Udostępnij przez

Test wykrywania EDR na potrzeby weryfikowania usług dołączania i raportowania urządzenia

  • Artykuł

Dotyczy:

Wymagania i konfiguracja scenariusza

  • Windows 11, Windows 10 wersji 1709 kompilacji 16273 lub nowszej, Windows 8.1 lub Windows 7 z dodatkiem SP1.
  • Windows Server 2022, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2 i Windows Server 2008 R2 SP1.
  • Linux
  • macOS
  • Ochrona punktu końcowego w usłudze Microsoft Defender
  • Ochrona punktu końcowego w usłudze Microsoft Defender na Linuxie
  • Usługa ochrony punktu końcowego w usłudze Microsoft Defender w systemie macOS

Wykrywanie punktów końcowych i reagowanie na nie dla punktu końcowego zapewnia zaawansowane wykrywanie ataków, które są niemal w czasie rzeczywistym i umożliwiają podjęcie działań. Analitycy zabezpieczeń mogą efektywnie ustalać priorytety alertów, uzyskiwać wgląd w pełny zakres naruszenia i podejmować działania reagowania w celu skorygowania zagrożeń.

Uruchom test wykrywania EDR, aby sprawdzić, czy urządzenie jest prawidłowo dołączone i raportuje do usługi. Wykonaj następujące kroki na nowo dołączonym urządzeniu:

System Windows

  1. Otwieranie okna wiersza polecenia

  2. W wierszu polecenia skopiuj i uruchom poniższe polecenie. Okno wiersza polecenia zostanie zamknięte automatycznie.

powershell.exe -NoExit -ExecutionPolicy Bypass -WindowStyle Hidden $ErrorActionPreference= 'silentlycontinue';(New-Object System.Net.WebClient).DownloadFile('http://127.0.0.1/1.exe', 'C:\\test-WDATP-test\\invoice.exe');Start-Process 'C:\\test-WDATP-test\\invoice.exe'
  1. Jeśli test wykrywania zakończy się pomyślnie, zostanie on oznaczony jako ukończony, a nowy alert pojawi się w ciągu kilku minut.

Linux

  1. Pobieranie pliku skryptu na dołączony serwer z systemem Linux
curl -o ~/Downloads/MDE Linux DIY.zip https://aka.ms/LinuxDIY
  1. Wyodrębnij zamek błyskawiczny
unzip ~/Downloads/MDE Linux DIY.zip
  1. Uruchom następujące polecenie:
./mde_linux_edr_diy.sh

Po kilku minutach należy podnieść wykrywanie w Microsoft Defender XDR.

  1. Przyjrzyj się szczegółom alertu, osi czasu maszyny i wykonaj typowe kroki badania.

macOS

  1. W przeglądarce Microsoft Edge dla komputerów Mac lub Safari pobierz DIY.zipMDATP dla systemu MacOS i wyodrębnij go.https://aka.ms/mdatpmacosdiy

    Zostanie wyświetlony następujący monit:

    Czy chcesz zezwolić na pobieranie na "mdatpclientanalyzer.blob.core.windows.net"?
    Możesz zmienić witryny internetowe, które mogą pobierać pliki w preferencjach witryn sieci Web.

  2. Kliknij pozycję Zezwalaj.

  3. Otwórz pliki do pobrania.

  4. Musisz być w stanie zobaczyć MDATP MacOS DIY.

    Porada

    Po dwukrotnym kliknięciu przycisku MDATP dla systemu MacOS DIY zostanie wyświetlony następujący komunikat:

    Nie można otworzyć "MDATP MacOS DIY", ponieważ deweloper nie może być weryfikatorem.
    System macOS nie może sprawdzić, czy ta aplikacja jest wolna od złośliwego oprogramowania.
    [Przenieś do kosza][Anuluj]

  5. Kliknij przycisk Anuluj.

  6. Kliknij prawym przyciskiem myszy pozycję MDATP Dla systemu MacOS DIY, a następnie kliknij przycisk Otwórz.

    System wyświetla następujący komunikat:

    System macOS nie może zweryfikować dewelopera funkcji MDATP dla systemu MacOS DIY. Czy na pewno chcesz go otworzyć?
    Otwarcie tej aplikacji spowoduje zastąpienie zabezpieczeń systemu, które mogą uwidoczniać komputer i dane osobowe złośliwemu oprogramowaniu, które może zaszkodzić twojemu komputerowi Mac lub naruszyć twoją prywatność.

  7. Kliknij przycisk Otwórz.

    System wyświetli następujący komunikat:

    Ochrona punktu końcowego w usłudze Microsoft Defender — plik testowy diy systemu macOS EDR
    Odpowiedni alert będzie dostępny w portalu MDATP.

  8. Kliknij przycisk Otwórz.

    W ciągu kilku minut zostanie zgłoszony alert testu EDR systemu macOS .

  9. Przejdź do portalu Microsoft Defender (https://security.microsoft.com/).

  10. Przejdź do kolejki alertów .

    Zrzut ekranu przedstawiający alert testowy systemu macOS EDR pokazujący ważność, kategorię, źródło wykrywania i zwinięte menu akcji

    Alert testowy EDR systemu macOS pokazuje ważność, kategorię, źródło wykrywania i zwinięte menu akcji.

    Przyjrzyj się szczegółom alertu i osi czasu urządzenia i wykonaj regularne kroki badania.

Następne kroki, które można rozważyć wykonanie, to dodanie wykluczeń av zgodnie z potrzebami dotyczącymi zgodności lub wydajności aplikacji:

Zapoznaj się z przewodnikiem po operacjach zabezpieczeń Ochrona punktu końcowego w usłudze Microsoft Defender.