Опыт Microsoft Defender для конечной точки с помощью имитированных атак
Важно!
Лаборатория оценки Microsoft Defender для конечной точки была устаревшей в январе 2024 г.
Область применения:
Хотите попробовать Defender для конечной точки? Зарегистрироваться для бесплатной пробной версии.
Совет
- Узнайте о последних улучшениях в Microsoft Defender для конечной точки: Новые возможности Defender для конечной точки?
- Defender для конечной точки продемонстрировал ведущие в отрасли возможности оптической и обнаружения в недавней оценке MITRE. Чтение: Аналитика из оценки на основе MITRE ATT&CK.
Вы можете использовать Defender для конечной точки перед подключением к службе нескольких устройств. Для этого можно запустить управляемое моделирование атак на нескольких тестовых устройствах. После выполнения имитированных атак вы можете просмотреть, как Defender для конечной точки вызывает вредоносные действия, и узнать, как она обеспечивает эффективное реагирование.
Перед началом работы
Для выполнения любого из предоставленных симуляций требуется по крайней мере одно подключенное устройство.
Ознакомьтесь с пошаговым руководством по каждому сценарию атаки. Каждый документ содержит требования к ОС и приложениям, а также подробные инструкции, относящиеся к сценарию атаки.
Запуск имитации
В разделе Оценка конечных> точек& учебники Учебники>& симуляции выберите, какие из доступных сценариев атак вы хотите имитировать:
- Сценарий 1. Документ удаляет backdoor — имитирует доставку социально спроектированного документа приманки. Документ запускает специально созданный backdoor, который предоставляет злоумышленникам контроль.
- Сценарий 2. Сценарий PowerShell в атаке без файлов имитирует атаку без файлов, основанную на PowerShell, показывающую сокращение направлений атаки и обнаружение вредоносных действий в памяти с помощью обучения устройств.
- Сценарий 3. Автоматическое реагирование на инциденты активирует автоматическое исследование, которое автоматически ищет и устраняет артефакты нарушения для масштабирования емкости реагирования на инциденты.
Скачайте и прочитайте соответствующий пошаговый документ, предоставленный для выбранного сценария.
Скачайте файл имитации или скопируйте скрипт моделирования, перейдя в разделе Оценка & учебники Учебники>& симуляции. Вы можете скачать файл или сценарий на тестовом устройстве, но это необязательно.
Запустите файл моделирования или скрипт на тестовом устройстве, как описано в пошаговом руководстве.
Примечание.
Симуляция файлов или скриптов имитирует действия атаки, но на самом деле являются безвредными и не повреждают и не компрометируют тестовое устройство.
Для выполнения некоторых тестов также можно использовать файл теста EICAR или текстовую строку теста EICAR. Можно протестировать функции защиты в режиме реального времени (создать текстовый файл, вставить текст EICAR и сохранить файл как исполняемый файл на локальном диске конечной точки. Вы получите уведомление о тестовой конечной точке и оповещение в консоли MDE) или защиту EDR (необходимо временно отключить защиту в режиме реального времени на тестовой конечной точке и сохранить тестовый файл EICAR. а затем попробуйте выполнить, скопировать или переместить этот файл). После выполнения тестов включите защиту в режиме реального времени в тестовой конечной точке.
Хотите попробовать Defender для конечной точки? Зарегистрироваться для бесплатной пробной версии.
Статьи по теме
Совет
Хотите узнать больше? Engage с сообществом Microsoft Security в нашем техническом сообществе: Microsoft Defender для конечной точки Техническое сообщество.
Обратная связь
https://aka.ms/ContentUserFeedback.
Ожидается в ближайшее время: в течение 2024 года мы постепенно откажемся от GitHub Issues как механизма обратной связи для контента и заменим его новой системой обратной связи. Дополнительные сведения см. в разделеОтправить и просмотреть отзыв по