共用方式為

用於驗證裝置入職與報告服務的 EDR 偵測測試

  • 適用於: Microsoft Defender for Endpoint Plan 2, Microsoft Defender for Business

必要條件

  • Windows 用戶端裝置必須執行 Windows 11、Windows 10 版本 1709 build 16273 或更新版本、Windows 8.1 或 Windows 7 SP1。
  • Windows 伺服器裝置必須執行 Windows Server 2008 R2 SP1、Windows Server 2012 R2 及以上版本,或是 Azure Stack HCI OS 版本 23H2 及以上。
  • Linux 伺服器必須運行支援版本 (詳見 Linux 適用於端點的 Microsoft Defender 的前置條件)
  • 裝置必須接入 Defender for Endpoint

端點偵測與回應提供近乎即時且可執行的進階攻擊偵測。 安全性分析人員可以有效地排定警示的優先順序、深入了解入侵的全貌,並採取回應動作來補救威脅。 你可以執行 EDR 偵測測試,確認裝置是否已正確上線並向服務單位報告。 本文說明如何在新上線的裝置上執行EDR偵測測試。

Windows 用戶端

在 PowerShell 中執行以下指令:

Set-Content -Path "$env:TEMP\eicar.txt" -Value "X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*"

Rename-Item "$env:TEMP\eicar.txt" "eicar.com"

若成功,幾分鐘內會產生新的警報。

Windows 伺服器

提示

伺服器必須在 TCP 埠 80 監聽請求,以下指令才會有效。 你可以執行以下 PowerShell 指令來驗證: Test-NetConnection 127.0.0.1 -Port 80

在命令提示字元視窗中,執行以下指令:

powershell.exe -NoExit -ExecutionPolicy Bypass -WindowStyle Hidden $ErrorActionPreference='silentlycontinue';(New-Object System.Net.WebClient).DownloadFile('http://127.0.0.1/1.exe', 'C:\\test-WDATP-test\\invoice.exe');Start-Process 'C:\\test-WDATP-test\\invoice.exe'

若成功,偵測測試將被標記為完成,並在幾分鐘內產生新的警示。

Linux

  1. 腳本檔案 下載到已內建的 Linux 伺服器。

    curl -o ~/Downloads/MDE-Linux-EDR-DIY.zip -L https://aka.ms/MDE-Linux-EDR-DIY

  2. 解壓壓縮資料夾。

    unzip ~/Downloads/MDE-Linux-EDR-DIY.zip

  3. 執行以下指令以賦予腳本執行檔權限:

    chmod +x ./mde_linux_edr_diy.sh

  4. 執行以下指令來執行腳本:

    ./mde_linux_edr_diy.sh

    幾分鐘後,Microsoft Defender 入口網站應該會偵測到。 查看警示細節、機器時間軸,並執行你平常的調查步驟。

macOS

  1. 在瀏覽器中,Microsoft Edge for Mac 或 Safari,下載 MDATP macOS DIY.ziphttps://aka.ms/mdatpmacosdiy ,並解壓壓縮資料夾。

    出現了以下提示:

    你想允許在「mdatpclientanalyzer.blob.core.windows.net」下載嗎?
    你可以在 網站偏好設定中更改哪些網站可以下載檔案。

  2. 選擇 允許

  3. 開放 下載

  4. 你必須能看到 MDATP 的 MacOS DIY

    提示

    如果你雙擊 MDATP MacOS DIY,會看到以下訊息:

    「MDATP MacOS DIY」無法開啟,因為無法驗證開發者身份。
    macOS 無法驗證這個應用程式是否沒有惡意軟體。
    [搬到垃圾桶][完成]

  5. 按一下 [完成]

  6. 右鍵點 MDATP MacOS DIY,然後點 選開啟

    系統會顯示以下訊息:

    macOS 無法驗證 MDATP MacOS DIY 的開發者。 你確定要打開嗎?
    開啟此應用程式,您將無法覆蓋系統安全,這可能會讓您的電腦和個人資訊暴露於可能損害 Mac 或隱私的惡意軟體之中。

  7. 按一下 [開啟]

    系統會顯示以下訊息:

    適用於端點的 Microsoft Defender - macOS EDR DIY test file
    相應的警報將於MDATP入口網站中公布。

  8. 按一下 [開啟]

    幾分鐘後,macOS EDR 測試警報 會被觸發。

  9. 前往Microsoft Defender入口網站 (https://security.microsoft.com/) 。

  10. 進入 警報 佇列。

    截圖顯示 macOS EDR 測試警示,顯示嚴重性、類別、偵測來源,以及一個摺疊的操作選單

    macOS 的 EDR 測試警示顯示嚴重度、類別、偵測來源,以及一個收摺的動作選單。 查看警報細節和裝置時間軸,並執行例行調查步驟。

後續步驟

如果你遇到應用程式相容性或效能問題,可以考慮加入排除選項。 更多資訊請參閱以下文章:

另請參閱 適用於端點的 Microsoft Defender 安全作業指南

  • Last updated on