Zkušenosti Microsoft Defender for Endpoint prostřednictvím simulovaných útoků

Platí pro:

• Plán 2 pro Microsoft Defender pro koncový bod
• Microsoft 365 Defender

Chcete používat Defender pro Endpoint? Zaregistrujte se a získejte bezplatnou zkušební verzi,

Tip

• Přečtěte si o nejnovějších vylepšeních v Microsoft Defender for Endpoint: Co je nového v Defenderu for Endpoint?.
• Defender for Endpoint ukázal špičkové možnosti optiky a detekce v nedávném hodnocení MITRE. Přečtěte si: Přehledy z vyhodnocení na základě MITRE ATT&CK.

Než do služby nasadíte více než několik zařízení, můžete si defender for Endpoint prožít. K tomu můžete spustit řízené simulace útoku na několika testovacích zařízeních. Po spuštění simulovaných útoků můžete zkontrolovat, jak Defender for Endpoint zobrazuje škodlivou aktivitu, a zjistit, jak umožňuje efektivní reakci.

Než začnete

Pokud chcete spustit některou ze zadaných simulací, potřebujete alespoň jedno nasazené zařízení.

Přečtěte si dokument s návodem k jednotlivým scénářům útoku. Každý dokument obsahuje požadavky na operační systém a aplikace a také podrobné pokyny, které jsou specifické pro scénář útoku.

Spuštění simulace

1. V kurzech>>Vyhodnocení &koncových bodůKurzy & simulace vyberte, které z dostupných scénářů útoku chcete simulovat:

   • Scénář 1: Zahodí zadní vrátka dokumentu – simuluje doručení dokumentu se sociálně inženýrem. Dokument spustí speciálně vytvořené zadní vrátka, které útočníkům dává kontrolu.
   • Scénář 2: Skript PowerShellu při útoku bez souborů – simuluje útok bez souborů, který je závislý na PowerShellu, a ukazuje snížení prostoru útoku a detekci aktivity škodlivé paměti učením zařízení.
   • Scénář 3: Automatizovaná reakce na incidenty – aktivuje automatizované šetření, které automaticky vyhledá artefakty porušení zabezpečení a opraví je, aby se škálovala kapacita reakce na incidenty.

2. Stáhněte si a přečtěte si odpovídající dokument s návodem, který je součástí vybraného scénáře.

3. Stáhněte si soubor simulace nebo zkopírujte simulační skript tak, že přejdete na Kurzy >vyhodnocení &Kurzy & simulace. Soubor nebo skript si můžete stáhnout na testovacím zařízení, ale není to povinné.

4. Spusťte simulační soubor nebo skript na testovacím zařízení podle pokynů v dokumentu s návodem.

Poznámka

Simulační soubory nebo skripty napodobují aktivitu útoku, ale ve skutečnosti jsou neškodné a nepoškodí ani neohrožují testovací zařízení.

K provedení některých testů můžete použít také testovací soubor EICAR nebo textový řetězec testu EICAR. Je možné otestovat funkce ochrany v reálném čase (vytvořit textový soubor, vložit text EICAR a soubor uložit jako spustitelný soubor na místní jednotku koncového bodu – na testovacím koncovém bodu se zobrazí oznámení a upozornění v konzole MDE) nebo ochranu EDR (musíte dočasně zakázat ochranu v reálném čase na testovacím koncovém bodu a uložit testovací soubor EICAR. a pak zkuste tento soubor spustit, zkopírovat nebo přesunout). Po spuštění testů povolte ochranu v reálném čase na testovacím koncovém bodu.

Chcete používat Defender pro Endpoint? Zaregistrujte se a získejte bezplatnou zkušební verzi,

Související témata

• Nasazování zařízení
• Onboarding zařízení s Windows

Tip

Chcete se dozvědět více? Zapojte se do komunity zabezpečení Microsoftu v naší technické komunitě: Microsoft Defender for Endpoint Tech Community.