Microsoft Defender för Endpoint utvärderingslabb

  • Artikel

Viktigt

Det Microsoft Defender för Endpoint utvärderingslabbet blev inaktuellt i januari 2024.

Gäller för:

Vill du uppleva Microsoft Defender för Endpoint? Registrera dig för en kostnadsfri utvärderingsversion.

Viktigt

När Microsoft fortsätter att utvärdera värdet av de funktioner och tjänster som ska tillhandahållas har Microsoft tagit beslutet att dra tillbaka Defender Evaluation Lab. Ändringen kommer att lanseras i mitten av januari 2024 och beräknas vara klar i slutet av januari 2024.

Att genomföra en omfattande utvärdering av säkerhetsprodukter kan vara en komplex process som kräver besvärlig miljö och enhetskonfiguration innan en attacksimulering från slutpunkt till slutpunkt faktiskt kan utföras. Att lägga till komplexiteten är utmaningen att spåra där simuleringsaktiviteter, aviseringar och resultat återspeglas under utvärderingen.

Microsoft Defender för Endpoint utvärderingslabb är utformat för att eliminera komplexiteten i enhets- och miljökonfigurationen så att du kan fokusera på att utvärdera plattformens funktioner, köra simuleringar och se funktionerna för förebyggande, identifiering och reparation i praktiken.

Med den förenklade konfigurationsupplevelsen kan du fokusera på att köra egna testscenarier och de färdiga simuleringarna för att se hur Defender för Endpoint fungerar.

Du har fullständig åtkomst till plattformens kraftfulla funktioner, till exempel automatiserade undersökningar, avancerad jakt och hotanalys, så att du kan testa den omfattande skyddsstacken som Defender för Endpoint erbjuder.

Du kan lägga till Windows 10-, Windows 11-, Windows Server 2019-, Windows Server 2016- och Linux-enheter (Ubuntu) som är förkonfigurerade för att ha de senaste operativsystemversionerna och rätt säkerhetskomponenter på plats samt Office 2019 Standard installerat.

Du kan också installera hotsimulatorer. Defender för Endpoint har samarbetat med branschledande plattformar för hotsimulering som hjälper dig att testa funktionerna i Defender för Endpoint utan att behöva lämna portalen.

Installera önskad simulator, kör scenarier i utvärderingslabbet och se direkt hur plattformen presterar – allt praktiskt tillgängligt utan extra kostnad för dig. Du har också praktisk åtkomst till ett brett utbud av simuleringar som du kan komma åt och köra från simuleringskatalogen.

Innan du börjar

Du måste uppfylla licenskraven eller ha utvärderingsåtkomst till Microsoft Defender för Endpoint för att få åtkomst till utvärderingslabbet.

Du måste ha behörighet att hantera säkerhetsinställningar för att:

  • Skapa labbet
  • Skapa enheter
  • Återställa lösenord
  • Skapa simuleringar

Om du har aktiverat rollbaserad åtkomstkontroll (RBAC) och skapat minst en datorgrupp måste användarna ha åtkomst till Alla datorgrupper.

Mer information finns i Skapa och hantera roller.

Vill du uppleva Microsoft Defender för Endpoint? Registrera dig för en kostnadsfri utvärderingsversion.

Kom igång med labbet

Du kan komma åt labbet från menyn. I navigeringsmenyn väljer du Utvärdering och självstudier Utvärderingslabb>.

Obs!

  • Beroende på vilken typ av miljöstruktur du väljer kommer enheterna att vara tillgängliga för det angivna antalet timmar från aktiveringsdagen.
  • Varje miljö etableras med en begränsad uppsättning testenheter. När du har använt de etablerade enheterna och tagit bort dem kan du begära fler enheter.
  • Du kan begära labbresurser en gång i månaden.

Har du redan ett labb? Se till att aktivera de nya hotsimulatorerna och ha aktiva enheter.

Konfigurera utvärderingslabbet

  1. I navigeringsfönstret väljer du Utvärdering & självstudierUtvärderingslabb> och sedan Installationslabb.

    Välkomstsidan för utvärderingslabb

  2. Beroende på dina utvärderingsbehov kan du välja att konfigurera en miljö med färre enheter under en längre period eller fler enheter under en kortare period. Välj önskad labbkonfiguration och välj sedan Nästa.

    Konfigurationsalternativen för labb

  3. (Valfritt) Du kan välja att installera hotsimulatorer i labbet.

    Installationssimulatoragentsidan

    Viktigt

    Du måste först acceptera och ge medgivande till villkoren och informationsdelningsuttrycken.

  4. Välj den hotsimuleringsagent som du vill använda och ange din information. Du kan också välja att installera hotsimulatorer vid ett senare tillfälle. Om du väljer att installera hotsimuleringsagenter under labbinstallationen får du fördelen av att ha dem bekvämt installerade på de enheter som du lägger till.

    Sammanfattningssidan

  5. Granska sammanfattningen och välj Installationslabb.

När labbinstallationsprocessen är klar kan du lägga till enheter och köra simuleringar.

Lägga till enheter

När du lägger till en enhet i din miljö konfigurerar Defender för Endpoint en välkonfigurerad enhet med anslutningsinformation. Du kan lägga till Windows 10, Windows 11, Windows Server 2019, Windows Server 2016 och Linux (Ubuntu).

Enheten konfigureras med den senaste versionen av operativsystemet och Office 2019 Standard samt andra appar som Java, Python och SysIntenals.

Om du väljer att lägga till en hotsimulator under labbinstallationen kommer alla enheter att ha hotsimulatoragenten installerad på de enheter som du lägger till.

Enheten registreras automatiskt till din klientorganisation med de rekommenderade Windows-säkerhetskomponenterna aktiverade och i granskningsläge – utan att du behöver göra något.

Följande säkerhetskomponenter är förkonfigurerade på testenheterna:

Obs!

Microsoft Defender Antivirus är aktiverat (inte i granskningsläge). Om Microsoft Defender Antivirus blockerar dig från att köra simuleringen kan du inaktivera realtidsskydd på enheten via Windows-säkerhet. Mer information finns i Konfigurera always-on-skydd.

Inställningarna för automatiserad undersökning är beroende av klientinställningarna. Den konfigureras att vara halvautomatiserad som standard. Mer information finns i Översikt över automatiserade undersökningar.

Obs!

Anslutningen till testenheterna görs med RDP. Kontrollera att brandväggsinställningarna tillåter RDP-anslutningar.

  1. Välj Lägg till enhet på instrumentpanelen.

  2. Välj vilken typ av enhet som ska läggas till. Du kan välja att lägga till Windows 10, Windows 11, Windows Server 2019, Windows Server 2016 och Linux (Ubuntu).

    Labbinstallationen med enhetsalternativ

    Obs!

    Om något går fel när enheten skapas meddelas du och du måste skicka en ny begäran. Om det inte går att skapa enheten räknas den inte mot den totala tillåtna kvoten.

  3. Anslutningsinformationen visas. Välj Kopiera för att spara lösenordet för enheten.

    Obs!

    Lösenordet visas bara en gång. Se till att spara den för senare användning.

    Enheten har lagts till med anslutningsinformation

  4. Enhetsuppsättningen börjar. Det kan ta upp till cirka 30 minuter.

  5. Se status för testenheter, risk- och exponeringsnivåer och status för simulatorinstallationer genom att välja fliken Enheter .

    Fliken Enheter

    Tips

    I kolumnen Simulatorstatus kan du hovra över informationsikonen för att känna till installationsstatusen för en agent.

Lägga till en domänkontrollant

Lägg till en domänkontrollant för att köra komplexa scenarier, till exempel lateral förflyttning och flerstegsattacker på flera enheter.

Obs!

Domänstöd är endast tillgängligt i Microsoft Defender-portalen (security.microsoft.com).

  1. Välj Lägg till enhet på instrumentpanelen.

  2. Välj Windows Server 2019 och välj sedan Ange som domänkontrollant.

  3. När domänkontrollanten har etablerats kan du skapa domänanslutna enheter genom att klicka på Lägg till enhet. Välj sedan Windows 10/Windows 11 och välj Anslut till domän.

Obs!

Endast en domänkontrollant kan vara aktiv i taget. Domänkontrollantenheten förblir aktiv så länge det finns en aktiv enhet som är ansluten till den.

Begäran om fler enheter

När alla befintliga enheter används och tas bort kan du begära fler enheter. Du kan begära labbresurser en gång i månaden.

  1. På instrumentpanelen för utvärderingslabb väljer du Begäran om fler enheter.

    Alternativet begäran om fler enheter

  2. Välj din konfiguration.

  3. Skicka begäran.

När begäran har skickats visas en grön bekräftelsebanderoll och datumet för den senaste insändningen.

Du hittar statusen för din begäran på fliken Användaråtgärder , som kommer att godkännas inom några timmar.

När de begärda enheterna godkänns läggs de till i din labbuppsättning och du kan skapa fler enheter.

Tips

För att få ut mer av ditt labb, glöm inte att kolla in vårt simuleringsbibliotek.

Simulera attackscenarier

Använd testenheterna för att köra dina egna attacksimuleringar genom att ansluta till dem.

Du kan simulera attackscenarier med hjälp av:

Du kan också använda Avancerad jakt för att fråga efter data och hotanalys för att visa rapporter om nya hot.

Do-it-yourself-attackscenarier

Om du letar efter en fördefinierad simulering kan du använda våra "Gör det själv"-attackscenarier. Dessa skript är säkra, dokumenterade och enkla att använda. De här scenarierna återspeglar funktionerna i Defender för Endpoint och vägleder dig genom undersökningsupplevelsen.

Obs!

Anslutningen till testenheterna görs med RDP. Kontrollera att brandväggsinställningarna tillåter RDP-anslutningar.

  1. Anslut till enheten och kör en attacksimulering genom att välja Anslut.

    Knappen Anslut för testenheterna

    Skärmen för fjärrskrivbordsanslutning

    För Linux-enheter: du måste använda en lokal SSH-klient och det angivna kommandot.

    Obs!

    Om du inte har sparat en kopia av lösenordet under den första installationen kan du återställa lösenordet genom att välja Återställ lösenord på menyn:

    Alternativet Återställ lösenord

    Enheten ändrar statusen till "Kör lösenordsåterställning" och sedan visas ditt nya lösenord om några minuter.

  2. Ange lösenordet som visades när enheten skapades.

    Skärmen där du anger autentiseringsuppgifter

  3. Kör Do-it-yourself-attacksimuleringar på enheten.

Scenarier med hotsimulatorer

Om du väljer att installera någon av de hotsimulatorer som stöds under labbinstallationen kan du köra de inbyggda simuleringarna på utvärderingslabbenheterna.

Att köra hotsimuleringar med plattformar från tredje part är ett bra sätt att utvärdera Microsoft Defender för Endpoint funktioner inom ramen för en labbmiljö.

Obs!

Innan du kan köra simuleringar måste du se till att följande krav är uppfyllda:

  • Enheter måste läggas till i utvärderingslabbet
  • Hotsimulatorer måste installeras i utvärderingslabbet

  1. I portalen väljer du Skapa simulering.

  2. Välj en hotsimulator.

    Val av hotsimulator

  3. Välj en simulering eller titta igenom simuleringsgalleriet för att bläddra igenom tillgängliga simuleringar.

    Du kan komma till simuleringsgalleriet från:

    • Huvudinstrumentpanelen för utvärdering i översiktspanelen för simuleringar eller
    • Genom att navigera från navigeringsfönstret> Utvärdering och självstudierSimulering & självstudier väljer du sedan Katalogen Simuleringar.

  4. Välj de enheter där du vill köra simuleringen på.

  5. Välj Skapa simulering.

  6. Visa förloppet för en simulering genom att välja fliken Simuleringar . Visa simuleringstillstånd, aktiva aviseringar och annan information.

    Fliken Simuleringar

När du har kört simuleringarna rekommenderar vi att du går igenom förloppsindikatorn för labbet och utforskar Microsoft Defender för Endpoint utlöste en automatiserad undersökning och reparation. Kolla in de bevis som samlats in och analyserats av funktionen.

Jaga efter attackbevis genom avancerad jakt med hjälp av det omfattande frågespråket och råtelemetri och kolla in några globala hot som dokumenteras i Hotanalys.

Microsoft Defender för Endpoint har samarbetat med olika plattformar för hotsimulering så att du enkelt kan testa plattformens funktioner direkt från portalen.

Visa alla tillgängliga simuleringar genom att gå till katalogen Simuleringar och självstudier>Simuleringar från menyn.

En lista över agenter för hotsimulering från tredje part som stöds visas och specifika typer av simuleringar samt detaljerade beskrivningar finns i katalogen.

Du kan enkelt köra valfri tillgänglig simulering direkt från katalogen.

Katalog över simuleringar

Varje simulering innehåller en detaljerad beskrivning av attackscenariot och referenser, till exempel de MITRE-attacktekniker som används och exempel på avancerade jaktfrågor som du kör.

              Exempel:

Exempel på informationsfönster för simuleringsbeskrivning för beständighetsmetoder

Beskrivningsinformation för simulering för APT29

Utvärderingsrapport

Labbrapporterna sammanfattar resultatet av de simuleringar som utförs på enheterna.

Utvärderingsrapport

Du kommer snabbt att kunna se:

  • Incidenter som utlöstes
  • Genererade aviseringar
  • Utvärderingar av exponeringsnivå
  • Observerade hotkategorier
  • Identifieringskällor
  • Automatiska undersökningar

Ge feedback

Din feedback hjälper oss att bli bättre på att skydda din miljö mot avancerade attacker. Dela med dig av dina erfarenheter och intryck från produktfunktioner och utvärderingsresultat.

Meddela oss vad du tycker genom att välja Ge feedback.

Feedbacksidan

Tips

Vill du veta mer? Engage med Microsofts säkerhetscommunity i vår Tech Community: Microsoft Defender för Endpoint Tech Community.