione a Microsoft Defender per endpoint per accedere al lab di valutazione.
È necessario disporre delle autorizzazioni Gestisci impostazioni di sicurezza per:
- Creare il lab
- Creare dispositivi
- Reimpostare la password
- Creare simulazioni
Se è stato abilitato il controllo degli accessi in base al ruolo e è stato creato almeno un gruppo di computer, gli utenti devono avere accesso a Tutti i gruppi di computer.
Per altre informazioni, vedere Creare e gestire ruoli.
Se si desidera provare Microsoft Defender per endpoint, iscriversi a una versione di valutazione gratuita.
Introduzione al lab
È possibile accedere al lab dal menu. Nel menu di spostamento selezionare Valutazione ed esercitazioni > Lab di valutazione.
Nota
- A seconda del tipo di struttura dell'ambiente selezionato, i dispositivi saranno disponibili per il numero specificato di ore dal giorno dell'attivazione.
- A ogni ambiente viene effettuato il provisioning con un set limitato di dispositivi di test. Dopo aver usato i dispositivi di cui è stato effettuato il provisioning ed eliminati, è possibile richiedere altri dispositivi.
- È possibile richiedere risorse lab una volta al mese.
Hai già un laboratorio? Assicurarsi di abilitare i nuovi simulatori di minacce e di avere dispositivi attivi.
Configurare il lab di valutazione
Nel riquadro di spostamento selezionare Evaluation & tutorialsEvaluation lab (Lab di valutazione delle esercitazioni>), quindi selezionare Setup lab (Imposta lab).
A seconda delle esigenze di valutazione, è possibile scegliere di configurare un ambiente con meno dispositivi per un periodo più lungo o più dispositivi per un periodo più breve. Selezionare la configurazione del lab preferita, quindi selezionare Avanti.
(Facoltativo) È possibile scegliere di installare i simulatori di minacce nel lab.
Importante
È prima di tutto necessario accettare e fornire il consenso ai termini e alle istruzioni di condivisione delle informazioni.
Selezionare l'agente di simulazione delle minacce che si vuole usare e immettere i dettagli. È anche possibile scegliere di installare i simulatori di minacce in un secondo momento. Se si sceglie di installare gli agenti di simulazione delle minacce durante la configurazione del lab, si potrà usufruire del vantaggio di installarli facilmente nei dispositivi aggiunti.
Esaminare il riepilogo e selezionare Lab di installazione.
Al termine del processo di installazione del lab, è possibile aggiungere dispositivi ed eseguire simulazioni.
Aggiungere dispositivi
Quando si aggiunge un dispositivo all'ambiente, Defender per endpoint configura un dispositivo ben configurato con i dettagli di connessione. È possibile aggiungere Windows 10, Windows 11, Windows Server 2019, Windows Server 2016 e Linux (Ubuntu).
Il dispositivo verrà configurato con la versione più aggiornata del sistema operativo e di Office 2019 Standard, nonché con altre app come Java, Python e SysIntenals.
Se si sceglie di aggiungere un simulatore di minacce durante la configurazione del lab, tutti i dispositivi avranno installato l'agente del simulatore di minacce nei dispositivi aggiunti.
Il dispositivo verrà caricato automaticamente nel tenant con i componenti di sicurezza di Windows consigliati attivati e in modalità di controllo, senza alcun impegno.
I componenti di sicurezza seguenti sono pre-configurati nei dispositivi di test:
- Riduzione della superficie di attacco
- Blocco al primo rilevamento
- Accesso controllato alle cartelle
- Protezione dagli exploit
- Protezione di rete
- Rilevamento di applicazioni potenzialmente indesiderate
- Protezione fornita dal cloud
- Microsoft Defender SmartScreen
Nota
Microsoft Defender Antivirus sarà attivato (non in modalità di controllo). Se Microsoft Defender Antivirus impedisce l'esecuzione della simulazione, è possibile disattivare la protezione in tempo reale nel dispositivo tramite Sicurezza di Windows. Per altre informazioni, vedere Configurare la protezione always-on.
Le impostazioni di indagine automatizzate dipenderanno dalle impostazioni del tenant. Verrà configurato per essere semiautomatico per impostazione predefinita. Per altre informazioni, vedere Panoramica delle indagini automatizzate.
Nota
La connessione ai dispositivi di test viene eseguita usando RDP. Assicurarsi che le impostazioni del firewall consentano connessioni RDP.
Nel dashboard selezionare Aggiungi dispositivo.
Scegliere il tipo di dispositivo da aggiungere. È possibile scegliere di aggiungere Windows 10, Windows 11, Windows Server 2019, Windows Server 2016 e Linux (Ubuntu).
Nota
Se si verifica un problema con il processo di creazione del dispositivo, si riceverà una notifica e sarà necessario inviare una nuova richiesta. Se la creazione del dispositivo non riesce, non verrà conteggiata in base alla quota complessiva consentita.
Vengono visualizzati i dettagli della connessione. Selezionare Copia per salvare la password per il dispositivo.
Nota
La password viene visualizzata una sola volta. Assicurarsi di salvarlo per un uso successivo.
Inizia la configurazione del dispositivo. Questa operazione può richiedere fino a circa 30 minuti.
Vedere lo stato dei dispositivi di test, i livelli di rischio e di esposizione e lo stato delle installazioni del simulatore selezionando la scheda Dispositivi .
Consiglio
Nella colonna Stato simulatore è possibile passare il puntatore del mouse sull'icona delle informazioni per conoscere lo stato di installazione di un agente.
Aggiungere un controller di dominio
Aggiungere un controller di dominio per eseguire scenari complessi, ad esempio lo spostamento laterale e gli attacchi a più fasi in più dispositivi.
Nota
Il supporto del dominio è disponibile solo nel portale di Microsoft Defender (security.microsoft.com).
Nel dashboard selezionare Aggiungi dispositivo.
Selezionare Windows Server 2019 e quindi Imposta come controller di dominio.
Dopo aver effettuato il provisioning del controller di dominio, sarà possibile creare dispositivi aggiunti a un dominio facendo clic su Aggiungi dispositivo. Selezionare quindi Windows 10/Windows 11 e selezionare Aggiungi al dominio.
Nota
Un solo controller di dominio può essere attivo alla volta. Il dispositivo controller di dominio rimarrà attivo finché è connesso un dispositivo live.
Richiesta di altri dispositivi
Quando tutti i dispositivi esistenti vengono usati ed eliminati, è possibile richiedere altri dispositivi. È possibile richiedere risorse lab una volta al mese.
Nel dashboard del lab di valutazione selezionare Richiedi altri dispositivi.
Scegliere la configurazione.
Inviare la richiesta.
Quando la richiesta viene inviata correttamente, verrà visualizzato un banner di conferma verde e la data dell'ultimo invio.
È possibile trovare lo stato della richiesta nella scheda Azioni utente , che verrà approvata in poche ore.
Una volta approvati, i dispositivi richiesti verranno aggiunti alla configurazione del lab e sarà possibile creare altri dispositivi.
Consiglio
Per ottenere di più dal lab, non dimenticare di consultare la libreria delle simulazioni.
Simulare scenari di attacco
Usare i dispositivi di test per eseguire simulazioni di attacco personalizzate connettendosi a tali dispositivi.
È possibile simulare scenari di attacco usando:
- Scenari di attacco "Do It Yourself"
- Simulatori di minacce
È anche possibile usare ricerca avanzata per eseguire query sui dati e analisi delle minacce per visualizzare i report sulle minacce emergenti.
Scenari di attacco fai-da-te
Se si sta cercando una simulazione predefinita, è possibile usare gli scenari di attacco "Do It Yourself". Questi script sono sicuri, documentati e facili da usare. Questi scenari rifletteranno le funzionalità di Defender per endpoint e illustreranno l'esperienza di analisi.
Nota
La connessione ai dispositivi di test viene eseguita usando RDP. Assicurarsi che le impostazioni del firewall consentano connessioni RDP.
Connettersi al dispositivo ed eseguire una simulazione di attacco selezionando Connetti.
Per i dispositivi Linux: è necessario usare un client SSH locale e il comando fornito.
Nota
Se non si dispone di una copia della password salvata durante l'installazione iniziale, è possibile reimpostare la password selezionando Reimposta password dal menu:
Il dispositivo cambierà lo stato in "Esecuzione della reimpostazione della password", quindi verrà visualizzata la nuova password in pochi minuti.
Immettere la password visualizzata durante il passaggio di creazione del dispositivo.
Eseguire simulazioni di attacco do-it-yourself nel dispositivo.
Scenari del simulatore di minacce
Se si è scelto di installare uno dei simulatori di minacce supportati durante l'installazione del lab, è possibile eseguire le simulazioni predefinite nei dispositivi del lab di valutazione.
L'esecuzione di simulazioni di minacce tramite piattaforme di terze parti è un buon modo per valutare le funzionalità di Microsoft Defender per endpoint entro i limiti di un ambiente lab.
Nota
Prima di poter eseguire simulazioni, verificare che siano soddisfatti i requisiti seguenti:
- I dispositivi devono essere aggiunti al lab di valutazione
- I simulatori di minacce devono essere installati nel lab di valutazione
Nel portale selezionare Crea simulazione.
Selezionare un simulatore di minacce.
Scegliere una simulazione o esaminare la raccolta di simulazioni per esplorare le simulazioni disponibili.
È possibile accedere alla raccolta di simulazione da:
- Dashboard di valutazione principale nel riquadro Panoramica delle simulazioni o
- Passando dal riquadro di spostamento Valutazione ed esercitazioni>Simulazione & esercitazioni, quindi selezionare Catalogo simulazioni.
Selezionare i dispositivi in cui si vuole eseguire la simulazione.
Selezionare Crea simulazione.
Visualizzare lo stato di avanzamento di una simulazione selezionando la scheda Simulazioni . Visualizzare lo stato di simulazione, gli avvisi attivi e altri dettagli.
Dopo aver eseguito le simulazioni, è consigliabile esaminare l'indicatore di stato del lab ed esplorare Microsoft Defender per endpoint ha attivato un'indagine e una correzione automatizzate. Controllare le prove raccolte e analizzate dalla funzionalità.
Cercare le prove degli attacchi tramite la ricerca avanzata usando il linguaggio di query avanzato e i dati di telemetria non elaborati ed esaminare alcune minacce a livello mondiale documentate in Analisi delle minacce.
Raccolta di simulazione
Microsoft Defender per endpoint ha collaborato con varie piattaforme di simulazione delle minacce per offrire un accesso pratico per testare le funzionalità della piattaforma direttamente dall'interno del portale.
Visualizzare tutte le simulazioni disponibili passando al catalogo Simulazioni ed esercitazioni>dal menu.
Nel catalogo sono elencati un elenco di agenti di simulazione delle minacce di terze parti supportati e tipi specifici di simulazioni insieme a descrizioni dettagliate.
È possibile eseguire facilmente qualsiasi simulazione disponibile direttamente dal catalogo.
Ogni simulazione include una descrizione approfondita dello scenario di attacco e riferimenti, ad esempio le tecniche di attacco MITRE usate e le query di ricerca avanzate di esempio eseguite.
Esempi:
Report di valutazione
I report del lab riepilogano i risultati delle simulazioni eseguite sui dispositivi.
A colpo d'occhio, si sarà rapidamente in grado di vedere:
- Eventi imprevisti attivati
- Avvisi generati
- Valutazioni sul livello di esposizione
- Categorie di minacce osservate
- Origini di rilevamento
- Indagini automatizzate
Inviare feedback
Il tuo feedback ci aiuta a migliorare la protezione dell'ambiente dagli attacchi avanzati. Condividi la tua esperienza e le tue impressioni dalle funzionalità dei prodotti e dai risultati della valutazione.
Comunicaci cosa ne pensi selezionando Invia feedback.
Consiglio
Per saperne di più, Engage con la community Microsoft Security nella community tech: Microsoft Defender per endpoint Tech Community.
Commenti e suggerimenti
https://aka.ms/ContentUserFeedback.
Presto disponibile: nel corso del 2024 verranno dismessi i problemi di GitHub come meccanismo di feedback per il contenuto e verranno sostituiti con un nuovo sistema di feedback. Per altre informazioni, vedere:Invia e visualizza il feedback per