Doświadczenie Ochrona punktu końcowego w usłudze Microsoft Defender za pomocą symulowanych ataków
Dotyczy:
Chcesz poznać usługę ochrony punktu końcowego w usłudze Microsoft Defender? Utwórz konto, aby skorzystać z bezpłatnej wersji próbnej.
Porada
- Dowiedz się więcej o najnowszych ulepszeniach Ochrona punktu końcowego w usłudze Microsoft Defender: Co nowego w usłudze Defender for Endpoint?.
- Usługa Defender for Endpoint zademonstrowała wiodącą w branży optykę i możliwości wykrywania w ostatniej ocenie MITRE. Przeczytaj: Szczegółowe informacje z oceny opartej na programie MITRE ATT&CK.
Przed dołączeniem więcej niż kilku urządzeń do usługi warto skorzystać z usługi Defender for Endpoint. W tym celu można uruchomić kontrolowane symulacje ataków na kilku urządzeniach testowych. Po uruchomieniu symulowanych ataków możesz sprawdzić, w jaki sposób usługa Defender for Endpoint udostępnia złośliwe działania i dowiedzieć się, w jaki sposób umożliwia ona efektywną reakcję.
Przed rozpoczęciem
Do uruchomienia dowolnej z podanych symulacji potrzebny jest co najmniej jedno dołączone urządzenie.
Zapoznaj się z dokumentem przewodnika podanym w każdym scenariuszu ataku. Każdy dokument zawiera wymagania dotyczące systemu operacyjnego i aplikacji, a także szczegółowe instrukcje specyficzne dla scenariusza ataku.
Uruchamianie symulacji
W samouczkach >& ewaluacji punktów końcowych>Samouczki & symulacji wybierz, które z dostępnych scenariuszy ataku chcesz symulować:
- Scenariusz 1. Dokument porzuca tylne drzwi — symuluje dostarczenie dokumentu przynęty inżynierii społecznej. Dokument uruchamia specjalnie spreparowane tylne drzwi, które zapewniają atakującym kontrolę.
- Scenariusz 2. Skrypt programu PowerShell w ataku bez plików — symuluje atak bez plików, który opiera się na programie PowerShell, prezentując redukcję obszaru ataków i wykrywanie złośliwej pamięci przez uczenie urządzenia.
- Scenariusz 3. Automatyczne reagowanie na zdarzenia — wyzwala zautomatyzowane badanie, które automatycznie poluje na artefakty naruszeń i koryguje je w celu skalowania pojemności reagowania na zdarzenia.
Pobierz i przeczytaj odpowiedni dokument przewodnika dostarczony wraz z wybranym scenariuszem.
Pobierz plik symulacji lub skopiuj skrypt symulacji, przechodząc do samouczków dotyczących oceny & Samouczki>& symulacje. Możesz pobrać plik lub skrypt na urządzenie testowe, ale nie jest to obowiązkowe.
Uruchom plik symulacji lub skrypt na urządzeniu testowym zgodnie z instrukcjami w dokumencie przewodnika.
Uwaga
Pliki symulacji lub skrypty naśladują działanie ataku, ale są w rzeczywistości niegroźne i nie zaszkodzą ani nie naruszą urządzenia testowego.
Możesz również użyć pliku testowego EICAR lub ciągu tekstowego testu EICAR, aby wykonać niektóre testy. Możliwe jest przetestowanie funkcji ochrony w czasie rzeczywistym (utworzenie pliku tekstowego, wklejenie tekstu EICAR i zapisanie pliku jako pliku wykonywalnego na dysku lokalnym punktu końcowego — otrzymasz powiadomienie w punkcie końcowym testu i alert w konsoli MDE) lub ochronę EDR (musisz tymczasowo wyłączyć ochronę w czasie rzeczywistym w punkcie końcowym testu i zapisać plik testowy EICAR, a następnie spróbuj wykonać, skopiować lub przenieść ten plik). Po uruchomieniu testów włącz ochronę w czasie rzeczywistym w punkcie końcowym testu.
Chcesz poznać usługę ochrony punktu końcowego w usłudze Microsoft Defender? Utwórz konto, aby skorzystać z bezpłatnej wersji próbnej.
Tematy pokrewne
Porada
Chcesz dowiedzieć się więcej? Engage ze społecznością microsoft security w naszej społeczności technicznej: Ochrona punktu końcowego w usłudze Microsoft Defender Tech Community.
Opinia
https://aka.ms/ContentUserFeedback.
Już wkrótce: w ciągu 2024 r. będziemy stopniowo usuwać problemy z usługą GitHub jako mechanizm opinii na temat zawartości i zastępować go nowym systemem opinii. Aby uzyskać więcej informacji, sprawdź:Prześlij i wyświetl opinię dla