Zelf studie: een micro soft Defender for Identity Security Alert Lab instellenTutorial: Setup a Microsoft Defender for Identity security alert lab

Het doel van de Micro soft Defender voor identiteitMicrosoft Defender for Identity Security Alert Lab is het illustreren van de mogelijkheden voor het Defender voor identiteitDefender for Identity identificeren en detecteren van verdachte activiteiten en mogelijke aanvallen op uw netwerk.The purpose of the Micro soft Defender voor identiteitMicrosoft Defender for Identity Security Alert lab is to illustrate Defender voor identiteitDefender for Identity's capabilities in identifying and detecting suspicious activities and potential attacks against your network. In deze eerste zelf studie in een reeks van vier onderdelen wordt u begeleid bij het maken van een test omgeving voor Defender voor identiteitDefender for Identity het testen van de discrete detecties.This first tutorial in a four part series walks you through creating a lab environment for testing against Defender voor identiteitDefender for Identity's discrete detections. De Security Alert Lab richt zich op op Defender voor identiteitDefender for Identity hand tekeningen gebaseerde mogelijkheden.The security alert lab focuses on Defender voor identiteitDefender for Identity's signature-based capabilities. Het Lab bevat geen geavanceerde detectie-, gebruikers-of op entiteit gebaseerde gedrags traceringen omdat deze detecties een leer periode hebben met echt netwerk verkeer van Maxi maal 30 dagen.The lab doesn't include advanced machine-learning, user or entity-based behavioral detections since those detections require a learning period with real network traffic of up to 30 days. Meer informatie over elke zelf studie in deze serie vindt u in het Defender voor identiteitDefender for Identity overzicht van Security Alert Lab.For more information about each tutorial in this series, see the Defender voor identiteitDefender for Identity security alert lab overview.

In deze zelfstudie gaat u:In this tutorial you will:

  • Uw test server en computers instellenSet up your lab server and computers
  • Active Directory configureren met gebruikers en groepenConfigure Active Directory with users and groups
  • Instellen en configureren Defender voor identiteitDefender for IdentitySet up and configure Defender voor identiteitDefender for Identity
  • Lokaal beleid instellen voor uw server en computersSetup local policies for your server and computers
  • Een Help Desk-beheer scenario nabootsen met behulp van een geplande taakMimic a helpdesk management scenario using a scheduled task

VereistenPrerequisites

  1. Een test domein controller en twee lab-werk stations.A lab domain controller and two lab workstations.

  2. Een Defender voor identiteitDefender for Identity exemplaar dat is verbonden met AD.An Defender voor identiteitDefender for Identity instance that is connected to AD.

  3. Down load en Installeer de nieuwste versie van de Defender voor identiteitDefender for Identity sensor op de domein controller van uw test omgeving.Download and install the latest version of the Defender voor identiteitDefender for Identity sensor on your lab's domain controller.

  4. Vertrouwd met privileged Access werk stations en SAMR-beleid.Familiarity with Privileged Access Workstations and SAMR policy.

AanbevelingenRecommendations

U kunt het beste zo nauw keurig mogelijk de installatie-instructies voor het lab volgen.We recommend following the lab setup instructions as closely as possible. Hoe dichter uw Lab is voor de voorgestelde Lab-installatie, hoe eenvoudiger het is om de test procedures uit te voeren Defender voor identiteitDefender for Identity .The closer your lab is to the suggested lab setup, the easier it will be to follow the Defender voor identiteitDefender for Identity testing procedures. Nadat de installatie van het lab is voltooid, bent u klaar om acties uit te voeren met de voorgestelde hulpprogram ma's voor hacken en de Defender voor identiteitDefender for Identity detectie van deze acties door te nemen.After the lab setup is complete, you'll be ready to perform actions with the suggested hacking research tools and review Defender voor identiteitDefender for Identity's detections of these actions.

De voltooiing van de installatie van het lab moet er als volgt uitzien in het volgende diagram:Your complete lab setup should look as similar as possible to the following diagram:

[! INCLUSIEF [product short] (inclusief/product-short. MD)] test lab setup

Servers en computersServers and computers

Deze tabel bevat informatie over de computers en de vereiste configuraties.This table details the computers, and the configurations needed. IP-adressen worden alleen voor referentie doeleinden gegeven, zodat u eenvoudig kunt volgen.IP addresses are provided for reference purposes only so you can easily follow along.

In de voor beelden voor deze zelf studies is de NetBIOS-naam van het forest CONTOSO. AZURE.In the examples for these tutorials, the Forest NetBIOS name is CONTOSO.AZURE.

FQDNFQDN BesturingssysteemOS IPIP DoelPurpose
ContosoDC. contoso. AzureContosoDC.contoso.azure Windows Server 2012 R2Windows Server 2012 R2 10.0.24.410.0.24.4 Domein controller waarop de Defender voor identiteitDefender for Identity sensor lokaal is geïnstalleerdDomain Controller with the Defender voor identiteitDefender for Identity Sensor installed locally
VictimPC. contoso. AzureVictimPC.contoso.azure Windows 10Windows 10 10.0.24.510.0.24.5 Pc van slachtofferVictim's PC
AdminPC. contoso. AzureAdminPC.contoso.azure Windows 10Windows 10 10.0.24.610.0.24.6 De PC van de domein beheerder (soms aangeduid als ' beveiligd Administrator-werk station ' of ' privileged admin Workstation ')Domain Admin's PC (sometimes referred to as "Secure Admin Workstation" or "Privileged Admin Workstation")

Gebruikers en groepen Active DirectoryActive Directory users and groups

In dit lab zijn er drie hoofd gebruikers en één service account.In this lab, there are three main users and one service account. Het service account is voor Defender voor identiteitDefender for Identity en wordt gebruikt voor zowel LDAP-synchronisatie doeleinden als SAMR.The service account is for Defender voor identiteitDefender for Identity and is used for both LDAP synchronization purposes and SAMR.

Er is een helpdesk beveiligings groep (AG) waarvan de Help Desk Loek lid is.There's a "Helpdesk" Security Group (SG) of which Ron HelpDesk is a member. Deze AG imiteert de Help Desk.This SG mimics the Helpdesk. De AG is gekoppeld aan een groepsbeleid-object dat onze leden van de Help Desk lokale beheerders rechten op de respectieve computers biedt.The SG is paired with a Group Policy Object that gives our Helpdesk members Local Admin rights on the respective computers. Deze instelling wordt gebruikt voor het simuleren van een realistisch beheer model in een productie omgeving.This setup is used to simulate a realistic administrative model in a production environment.

VolledigFull Volledige naamFull Name SAM-accountSAMAccount DoelPurpose
Jeff LeathermanJeff Leatherman JeroenJeffL Binnenkort moet u slacht offer zijn van een indrukwekkende, effectief phishing-aanvalSoon to be a victim of an impressively effective phishing attack
Help Desk LoekRon HelpDesk RonHDRonHD Loek is de "go-to-person" in het IT-team van contoso.Ron is the "go-to-person" in Contoso's IT team. RonHD is lid van de beveiligings groep Help Desk.RonHD is a member of the "Helpdesk" security group.
Samira AbbasiSamira Abbasi SamiraASamiraA Bij Contoso is deze gebruiker onze domein beheerder.At Contoso, this user is our Domain Admin.
Defender voor identiteitDefender for Identity ServiceDefender voor identiteitDefender for Identity Service AATPServiceAATPService Defender voor identiteitDefender for IdentityService account vanDefender voor identiteitDefender for Identity's service account accountaccount

Defender voor Identity base lab-omgevingDefender for Identity base lab environment

Als u het basis Lab wilt configureren, voegt u gebruikers en groepen toe aan Active Directory, bewerkt u een SAM-beleid en een gevoelige groep in Defender voor identiteitDefender for Identity .To configure the base lab we'll add users and groups to Active Directory, edit a SAM policy, and a sensitive group in Defender voor identiteitDefender for Identity.

Hydrat Active Directory gebruikers op ContosoDCHydrate Active Directory users on ContosoDC

Om het lab te vereenvoudigen, hebben we het proces voor het maken van fictieve gebruikers en groepen in Active Directory geautomatiseerd.To simplify the lab, we automated the process to create fictitious users and groups in Active Directory. Dit script wordt uitgevoerd als een vereiste voor deze zelf studie.This script is run as a prerequisite for this tutorial. U kunt het script gebruiken of wijzigen om de Active Directory omgeving van uw Lab te laten hydraten.You can use or modify the script to hydrate your lab's Active Directory environment. Als u liever geen script gebruikt, kunt u dit hand matig doen.If you prefer not to use a script, you can do it manually.

Als domein beheerder voert u op ContosoDC de volgende handelingen uit om onze Active Directory gebruikers te hydrateren:As a Domain Admin, on ContosoDC, run the following to hydrate our Active Directory Users:

# Store the user passwords as variables
$SamiraASecurePass = ConvertTo-SecureString -String 'NinjaCat123' -AsPlainText -Force
$ronHdSecurePass = ConvertTo-SecureString -String 'FightingTiger$' -AsPlainText -Force
$jefflSecurePass = ConvertTo-SecureString -String 'Password$fun' -AsPlainText -Force
$AATPService = ConvertTo-SecureString -String 'Password123!@#' -AsPlainText -Force

# Create new AD user SamiraA and add her to the domain admins group
New-ADUser -Name SamiraA -DisplayName "Samira Abbasi" -PasswordNeverExpires $true -AccountPassword $samiraASecurePass -Enabled $true
Add-ADGroupMember -Identity "Domain Admins" -Members SamiraA

# Create new AD user RonHD, create new Helpdesk SG, add RonHD to the Helpdesk SG
New-ADUser -Name RonHD -DisplayName "Ron Helpdesk" -PasswordNeverExpires $true -AccountPassword $ronHdSecurePass -Enabled $true
New-ADGroup -Name Helpdesk -GroupScope Global -GroupCategory Security
Add-ADGroupMember -Identity "Helpdesk" -Members "RonHD"

# Create new AD user JeffL
New-ADUser -Name JeffL -DisplayName "Jeff Leatherman" -PasswordNeverExpires $true -AccountPassword $jefflSecurePass -Enabled $true

# Take note of the "AATPService" user below which will be our service account for Defender for Identity.
# Create new AD user Defender for Identity Service

New-ADUser -Name AatpService -DisplayName "Azure ATP/ATA Service" -PasswordNeverExpires $true -AccountPassword $AATPService -Enabled $true

SAM-R-mogelijkheden van ContosoDC configurerenConfigure SAM-R capabilities from ContosoDC

Als u wilt toestaan dat de Defender voor identiteitDefender for Identity service Sam-R-inventarisatie correct uitvoert en paden voor zijdelingse verplaatsing bouwt, moet u het Sam-beleid bewerken.To allow the Defender voor identiteitDefender for Identity Service to perform SAM-R enumeration correctly and build Lateral Movement paths, you'll need to edit the SAM policy.

  1. Uw SAM-beleid zoeken onder: beleid > Windows-instellingen > beveiligings instellingen > lokaal beleid > beveiligings opties > ' netwerk toegang: beperken clients toegestaan om externe aanroepen naar Sam te maken ' _Find your SAM policy under: Policies > Windows Settings > Security Settings > Local Policies > Security Options> "Network access: Restrict clients allowed to make remote calls to SAM" _

    Wijzig groepsbeleid zodat [! INCLUSIEF [product short] (inclusief/product-short. MD)] voor het gebruik van de mogelijkheden van het pad voor zijdelingse verplaatsing.

  2. Voeg het Defender voor identiteitDefender for Identity Service account AATPService toe aan de lijst met goedgekeurde accounts, zodat deze actie kan worden uitgevoerd op uw moderne Windows-systemen.Add the Defender voor identiteitDefender for Identity service account, AATPService, to the list of approved accounts able to perform this action on your modern Windows systems.

    De service toevoegen

Een gevoelige groep toevoegen aan Defender voor identiteitAdd sensitive group to Defender for Identity

Als u de beveiligings groep Help Desk toevoegt als een gevoelige groep , kunt u gebruikmaken van de functie voor het gebruik van de zijdelingse verplaatsing van Defender voor identiteitDefender for Identity .Adding the "Helpdesk" Security Group as a Sensitive group will enable you to use the Lateral Movement Graph feature of Defender voor identiteitDefender for Identity. Het coderen van uiterst gevoelige gebruikers en groepen die niet noodzakelijkerwijs domein beheerders zijn, maar wel over een groot aantal resources beschikken, is een best practice.Tagging highly sensitive users and groups who aren't necessarily Domain Admins but do have privileges across numerous resources is a best practice.

  1. Selecteer in de Defender voor identiteitDefender for Identity Portal configuratie.In the Defender voor identiteitDefender for Identity portal, select Configuration.

  2. Selecteer entiteit Tags onder detectie .Under Detection select Entity tags.

    [! INCLUSIEF [product short] (inclusief/product-short. MD)] entiteit Tags

  3. Typ in de sectie gevoelig de naam "Help Desk" voor gevoelige groepen en klik vervolgens op + ondertekenen om ze toe te voegen.In the Sensitive section, type the name "Helpdesk" for Sensitive groups and then click + sign to add them. ![Het label "Help Desk" als een ! Voeg het volgende toe: een gevoelige groep (inclusief/product-short. MD)) voor het inschakelen van een zijdelingse verplaatsing van grafieken en rapporten voor deze geprivilegieerde groepTag the "Helpdesk" as a Defender voor identiteitDefender for Identity sensitive group to enable  Lateral Movement Graphs and reports for this privileged group

  4. Klik op Opslaan.Click Save.

Controle lijst voor de basis installatie van Defender voor Identity LabDefender for Identity Lab base setup checklist

Op dit moment moet u een basis Lab hebben Defender voor identiteitDefender for Identity .At this point, you should have a base Defender voor identiteitDefender for Identity lab. Defender voor identiteitDefender for Identity moet klaar zijn voor gebruik en gebruikers worden klaargezet.Defender voor identiteitDefender for Identity should be ready to use and users are staged. Controleer de controle lijst om er zeker van te zijn dat het basis Lab is voltooid.Review the checklist to make sure that the base lab is complete.

StapStep StapStep BewerkingAction StatusStatus
11 Defender voor identiteitDefender for Identity Sensor geïnstalleerd op ContosoDC (vereisten stap)Defender voor identiteitDefender for Identity Sensor installed on ContosoDC (prerequisite step) - [ ]- [ ]
22 Gebruikers en groepen worden gemaakt in Active DirectoryUsers and groups are created in Active Directory - [ ]- [ ]
33 Defender voor identiteitDefender for Identity Service account privileges correct geconfigureerd voor SAMRDefender voor identiteitDefender for Identity service account privileges configured correctly for SAMR - [ ]- [ ]
44 Beveiligings groep Help Desk toegevoegd als een gevoelige groep in Defender voor identiteitDefender for IdentityHelpdesk security group added as a Sensitive group in Defender voor identiteitDefender for Identity - [ ]- [ ] ] (inclusief/product-other MD)]](includes/product-other.md)] - [ ]- [ ]

De Lab-werk stations instellenSet up the lab workstations

Nadat u hebt gecontroleerd of uw basis Defender voor identiteitDefender for Identity Lab is ingesteld, kunt u de configuratie van het werk station starten om voor te bereiden op de volgende drie zelf studies in deze serie.Once you verify your base Defender voor identiteitDefender for Identity lab is set up, you can start the workstation configuration to prepare for the next three tutorials in this series. We hebben onze VictimPC en AdminPC gehydrateerd om deze Lab-weer gave actief te maken.We'll hydrate our VictimPC and AdminPC to make this lab look active.

Lokaal VictimPC-beleidVictimPC local policies

De volgende stap voor uw Lab is het volt ooien van de installatie van het lokale beleid.The next step for your lab is to complete the local policy setup. VictimPC heeft zowel de Jeff als de beveiligings groep Help Desk als leden van de lokale groep Administrators.VictimPC has both JeffL and the Helpdesk Security Group as members of the local Administrators group. Net als bij veel organisaties is Jeff een beheerder op hun eigen apparaat, VictimPC.As in many organizations, JeffL is an Administrator on their own device, VictimPC.

Stel lokaal beleid in als lokale beheerder door het geautomatiseerde Power shell-script uit te voeren:As the local administrator, set up local policies by running the automated PowerShell script:

# Add JeffL to local Administrators group on VictimPC
Add-LocalGroupMember -Group "Administrators" -Member "Contoso\JeffL"
# Add Helpdesk to local Administrators group on VictimPC
Add-LocalGroupMember -Group "Administrators" -Member "Contoso\Helpdesk"

Inspecteer de groep Administrators op VictimPC en zorg ervoor dat er ten minste een Help Desk en Jeff als leden worden weer gegeven:Inspect the Administrators group on VictimPC, making sure it appears to have at least Helpdesk and JeffL as members:

Help Desk ND JeffV moet zich in de lokale beheerders groep voor VictimPC

Helpdesk ondersteuning simuleren op VictimPCSimulate helpdesk support on VictimPC

Als u een werkend en beheerd netwerk wilt simuleren, maakt u een geplande taak op de VictimPC -machine om het proces ' cmd.exe ' als RonHD uit te voeren.To simulate a working and managed network, create a Scheduled Task on the VictimPC machine to run the "cmd.exe" process as RonHD.

  1. Voer de volgende code uit vanuit een Power shell-console met verhoogde bevoegdheden op VictimPC:From an elevated PowerShell console on VictimPC run the following code:

    $action = New-ScheduledTaskAction -Execute 'cmd.exe'
    $trigger = New-ScheduledTaskTrigger -AtLogOn
    $runAs = 'Contoso\RonHD'
    $ronHHDPass = 'FightingTiger$'
    Register-ScheduledTask -TaskName "RonHD Cmd.exe - AATP SA Playbook" -Trigger $trigger -User $runAs -Password $ronHHDPass -Action $action
    
  2. Meld u als Jeff aan bij de computer.Sign in to the machine as JeffL. Het Cmd.exe-proces wordt na de aanmelding gestart in de context van RonHD, waarna de helpdesk medewerker de machine beheert.The Cmd.exe process will start in context of RonHD after logon, simulating Helpdesk managing the machine.

Anti virus op VictimPC uitschakelenTurn off antivirus on VictimPC

Schakel voor test doeleinden eventuele antivirus oplossingen uit die worden uitgevoerd in de test omgeving.For testing purposes, turn off any antivirus solutions running in the lab environment. Zo zorgt u ervoor dat we zich kunnen concentreren op Defender voor identiteitDefender for Identity tijdens deze oefeningen en niet op antivirus fraude technieken.Doing so ensures we can focus on Defender voor identiteitDefender for Identity during these exercises and not on antivirus evasion techniques.

U kunt de hulpprogram ma's in de volgende sectie niet meer downloaden zonder eerst antivirus oplossingen uit te scha kelen.Without turning off antivirus solutions first, you'll be unable to download some of the tools in the next section. Als anti virus is ingeschakeld nadat de hulpprogram ma's voor aanvallen zijn klaargezet, moet u de hulpprogram ma's na het uitschakelen van anti virus opnieuw downloaden.Additionally, if antivirus is enabled after the attack tools are staged, you'll need to redownload the tools after disabling antivirus again.

Algemene hulpprogram ma's voor hacker faserenStage common hacker tools

Waarschuwing

De volgende hulpprogram ma's worden alleen aangeboden voor onderzoek doeleinden.The following tools are presented for research purposes only. Micro soft is niet eigenaar van deze hulpprogram Ma's en micro soft biedt geen garantie of garantie voor hun gedrag.Microsoft does not own these tools and Microsoft cannot and does not guarantee or warranty their behavior. Deze hulpprogram ma's moeten alleen worden uitgevoerd in een test omgeving.These tools should be run in a test lab environment only.

Als u de Defender voor identiteitDefender for Identity beveiligings waarschuwing playbooks wilt uitvoeren, zijn de volgende hulpprogram ma's nodig.To run the Defender voor identiteitDefender for Identity Security Alert playbooks, the following tools are needed.

HulpprogrammaTool URLURL
MimikatzMimikatz GitHub-MimikatzGitHub - Mimikatz
PowerSploitPowerSploit GitHub-PowerSploitGitHub - PowerSploit
PsExecPsExec Microsoft DocsMicrosoft Docs
NetSessNetSess JoeWare-Hulpprogram Ma'sJoeWare Tools

We danken de auteurs van deze onderzoeksgegevens om de community in staat te stellen Cyber-Risico's en effecten beter te begrijpen.We thank the authors of these research tools for enabling the community to better understand cyber risks and impacts.

Lokaal AdminPC-beleidAdminPC local policies

AdminPC moet een helpdesk toevoegen aan de lokale groep Administrators.AdminPC needs Helpdesk added to the local Administrators group. Verwijder vervolgens ' domein Administrators ' uit de lokale groep Administrators.Then, remove 'Domain Admins' from the local Administrators group. Met deze stap zorgt u ervoor dat Samira, een domein beheerder, geen beheerder van AdminPC is.This step makes sure that Samira, a Domain Admin, isn't an Administrator of AdminPC. Dit is een best practice in de referentie hygiëne.This is a best practice in credential hygiene. Voer deze stap hand matig uit of gebruik het meegeleverde Power shell-script.Do this step manually or use the PowerShell script provided.

  1. Voeg de Help Desk toe aan AdminPC en Verwijder ' domein Administrators ' uit de lokale beheerders groep door het volgende Power shell-script uit te voeren:Add Helpdesk to AdminPC and remove 'Domain Admins' from the Local Admin Group by running the following PowerShell script:

    # Add Helpdesk to local Administrators group
    Add-LocalGroupMember -Group "Administrators" -Member "Contoso\Helpdesk"
    # Remove Domain Admins from local Administrators group
    Remove-LocalGroupMember -Group "Administrators" -Member "Domain Admins"
    
  2. Nadat het script is uitgevoerd, bevindt de Help Desk zich in de lijst met lokale beheerders > leden van AdminPC.After running the script, Helpdesk is located in the local Administrators > Members list of AdminPC. Help Desk in de lokale beheerders groep voor AdminPCHelpdesk in the Local Admin Group for AdminPC

Domein activiteiten simuleren vanuit AdminPCSimulate domain activities from AdminPC

Gesimuleerde domein activiteiten zijn vereist van SamiraA.Simulated domain activities are required from SamiraA. Deze stap kan hand matig worden uitgevoerd of het Power shell-script gebruiken.This step can be done manually, or use the PowerShell script provided. Het Power shell-script krijgt elke vijf minuten toegang tot de domein controller en resulteert in gesimuleerde netwerk activiteit als Samira.The PowerShell script accesses the domain controller every 5 minutes and will result in simulated network activity as Samira.

Als SamiraA voert u het volgende script uit in een Power shell-prompt in AdminPC:As SamiraA, execute the following script in a PowerShell prompt in AdminPC:

while ($true)
{
    Invoke-Expression "dir \\ContosoDC\c$"
    Start-Sleep -Seconds 300
}

Controle lijst voor installatie van werk stationWorkstation setup checklist

Controleer de controle lijst om er zeker van te zijn dat het installatie programma is voltooid.Review the checklist to make sure that the workstation setup is complete.

StapStep RegelenAct StapStep BewerkingAction StatusStatus
11 Jeff en Help Desk als lokale beheerders toevoegen aan VictimPCAdd JeffL and Helpdesk as local administrators on VictimPC - [ ]- [ ]
22 Een geplande taak die wordt uitgevoerd als RonHD maken op VictimPCCreate Scheduled Task running as RonHD on VictimPC - [ ]- [ ]
33 Antivirus oplossing uitschakelen op VictimPCTurn off antivirus solution on VictimPC - [ ]- [ ]
44 Program ma's voor hacken op VictimPCStage hacking tools on VictimPC - [ ]- [ ]
55 Help Desk toevoegen en domein Administrators verwijderen uit de lokale beheerders groep van AdminPCAdd Helpdesk and remove Domain Admins from AdminPC's local administrators group - [ ]- [ ]
66 Power shell-script uitvoeren als Samira voor het simuleren van domein activiteitenRun PowerShell script as Samira to simulate domain activities - [ ]- [ ] rShell script als Samira voor het simuleren van domein activiteitenrShell script as Samira to simulate domain activities - [ ]- [ ]

De missie is voltooid.Mission accomplished!

Uw Defender voor identiteitDefender for Identity Lab is nu klaar voor gebruik.Your Defender voor identiteitDefender for Identity lab is now ready to use. De methoden die in deze set worden gebruikt, hebben ervoor gekozen om te weten dat bronnen moeten worden beheerd (door iets of iemand) en dat beheer lokale beheerders bevoegdheden vereist.The methods used in this set up were chosen knowing that resources must be managed (by something or someone) and management requires local admin privileges. Er zijn andere manieren om een beheer werk stroom in het lab te simuleren, zoals:There are other ways to simulate a management workflow in the lab, such as:

  • Aan-en afmelden bij VictimPC met het account van RonHDLogging in and out of VictimPC with RonHD's account
  • Een andere versie van een geplande taak toevoegenAdding another version of a Scheduled Task
  • Een RDP-sessieAn RDP session
  • Een ' runas ' uitvoeren op de opdracht regelExecuting a 'runas' in the Command Line

Kies voor de beste resultaten een simulatie methode die u kunt automatiseren in uw Lab voor consistentie doeleinden.For best results, choose a simulation method that you can automate in your lab for consistency purposes.

Volgende stappenNext steps

Test uw test Defender voor identiteitDefender for Identity omgeving met behulp van de Defender voor identiteitDefender for Identity beveiligings waarschuwing playbooks voor elke fase van de keten voor Cyber aanvallen, te beginnen met de Reconnaissance-fase.Test your Defender voor identiteitDefender for Identity lab environment using the Defender voor identiteitDefender for Identity Security Alert playbooks for each phase of the cyber-attack kill chain starting with the reconnaissance phase.

Word lid van de CommunityJoin the Community

Hebt u meer vragen of bent u geïnteresseerd in het bespreken van Defender voor identiteitDefender for Identity en gerelateerde beveiliging met anderen?Do you have more questions, or an interest in discussing Defender voor identiteitDefender for Identity and related security with others? Nu lid worden van de Defender voor identiteitDefender for Identity Community .Join the Defender voor identiteitDefender for Identity Community today!