Microsoft Defender voor Eindpunt evaluatielab

  • Artikel

Belangrijk

Het Microsoft Defender voor Eindpunt evaluatielab is in januari 2024 afgeschaft.

Van toepassing op:

Wilt u Microsoft Defender voor Eindpunt ervaren? Meld u aan voor een gratis proefversie.

Belangrijk

Terwijl Microsoft de waarde van de te bieden functies en services blijft evalueren, heeft Microsoft besloten om het Defender Evaluation Lab buiten gebruik te stellen. Deze wijziging wordt medio januari 2024 geïmplementeerd en zal naar verwachting eind januari 2024 zijn voltooid.

Het uitvoeren van een uitgebreide evaluatie van beveiligingsproducten kan een complex proces zijn dat een omslachtige omgeving en apparaatconfiguratie vereist voordat een end-to-end aanvalssimulatie daadwerkelijk kan worden uitgevoerd. De complexiteit wordt nog complexer door bij te houden waar de simulatieactiviteiten, waarschuwingen en resultaten worden weerspiegeld tijdens de evaluatie.

Het Microsoft Defender voor Eindpunt evaluatielab is ontworpen om de complexiteit van apparaat- en omgevingsconfiguratie te elimineren, zodat u zich kunt richten op het evalueren van de mogelijkheden van het platform, het uitvoeren van simulaties en het in werking zien van de preventie-, detectie- en herstelfuncties.

Met de vereenvoudigde installatie-ervaring kunt u zich richten op het uitvoeren van uw eigen testscenario's en de vooraf gemaakte simulaties om te zien hoe Defender voor Eindpunt presteert.

U hebt volledige toegang tot de krachtige mogelijkheden van het platform, zoals geautomatiseerd onderzoek, geavanceerde opsporing en bedreigingsanalyse, zodat u de uitgebreide beveiligingsstack kunt testen die Defender voor Eindpunt biedt.

U kunt Windows 10-, Windows 11-, Windows Server 2019-, Windows Server 2016- en Linux-apparaten (Ubuntu) toevoegen die vooraf zijn geconfigureerd om de nieuwste besturingssysteemversies en de juiste beveiligingsonderdelen te hebben, evenals Office 2019 Standard geïnstalleerd.

U kunt ook bedreigingssimulators installeren. Defender voor Eindpunt werkt samen met toonaangevende platformen voor bedreigingssimulatie om u te helpen de mogelijkheden van Defender voor Eindpunt te testen zonder de portal te verlaten.

Installeer de simulator van uw voorkeur, voer scenario's uit in het evaluatielab en zie direct hoe het platform presteert - allemaal gemakkelijk beschikbaar zonder extra kosten voor u. U hebt ook handige toegang tot een breed scala aan simulaties die u kunt openen en uitvoeren vanuit de simulatiecatalogus.

Voordat u begint

U moet voldoen aan de licentievereisten of proeftoegang hebben tot Microsoft Defender voor Eindpunt om toegang te krijgen tot het evaluatielab.

U moet machtigingen voor beveiligingsinstellingen beheren hebben om het volgende te kunnen doen:

  • Het lab maken
  • Apparaten maken
  • Wachtwoord opnieuw instellen
  • Simulaties maken

Als u op rollen gebaseerd toegangsbeheer (RBAC) hebt ingeschakeld en ten minste één computergroep hebt gemaakt, moeten gebruikers toegang hebben tot Alle computergroepen.

Zie Rollen maken en beheren voor meer informatie.

Wilt u Microsoft Defender voor Eindpunt ervaren? Meld u aan voor een gratis proefversie.

Aan de slag met het lab

U hebt toegang tot het lab via het menu. Selecteer evaluatie en zelfstudies > Evaluatielab in het navigatiemenu.

Opmerking

  • Afhankelijk van het type omgevingsstructuur dat u selecteert, zijn apparaten beschikbaar voor het opgegeven aantal uren vanaf de dag van activering.
  • Elke omgeving is ingericht met een beperkte set testapparaten. Wanneer u de ingerichte apparaten hebt verbruikt en deze hebt verwijderd, kunt u meer apparaten aanvragen.
  • U kunt eenmaal per maand labresources aanvragen.

Hebt u al een lab? Zorg ervoor dat u de nieuwe bedreigingssimulators inschakelt en actieve apparaten hebt.

Het evaluatielab instellen

  1. Selecteer in het navigatiedeelvenster Evaluatie & zelfstudies>Evaluatielab en selecteer vervolgens Lab instellen.

    De welkomstpagina van het evaluatielab

  2. Afhankelijk van uw evaluatiebehoeften kunt u ervoor kiezen om een omgeving met minder apparaten in te stellen voor een langere periode of meer apparaten voor een kortere periode. Selecteer de gewenste labconfiguratie en selecteer vervolgens Volgende.

    De labconfiguratieopties

  3. (Optioneel) U kunt ervoor kiezen om bedreigingssimulators in het lab te installeren.

    De pagina simulators-agent installeren

    Belangrijk

    U moet eerst de voorwaarden en verklaringen voor het delen van informatie accepteren en opgeven.

  4. Selecteer de bedreigingssimulatieagent die u wilt gebruiken en voer uw gegevens in. U kunt er ook voor kiezen om bedreigingssimulators op een later tijdstip te installeren. Als u ervoor kiest om bedreigingssimulatieagents te installeren tijdens de installatie van het lab, profiteert u van het voordeel dat ze gemakkelijk zijn geïnstalleerd op de apparaten die u toevoegt.

    De overzichtspagina

  5. Bekijk de samenvatting en selecteer Lab instellen.

Nadat het installatieproces van het lab is voltooid, kunt u apparaten toevoegen en simulaties uitvoeren.

Apparaten toevoegen

Wanneer u een apparaat aan uw omgeving toevoegt, stelt Defender voor Eindpunt een goed geconfigureerd apparaat met verbindingsgegevens in. U kunt Windows 10, Windows 11, Windows Server 2019, Windows Server 2016 en Linux (Ubuntu) toevoegen.

Het apparaat wordt geconfigureerd met de meest recente versie van het besturingssysteem en Office 2019 Standard, evenals andere apps zoals Java, Python en SysIntenals.

Als u ervoor hebt gekozen om een bedreigingssimulator toe te voegen tijdens de installatie van het lab, is de bedreigingssimulatoragent geïnstalleerd op alle apparaten die u toevoegt.

Het apparaat wordt automatisch onboarding naar uw tenant uitgevoerd met de aanbevolen Windows-beveiligingsonderdelen ingeschakeld en in de controlemodus , zonder dat u er moeite voor hoeft te doen.

De volgende beveiligingsonderdelen zijn vooraf geconfigureerd in de testapparaten:

Opmerking

Microsoft Defender Antivirus is ingeschakeld (niet in de controlemodus). Als Microsoft Defender Antivirus u verhindert uw simulatie uit te voeren, kunt u realtime-beveiliging op het apparaat uitschakelen via Windows-beveiliging. Zie Always-On-beveiliging configureren voor meer informatie.

Instellingen voor geautomatiseerd onderzoek zijn afhankelijk van tenantinstellingen. Deze wordt standaard zo geconfigureerd dat deze semi-geautomatiseerd is. Zie Overzicht van geautomatiseerde onderzoeken voor meer informatie.

Opmerking

De verbinding met de testapparaten wordt uitgevoerd met behulp van RDP. Zorg ervoor dat uw firewallinstellingen RDP-verbindingen toestaan.

  1. Selecteer apparaat toevoegen in het dashboard.

  2. Kies het type apparaat dat u wilt toevoegen. U kunt ervoor kiezen om Windows 10, Windows 11, Windows Server 2019, Windows Server 2016 en Linux (Ubuntu) toe te voegen.

    De labinstallatie met apparaatopties

    Opmerking

    Als er iets misgaat met het maken van het apparaat, ontvangt u een melding en moet u een nieuwe aanvraag indienen. Als het maken van het apparaat mislukt, wordt dit niet meegeteld voor het totale toegestane quotum.

  3. De verbindingsgegevens worden weergegeven. Selecteer Kopiëren om het wachtwoord voor het apparaat op te slaan.

    Opmerking

    Het wachtwoord wordt slechts eenmaal weergegeven. Sla deze op voor later gebruik.

    Het apparaat dat is toegevoegd met verbindingsdetails

  4. Het instellen van het apparaat wordt gestart. Dit kan ongeveer 30 minuten duren.

  5. Bekijk de status van testapparaten, de risico- en blootstellingsniveaus en de status van simulatorinstallaties door het tabblad Apparaten te selecteren.

    Het tabblad Apparaten

    Tip

    In de kolom Simulatorstatus kunt u de muisaanwijzer over het informatiepictogram bewegen om de installatiestatus van een agent te kennen.

Een domeincontroller toevoegen

Voeg een domeincontroller toe om complexe scenario's uit te voeren, zoals laterale verplaatsing en aanvallen met meerdere fasen op meerdere apparaten.

Opmerking

Domeinondersteuning is alleen beschikbaar in de Microsoft Defender portal (security.microsoft.com).

  1. Selecteer apparaat toevoegen in het dashboard.

  2. Selecteer Windows Server 2019 en selecteer vervolgens Instellen als domeincontroller.

  3. Wanneer uw domeincontroller is ingericht, kunt u apparaten maken die lid zijn van een domein door op Apparaat toevoegen te klikken. Selecteer vervolgens Windows 10/Windows 11 en selecteer Toevoegen aan domein.

Opmerking

Er kan slechts één domeincontroller tegelijk live zijn. Het domeincontrollerapparaat blijft live zolang er een liveapparaat op is aangesloten.

Meer apparaten aanvragen

Wanneer alle bestaande apparaten worden gebruikt en verwijderd, kunt u meer apparaten aanvragen. U kunt eenmaal per maand labresources aanvragen.

  1. Selecteer in het dashboard van het evaluatielab de optie Aanvragen voor meer apparaten.

    De optie Voor meer apparaten aanvragen

  2. Kies uw configuratie.

  3. Dien de aanvraag in.

Wanneer de aanvraag is ingediend, ziet u een groene bevestigingsbanner en de datum van de laatste inzending.

U vindt de status van uw aanvraag op het tabblad Gebruikersacties , dat binnen enkele uren wordt goedgekeurd.

Na goedkeuring worden de aangevraagde apparaten toegevoegd aan uw lab-installatie en kunt u meer apparaten maken.

Tip

Als u meer uit uw lab wilt halen, vergeet dan niet onze simulatiebibliotheek te bekijken.

Aanvalsscenario's simuleren

Gebruik de testapparaten om uw eigen aanvalssimulaties uit te voeren door er verbinding mee te maken.

U kunt aanvalsscenario's simuleren met behulp van:

U kunt ook Geavanceerde opsporing gebruiken om query's uit te voeren op gegevens en bedreigingsanalyses om rapporten over opkomende bedreigingen weer te geven.

Doe-het-zelf-aanvalsscenario's

Als u op zoek bent naar een vooraf gemaakte simulatie, kunt u onze 'Do It Yourself'-aanvalsscenario's gebruiken. Deze scripts zijn veilig, gedocumenteerd en eenvoudig te gebruiken. Deze scenario's weerspiegelen de mogelijkheden van Defender voor Eindpunt en begeleiden u door de onderzoekservaring.

Opmerking

De verbinding met de testapparaten wordt uitgevoerd met behulp van RDP. Zorg ervoor dat uw firewallinstellingen RDP-verbindingen toestaan.

  1. Maak verbinding met uw apparaat en voer een aanvalssimulatie uit door Verbinding maken te selecteren.

    De knop Verbinding maken voor de testapparaten

    Het scherm Verbinding met extern bureaublad

    Voor Linux-apparaten: u moet een lokale SSH-client en de opgegeven opdracht gebruiken.

    Opmerking

    Als u geen kopie van het wachtwoord hebt opgeslagen tijdens de eerste installatie, kunt u het wachtwoord opnieuw instellen door Wachtwoord opnieuw instellen te selecteren in het menu:

    De optie Wachtwoord opnieuw instellen

    Het apparaat wijzigt de status in 'Wachtwoord opnieuw instellen uitvoeren'. Vervolgens krijgt u binnen enkele minuten uw nieuwe wachtwoord te zien.

  2. Voer het wachtwoord in dat werd weergegeven tijdens de stap voor het maken van het apparaat.

    Het scherm waarop u referenties invoert

  3. Doe-het-zelf-aanvalssimulaties uitvoeren op het apparaat.

Bedreigingssimulatorscenario's

Als u ervoor kiest om een van de ondersteunde bedreigingssimulators te installeren tijdens de installatie van het lab, kunt u de ingebouwde simulaties uitvoeren op de evaluatielabapparaten.

Het uitvoeren van bedreigingssimulaties met behulp van platforms van derden is een goede manier om Microsoft Defender voor Eindpunt mogelijkheden binnen de grenzen van een testomgeving te evalueren.

Opmerking

Voordat u simulaties kunt uitvoeren, moet u ervoor zorgen dat aan de volgende vereisten wordt voldaan:

  • Apparaten moeten worden toegevoegd aan het evaluatielab
  • Bedreigingssimulators moeten worden geïnstalleerd in het evaluatielab

  1. Selecteer in de portal Simulatie maken.

  2. Selecteer een bedreigingssimulator.

    De selectie van de bedreigingssimulator

  3. Kies een simulatie of bekijk de simulatiegalerie om door de beschikbare simulaties te bladeren.

    U kunt de simulatiegalerie openen via:

    • Het belangrijkste evaluatiedashboard in de overzichtstegel simulaties of
    • Navigeer vanuit het navigatiedeelvenster Evaluatie en zelfstudies>Simulatie & zelfstudies en selecteer vervolgens Simulatiecatalogus.

  4. Selecteer de apparaten waarop u de simulatie wilt uitvoeren.

  5. Selecteer Simulatie maken.

  6. Bekijk de voortgang van een simulatie door het tabblad Simulaties te selecteren. Bekijk de simulatiestatus, actieve waarschuwingen en andere details.

    Tabblad Simulaties

Nadat u uw simulaties hebt uitgevoerd, raden we u aan de voortgangsbalk van het lab te doorlopen en te verkennen Microsoft Defender voor Eindpunt een geautomatiseerd onderzoek en herstel heeft geactiveerd. Bekijk het bewijs dat is verzameld en geanalyseerd door de functie.

Zoek naar aanvalsmateriaal door middel van geavanceerde opsporing met behulp van de uitgebreide querytaal en onbewerkte telemetrie en bekijk enkele wereldwijde bedreigingen die worden beschreven in Bedreigingsanalyse.

Microsoft Defender voor Eindpunt werkt samen met verschillende platformen voor bedreigingssimulatie om u gemakkelijk toegang te geven om de mogelijkheden van het platform rechtstreeks vanuit de portal te testen.

Bekijk alle beschikbare simulaties door in het menu naar Simulaties en zelfstudies>Simulatiecatalogus te gaan.

Er wordt een lijst weergegeven met ondersteunde bedreigingssimulatieagents van derden en specifieke typen simulaties, samen met gedetailleerde beschrijvingen, in de catalogus.

U kunt gemakkelijk elke beschikbare simulatie rechtstreeks vanuit de catalogus uitvoeren.

Simulatiecatalogus

Elke simulatie wordt geleverd met een uitgebreide beschrijving van het aanvalsscenario en verwijzingen, zoals de gebruikte MITRE-aanvalstechnieken en voorbeelden van geavanceerde opsporingsquery's die u uitvoert.

              Voorbeelden:

Voorbeeld van het detailvenster met simulatiebeschrijvingen voor persistentiemethoden

De details van de simulatiebeschrijving voor APT29

Evaluatierapport

De labrapporten bevatten een overzicht van de resultaten van de simulaties die op de apparaten zijn uitgevoerd.

Evaluatierapport

In één oogopslag ziet u snel het volgende:

  • Incidenten die zijn geactiveerd
  • Gegenereerde waarschuwingen
  • Evaluaties van blootstellingsniveau
  • Waargenomen bedreigingscategorieën
  • Detectiebronnen
  • Geautomatiseerd onderzoek

Feedback geven

Uw feedback helpt ons uw omgeving beter te beschermen tegen geavanceerde aanvallen. Deel uw ervaring en indrukken van productmogelijkheden en evaluatieresultaten.

Laat ons weten wat u ervan vindt door Feedback geven te selecteren.

De feedbackpagina

Tip

Wil je meer weten? Engage met de Microsoft Security-community in onze Tech Community: Microsoft Defender voor Eindpunt Tech Community.