Doświadczenie Ochrona punktu końcowego w usłudze Microsoft Defender za pomocą symulowanych ataków

Dotyczy:

Chcesz poznać usługę ochrony punktu końcowego w usłudze Microsoft Defender? Utwórz konto, aby skorzystać z bezpłatnej wersji próbnej.

Porada

Przed dołączeniem więcej niż kilku urządzeń do usługi warto skorzystać z usługi Defender for Endpoint. W tym celu można uruchomić kontrolowane symulacje ataków na kilku urządzeniach testowych. Po uruchomieniu symulowanych ataków możesz sprawdzić, w jaki sposób usługa Defender for Endpoint udostępnia złośliwe działania i dowiedzieć się, w jaki sposób umożliwia ona efektywną reakcję.

Przed rozpoczęciem

Do uruchomienia dowolnej z podanych symulacji potrzebny jest co najmniej jedno dołączone urządzenie.

Zapoznaj się z dokumentem przewodnika podanym w każdym scenariuszu ataku. Każdy dokument zawiera wymagania dotyczące systemu operacyjnego i aplikacji, a także szczegółowe instrukcje specyficzne dla scenariusza ataku.

Uruchamianie symulacji

  1. W samouczkach >& ewaluacji punktów końcowych>Samouczki & symulacji wybierz, które z dostępnych scenariuszy ataku chcesz symulować:

    • Scenariusz 1. Dokument porzuca tylne drzwi — symuluje dostarczenie dokumentu przynęty inżynierii społecznej. Dokument uruchamia specjalnie spreparowane tylne drzwi, które zapewniają atakującym kontrolę.
    • Scenariusz 2. Skrypt programu PowerShell w ataku bez plików — symuluje atak bez plików, który opiera się na programie PowerShell, prezentując redukcję obszaru ataków i wykrywanie złośliwej pamięci przez uczenie urządzenia.
    • Scenariusz 3. Automatyczne reagowanie na zdarzenia — wyzwala zautomatyzowane badanie, które automatycznie poluje na artefakty naruszeń i koryguje je w celu skalowania pojemności reagowania na zdarzenia.
  2. Pobierz i przeczytaj odpowiedni dokument przewodnika dostarczony wraz z wybranym scenariuszem.

  3. Pobierz plik symulacji lub skopiuj skrypt symulacji, przechodząc do samouczków dotyczących oceny & Samouczki>& symulacje. Możesz pobrać plik lub skrypt na urządzenie testowe, ale nie jest to obowiązkowe.

  4. Uruchom plik symulacji lub skrypt na urządzeniu testowym zgodnie z instrukcjami w dokumencie przewodnika.

Uwaga

Pliki symulacji lub skrypty naśladują działanie ataku, ale są w rzeczywistości niegroźne i nie zaszkodzą ani nie naruszą urządzenia testowego.

Możesz również użyć pliku testowego EICAR lub ciągu tekstowego testu EICAR, aby wykonać niektóre testy. Możliwe jest przetestowanie funkcji ochrony w czasie rzeczywistym (utworzenie pliku tekstowego, wklejenie tekstu EICAR i zapisanie pliku jako pliku wykonywalnego na dysku lokalnym punktu końcowego — otrzymasz powiadomienie w punkcie końcowym testu i alert w konsoli MDE) lub ochronę EDR (musisz tymczasowo wyłączyć ochronę w czasie rzeczywistym w punkcie końcowym testu i zapisać plik testowy EICAR, a następnie spróbuj wykonać, skopiować lub przenieść ten plik). Po uruchomieniu testów włącz ochronę w czasie rzeczywistym w punkcie końcowym testu.

Chcesz poznać usługę ochrony punktu końcowego w usłudze Microsoft Defender? Utwórz konto, aby skorzystać z bezpłatnej wersji próbnej.

Porada

Chcesz dowiedzieć się więcej? Engage ze społecznością microsoft security w naszej społeczności technicznej: Ochrona punktu końcowego w usłudze Microsoft Defender Tech Community.