Zkušenosti Microsoft Defender for Endpoint prostřednictvím simulovaných útoků
Důležité
Testovací prostředí Microsoft Defender for Endpoint bylo vyřazeno v lednu 2024.
Platí pro:
Chcete používat Defender pro Endpoint? Zaregistrujte se a získejte bezplatnou zkušební verzi,
Tip
- Přečtěte si o nejnovějších vylepšeních v Microsoft Defender for Endpoint: Co je nového v Defenderu for Endpoint?.
- Defender for Endpoint ukázal špičkové možnosti optiky a detekce v nedávném hodnocení MITRE. Přečtěte si: Přehledy z vyhodnocení mitre ATT&CK.
Než do služby nasadíte více než několik zařízení, můžete si defender for Endpoint prožít. K tomu můžete spustit řízené simulace útoku na několika testovacích zařízeních. Po spuštění simulovaných útoků můžete zkontrolovat, jak Defender for Endpoint zobrazuje škodlivou aktivitu, a zjistit, jak umožňuje efektivní reakci.
Než začnete
Pokud chcete spustit některou ze zadaných simulací, potřebujete alespoň jedno nasazené zařízení.
Přečtěte si dokument s návodem k jednotlivým scénářům útoku. Každý dokument obsahuje požadavky na operační systém a aplikace a také podrobné pokyny, které jsou specifické pro scénář útoku.
Spuštění simulace
V části Vyhodnocení koncových bodů>& kurzy>Kurzy & simulace vyberte, které z dostupných scénářů útoku chcete simulovat:
- Scénář 1: Zahodí zadní vrátka dokumentu – simuluje doručení dokumentu se sociálně inženýrem. Dokument spustí speciálně vytvořené zadní vrátka, které útočníkům dává kontrolu.
- Scénář 2: Skript PowerShellu při útoku bez souborů – simuluje útok bez souborů, který je závislý na PowerShellu, a ukazuje snížení prostoru útoku a detekci aktivity škodlivé paměti učením zařízení.
- Scénář 3: Automatizovaná reakce na incidenty – aktivuje automatizované šetření, které automaticky vyhledá artefakty porušení zabezpečení a opraví je, aby se škálovala kapacita reakce na incidenty.
Stáhněte si a přečtěte si odpovídající dokument s návodem, který je součástí vybraného scénáře.
Stáhněte si soubor simulace nebo zkopírujte simulační skript tak, že přejdete do části Zkušební & kurzy>Kurzy & simulace. Soubor nebo skript si můžete stáhnout na testovacím zařízení, ale není to povinné.
Spusťte simulační soubor nebo skript na testovacím zařízení podle pokynů v dokumentu s návodem.
Poznámka
Simulační soubory nebo skripty napodobují aktivitu útoku, ale ve skutečnosti jsou neškodné a nepoškodí ani neohrožují testovací zařízení.
K provedení některých testů můžete použít také testovací soubor EICAR nebo textový řetězec testu EICAR. Je možné otestovat funkce ochrany v reálném čase (vytvořit textový soubor, vložit text EICAR a uložit soubor jako spustitelný soubor na místní jednotku koncového bodu – zobrazí se oznámení na testovacím koncovém bodu a upozornění v konzole MDE) nebo ochranu EDR (musíte dočasně zakázat ochranu v reálném čase na testovacím koncovém bodu a uložit testovací soubor EICAR. a pak zkuste tento soubor spustit, zkopírovat nebo přesunout). Po spuštění testů povolte ochranu v reálném čase na testovacím koncovém bodu.
Chcete používat Defender pro Endpoint? Zaregistrujte se a získejte bezplatnou zkušební verzi,
Související témata
Tip
Chcete se dozvědět více? Engage s komunitou Microsoft Security v naší technické komunitě: Microsoft Defender for Endpoint Tech Community.
Váš názor
https://aka.ms/ContentUserFeedback.
Připravujeme: V průběhu roku 2024 budeme postupně vyřazovat problémy z GitHub coby mechanismus zpětné vazby pro obsah a nahrazovat ho novým systémem zpětné vazby. Další informace naleznete v tématu:Odeslat a zobrazit názory pro