Test wykrywania EDR na potrzeby weryfikowania usług dołączania i raportowania urządzenia

Wymagania wstępne

• Urządzenia klienckie z systemem Windows muszą być uruchomione Windows 11, Windows 10 wersji 1709 kompilacji 16273 lub nowszej, Windows 8.1 lub Windows 7 z dodatkiem SP1.
• Urządzenia z systemem Windows Server muszą być uruchomione Windows Server 2008 R2 z dodatkiem SP1, Windows Server 2012 R2 lub nowszym lub systemem operacyjnym Azure Stack HCI w wersji 23H2 lub nowszej.
• Serwery z systemem Linux muszą mieć obsługiwaną wersję (zobacz Wymagania wstępne dotyczące Ochrona punktu końcowego w usłudze Microsoft Defender w systemie Linux)
• Urządzenia muszą być dołączone do usługi Defender for Endpoint

Wykrywanie punktów końcowych i reagowanie na nie dla punktu końcowego zapewnia zaawansowane wykrywanie ataków, które są niemal w czasie rzeczywistym i umożliwiają podjęcie działań. Analitycy zabezpieczeń mogą efektywnie ustalać priorytety alertów, uzyskiwać wgląd w pełny zakres naruszenia i podejmować działania reagowania w celu skorygowania zagrożeń. Możesz uruchomić test wykrywania EDR, aby sprawdzić, czy urządzenie jest prawidłowo dołączone i jest raportowane do usługi. W tym artykule opisano sposób uruchamiania testu wykrywania EDR na nowo dołączonym urządzeniu.

System Windows

1. Otwórz okno wiersza polecenia.

2. W wierszu polecenia skopiuj i uruchom następujące polecenie. Okno wiersza polecenia zostanie zamknięte automatycznie.

   powershell.exe -NoExit -ExecutionPolicy Bypass -WindowStyle Hidden $ErrorActionPreference= 'silentlycontinue';(New-Object System.Net.WebClient).DownloadFile('http://127.0.0.1/1.exe', 'C:\\test-WDATP-test\\invoice.exe');Start-Process 'C:\\test-WDATP-test\\invoice.exe'
   

3. Jeśli test wykrywania zakończy się pomyślnie, zostanie oznaczony jako ukończony, a nowy alert pojawi się w ciągu kilku minut.

Linux

1. Pobierz plik skryptu na dołączony serwer z systemem Linux.

   curl -o ~/Downloads/MDE-Linux-EDR-DIY.zip -L https://aka.ms/MDE-Linux-EDR-DIY
   

2. Wyodrębnij folder spakowany.

   unzip ~/Downloads/MDE-Linux-EDR-DIY.zip
   

3. Uruchom następujące polecenie, aby nadać skryptowi uprawnienie wykonywalne:

   chmod +x ./mde_linux_edr_diy.sh
   

4. Uruchom następujące polecenie, aby wykonać skrypt:

   ./mde_linux_edr_diy.sh
   

   Po kilku minutach wykrywanie powinno zostać zgłoszone w portalu Microsoft Defender. Przyjrzyj się szczegółom alertu, osi czasu maszyny i wykonaj typowe kroki badania.

macOS

1. W przeglądarce Microsoft Edge dla komputerów Mac lub Safari pobierz DIY.zipMDATP dla systemu macOS i https://aka.ms/mdatpmacosdiy wyodrębnij folder spakowany.

   Zostanie wyświetlony następujący monit:

   Czy chcesz zezwolić na pobieranie na "mdatpclientanalyzer.blob.core.windows.net"?
   Możesz zmienić witryny internetowe, które mogą pobierać pliki w preferencjach witryn sieci Web.

2. Wybierz pozycję Zezwalaj.

3. Otwórz pliki do pobrania.

4. Musisz być w stanie zobaczyć MDATP MacOS DIY.

   Porada

   Po dwukrotnym kliknięciu przycisku MDATP dla systemu MacOS DIY zostanie wyświetlony następujący komunikat:

   Nie można otworzyć "MDATP MacOS DIY", ponieważ nie można zweryfikować dewelopera.
   System macOS nie może sprawdzić, czy ta aplikacja jest wolna od złośliwego oprogramowania.
   [Przenieś do kosza][Gotowe]

5. Kliknij pozycję Gotowe.

6. Kliknij prawym przyciskiem myszy pozycję MDATP Dla systemu MacOS DIY, a następnie kliknij przycisk Otwórz.

   System wyświetla następujący komunikat:

   System macOS nie może zweryfikować dewelopera funkcji MDATP dla systemu MacOS DIY. Czy na pewno chcesz go otworzyć?
   Otwarcie tej aplikacji spowoduje zastąpienie zabezpieczeń systemu, które mogą uwidoczniać komputer i dane osobowe złośliwemu oprogramowaniu, które może zaszkodzić twojemu komputerowi Mac lub naruszyć twoją prywatność.

7. Kliknij przycisk Otwórz.

   System wyświetla następujący komunikat:

   Ochrona punktu końcowego w usłudze Microsoft Defender — plik testowy diy systemu macOS EDR
   Odpowiedni alert będzie dostępny w portalu MDATP.

8. Kliknij przycisk Otwórz.

   W ciągu kilku minut zostanie zgłoszony alert testu EDR systemu macOS .

9. Przejdź do portalu Microsoft Defender (https://security.microsoft.com/).

10. Przejdź do kolejki alertów .

    

    Alert testowy EDR systemu macOS pokazuje ważność, kategorię, źródło wykrywania i zwinięte menu akcji. Przyjrzyj się szczegółom alertu i osi czasu urządzenia i wykonaj regularne kroki badania.

Następne kroki

Jeśli występują problemy ze zgodnością lub wydajnością aplikacji, możesz rozważyć dodanie wykluczeń. Aby uzyskać więcej informacji, zobacz następujące artykuły:

• Konfigurowanie i weryfikowanie wykluczeń dla Ochrona punktu końcowego w usłudze Microsoft Defender w systemie macOS
• Rozwiązywanie problemów z wynikami fałszywie pozytywnymi/negatywnymi w ochronie punktu końcowego w usłudze Microsoft Defender
• Zarządzaj regułami pomijania
• Tworzenie wskaźników naruszenia zabezpieczeń (IoC)
• Tworzenie niestandardowych reguł wykrywania i zarządzanie nimi

Zapoznaj się również z przewodnikiem po operacjach zabezpieczeń Ochrona punktu końcowego w usłudze Microsoft Defender.