Delen via

EDR-detectietest voor het controleren van de onboarding- en rapportageservices van het apparaat

  • Van toepassing op: Microsoft Defender for Endpoint Plan 2, Microsoft Defender for Business

Vereisten

  • Windows-clientapparaten moeten Windows 11, Windows 10 versie 1709 build 16273 of hoger, Windows 8.1 of Windows 7 SP1 worden uitgevoerd.
  • Op Windows-serverapparaten moet Windows Server 2008 R2 SP1, Windows Server 2012 R2 en hoger of Azure Stack HCI OS versie 23H2 en hoger worden uitgevoerd.
  • Linux-servers moeten een ondersteunde versie uitvoeren (zie Vereisten voor Microsoft Defender voor Eindpunt op Linux)
  • Apparaten moeten worden toegevoegd aan Defender voor Eindpunt

Eindpuntdetectie en -respons voor Eindpunt bieden geavanceerde aanvalsdetecties die bijna in realtime zijn en actie kunnen worden uitgevoerd. Beveiligingsanalisten kunnen waarschuwingen effectief prioriteit geven, zichtbaarheid krijgen in het volledige bereik van een beveiligingsschending en reactieacties ondernemen om bedreigingen te herstellen. U kunt een EDR-detectietest uitvoeren om te controleren of het apparaat correct is onboarded en aan de service te rapporteren. In dit artikel wordt beschreven hoe u een EDR-detectietest uitvoert op een nieuw onboardingsapparaat.

Windows

Tip

Het Windows-apparaat moet luisteren naar aanvragen op TCP-poort 80 om de volgende opdrachten te laten werken. U kunt dit controleren door de volgende PowerShell-opdracht uit te voeren: Test-NetConnection 127.0.0.1 -Port 80.

Voer in een opdrachtpromptvenster de volgende opdrachten uit:

powershell.exe -NoExit -ExecutionPolicy Bypass -WindowStyle Hidden $ErrorActionPreference='silentlycontinue';(New-Object System.Net.WebClient).DownloadFile('http://127.0.0.1/1.exe', 'C:\\test-WDATP-test\\invoice.exe');Start-Process 'C:\\test-WDATP-test\\invoice.exe'

Als dit lukt, wordt de detectietest gemarkeerd als voltooid en wordt er binnen enkele minuten een nieuwe waarschuwing weergegeven.

Linux

  1. Download het scriptbestand naar een onboarded Linux-server.

    curl -o ~/Downloads/MDE-Linux-EDR-DIY.zip -L https://aka.ms/MDE-Linux-EDR-DIY

  2. Pak de gezipte map uit.

    unzip ~/Downloads/MDE-Linux-EDR-DIY.zip

  3. Voer de volgende opdracht uit om de uitvoerbare machtiging voor het script te verlenen:

    chmod +x ./mde_linux_edr_diy.sh

  4. Voer de volgende opdracht uit om het script uit te voeren:

    ./mde_linux_edr_diy.sh

    Na een paar minuten moet er een detectie worden weergegeven in de Microsoft Defender portal. Bekijk de waarschuwingsdetails en de tijdlijn van de machine en voer de gebruikelijke onderzoeksstappen uit.

macOS

  1. Download in uw browser, Microsoft Edge voor Mac of Safari, MDATP macOS DIY.zip uit https://aka.ms/mdatpmacosdiy en pak de gezipte map uit.

    De volgende prompt wordt weergegeven:

    Wilt u downloads op 'mdatpclientanalyzer.blob.core.windows.net' toestaan?
    U kunt in Voorkeuren voor websites wijzigen welke websites bestanden kunnen downloaden.

  2. Selecteer Toestaan.

  3. Open Downloads.

  4. U moet MDATP MacOS DIY kunnen zien.

    Tip

    Als u dubbelklikt op MDATP MacOS DIY, krijgt u het volgende bericht:

    'MDATP MacOS DIY' kan niet worden geopend omdat de ontwikkelaar niet kan worden geverifieerd.
    macOS kan niet controleren of deze app vrij is van malware.
    [Verplaatsen naar prullenbak][Gereed]

  5. Klik op Gereed.

  6. Klik met de rechtermuisknop op MDATP MacOS DIY en klik vervolgens op Openen.

    Het systeem geeft het volgende bericht weer:

    macOS kan de ontwikkelaar van MDATP MacOS DIY niet verifiëren. Weet u zeker dat u het wilt openen?
    Door deze app te openen, overschrijft u systeembeveiliging die uw computer en persoonlijke gegevens kan blootstellen aan malware die uw Mac kan schaden of uw privacy in gevaar kan brengen.

  7. Klik op Openen.

    Het systeem geeft het volgende bericht weer:

    Microsoft Defender voor Eindpunt - macOS EDR DIY-testbestand
    De bijbehorende waarschuwing is beschikbaar in de MDATP-portal.

  8. Klik op Openen.

    Binnen enkele minuten wordt een waarschuwing macOS EDR-testwaarschuwing gegenereerd.

  9. Ga naar Microsoft Defender portal (https://security.microsoft.com/).

  10. Ga naar de waarschuwingswachtrij .

    Schermopname van een macOS EDR-testwaarschuwing met ernst, categorie, detectiebron en een samengevouwen menu met acties

    De macOS EDR-testwaarschuwing toont ernst, categorie, detectiebron en een samengevouwen menu met acties. Bekijk de waarschuwingsdetails en de tijdlijn van het apparaat en voer de reguliere onderzoeksstappen uit.

Volgende stappen

Als u problemen ondervindt met de compatibiliteit of prestaties van toepassingen, kunt u overwegen uitsluitingen toe te voegen. Zie de volgende artikelen voor meer informatie:

Zie ook de handleiding voor beveiligingsbewerkingen van Microsoft Defender voor Eindpunt.

  • Last updated on