Zkušenosti Microsoft Defender for Endpoint prostřednictvím simulovaných útoků

Důležité

Testovací prostředí Microsoft Defender for Endpoint bylo vyřazeno v lednu 2024.

Platí pro:

• Plán 2 pro Microsoft Defender pro koncový bod
• Microsoft Defender XDR

Chcete používat Defender pro Endpoint? Zaregistrujte se a získejte bezplatnou zkušební verzi,

Tip

• Přečtěte si o nejnovějších vylepšeních v Microsoft Defender for Endpoint: Co je nového v Defenderu for Endpoint?.
• Defender for Endpoint ukázal špičkové možnosti optiky a detekce v nedávném hodnocení MITRE. Přečtěte si: Přehledy z vyhodnocení mitre ATT&CK.

Než do služby nasadíte více než několik zařízení, můžete si defender for Endpoint prožít. K tomu můžete spustit řízené simulace útoku na několika testovacích zařízeních. Po spuštění simulovaných útoků můžete zkontrolovat, jak Defender for Endpoint zobrazuje škodlivou aktivitu, a zjistit, jak umožňuje efektivní reakci.

Než začnete

Pokud chcete spustit některou ze zadaných simulací, potřebujete alespoň jedno nasazené zařízení.

Přečtěte si dokument s návodem k jednotlivým scénářům útoku. Každý dokument obsahuje požadavky na operační systém a aplikace a také podrobné pokyny, které jsou specifické pro scénář útoku.

Spuštění simulace

1. V části Vyhodnocení koncových bodů>& kurzy>Kurzy & simulace vyberte, které z dostupných scénářů útoku chcete simulovat:

   • Scénář 1: Zahodí zadní vrátka dokumentu – simuluje doručení dokumentu se sociálně inženýrem. Dokument spustí speciálně vytvořené zadní vrátka, které útočníkům dává kontrolu.
   • Scénář 2: Skript PowerShellu při útoku bez souborů – simuluje útok bez souborů, který je závislý na PowerShellu, a ukazuje snížení prostoru útoku a detekci aktivity škodlivé paměti učením zařízení.
   • Scénář 3: Automatizovaná reakce na incidenty – aktivuje automatizované šetření, které automaticky vyhledá artefakty porušení zabezpečení a opraví je, aby se škálovala kapacita reakce na incidenty.

2. Stáhněte si a přečtěte si odpovídající dokument s návodem, který je součástí vybraného scénáře.

3. Stáhněte si soubor simulace nebo zkopírujte simulační skript tak, že přejdete do části Zkušební & kurzy>Kurzy & simulace. Soubor nebo skript si můžete stáhnout na testovacím zařízení, ale není to povinné.

4. Spusťte simulační soubor nebo skript na testovacím zařízení podle pokynů v dokumentu s návodem.

Poznámka

Simulační soubory nebo skripty napodobují aktivitu útoku, ale ve skutečnosti jsou neškodné a nepoškodí ani neohrožují testovací zařízení.

K provedení některých testů můžete použít také testovací soubor EICAR nebo textový řetězec testu EICAR. Je možné otestovat funkce ochrany v reálném čase (vytvořit textový soubor, vložit text EICAR a uložit soubor jako spustitelný soubor na místní jednotku koncového bodu – zobrazí se oznámení na testovacím koncovém bodu a upozornění v konzole MDE) nebo ochranu EDR (musíte dočasně zakázat ochranu v reálném čase na testovacím koncovém bodu a uložit testovací soubor EICAR. a pak zkuste tento soubor spustit, zkopírovat nebo přesunout). Po spuštění testů povolte ochranu v reálném čase na testovacím koncovém bodu.

Chcete používat Defender pro Endpoint? Zaregistrujte se a získejte bezplatnou zkušební verzi,

Související témata

• Nasazování zařízení
• Onboarding zařízení s Windows

Tip

Chcete se dozvědět více? Engage s komunitou Microsoft Security v naší technické komunitě: Microsoft Defender for Endpoint Tech Community.