Microsoft Defender for Endpoint testovací prostředí

  • Článek

Důležité

Testovací prostředí Microsoft Defender for Endpoint bylo vyřazeno v lednu 2024.

Platí pro:

Chcete vyzkoušet Defender pro Endpoint? Zaregistrujte se a získejte bezplatnou zkušební verzi,

Důležité

Vzhledem k tomu, že Společnost Microsoft stále vyhodnocuje hodnotu funkcí a služeb, které má poskytovat, se rozhodla vyřadit testovací prostředí Defenderu. Tato změna bude zaváděná v polovině ledna 2024 a očekává se, že bude dokončena do konce ledna 2024.

Provedení komplexního vyhodnocení bezpečnostních produktů může být složitý proces, který vyžaduje těžkopádnou konfiguraci prostředí a zařízení předtím, než bude možné skutečně provést kompletní simulaci útoku. Složitost je ještě složitější, protože je potřeba sledovat, kde se během vyhodnocení projeví aktivity simulace, výstrahy a výsledky.

Testovací prostředí Microsoft Defender for Endpoint je navržené tak, aby eliminovalo složitost konfigurace zařízení a prostředí, abyste se mohli soustředit na vyhodnocení možností platformy, spouštění simulací a sledování funkcí prevence, detekce a nápravy v praxi.

Díky zjednodušenému nastavení se můžete zaměřit na spouštění vlastních testovacích scénářů a předem připravených simulací, abyste viděli, jak defender for Endpoint funguje.

Budete mít úplný přístup k výkonným funkcím platformy, jako jsou automatizovaná šetření, pokročilé proaktivní vyhledávání a analýza hrozeb, což vám umožní otestovat komplexní zásobník ochrany, který Defender for Endpoint nabízí.

Můžete přidat zařízení Windows 10, Windows 11, Windows Server 2019, Windows Server 2016 a Linux (Ubuntu), která jsou předem nakonfigurovaná tak, aby měla nejnovější verze operačního systému a správné součásti zabezpečení, a také nainstalovanou sadu Office 2019 Standard.

Můžete také nainstalovat simulátory hrozeb. Defender for Endpoint spolupracuje s předními platformami simulace hrozeb, aby vám pomohl otestovat funkce Defenderu for Endpoint, aniž byste museli opustit portál.

Nainstalujte preferovaný simulátor, spusťte scénáře v testovacím prostředí a okamžitě se podívejte, jak si platforma vede – vše je pro vás pohodlně dostupné bez dalších poplatků. Budete mít také pohodlný přístup k široké škále simulací, ke kterým můžete přistupovat a spouštět je z katalogu simulací.

Než začnete

Abyste mohli získat přístup k testovacímu prostředí, budete muset splnit licenční požadavky nebo mít zkušební přístup k Microsoft Defender for Endpoint.

Musíte mít oprávnění Spravovat nastavení zabezpečení , abyste mohli:

  • Create testovacího prostředí
  • Create zařízení
  • Resetujte heslo.
  • simulace Create

Pokud jste povolili řízení přístupu na základě role (RBAC) a vytvořili jste aspoň jednu skupinu počítačů, uživatelé musí mít přístup ke všem skupinám počítačů.

Další informace najdete v tématu Create a správa rolí.

Chcete vyzkoušet Defender pro Endpoint? Zaregistrujte se a získejte bezplatnou zkušební verzi,

Začínáme s testovacím prostředím

K testovacímu prostředí se dostanete z nabídky. V navigační nabídce vyberte Vyhodnocení a kurzy > Testovací prostředí.

Poznámka

  • V závislosti na vybraném typu struktury prostředí budou zařízení k dispozici po zadaný počet hodin od dne aktivace.
  • Každé prostředí je zřízeno s omezenou sadou testovacích zařízení. Po využití zřízených zařízení a jejich odstranění můžete požádat o další zařízení.
  • O prostředky testovacího prostředí můžete požádat jednou měsíčně.

Už máte testovací prostředí? Nezapomeňte povolit nové simulátory hrozeb a mít aktivní zařízení.

Nastavení testovacího prostředí

  1. V navigačním podokně vyberte Zkušební & kurzy>Testovací prostředí a pak vyberte Nastavit testovací prostředí.

    Úvodní stránka testovacího prostředí pro testování

  2. V závislosti na potřebách vyhodnocení můžete nastavit prostředí s menším počtem zařízení na delší dobu nebo více zařízení na kratší dobu. Vyberte upřednostňovanou konfiguraci testovacího prostředí a pak vyberte Další.

    Možnosti konfigurace testovacího prostředí

  3. (Volitelné) Simulátory hrozeb si můžete nainstalovat v testovacím prostředí.

    Stránka agenta instalace simulátorů

    Důležité

    Nejprve budete muset přijmout a poskytnout souhlas s podmínkami a prohlášeními o sdílení informací.

  4. Vyberte agenta simulace hrozeb, který chcete použít, a zadejte podrobnosti. Simulátory hrozeb si můžete nainstalovat i později. Pokud se rozhodnete nainstalovat agenty simulace hrozeb během instalace testovacího prostředí, budete mít výhodu, že je budete mít pohodlně nainstalované na zařízeních, která přidáte.

    Stránka souhrnu

  5. Projděte si souhrn a vyberte Nastavit testovací prostředí.

Po dokončení procesu nastavení testovacího prostředí můžete přidat zařízení a spustit simulace.

Přidání zařízení

Když do prostředí přidáte zařízení, Defender for Endpoint nastaví dobře nakonfigurované zařízení s podrobnostmi o připojení. Můžete přidat Windows 10, Windows 11, Windows Server 2019, Windows Server 2016 a Linux (Ubuntu).

Zařízení bude nakonfigurované s nejaktuálnější verzí operačního systému a Office 2019 Standard a také s dalšími aplikacemi, jako je Java, Python a SysIntenals.

Pokud jste se během nastavení testovacího prostředí rozhodli přidat simulátor hrozeb, budou mít všechna zařízení nainstalovaného agenta simulátoru hrozeb v zařízeních, která přidáte.

Zařízení se automaticky onboarduje do vašeho tenanta se zapnutými doporučenými komponentami zabezpečení Windows a v režimu auditování – bez úsilí na vaší straně.

V testovacích zařízeních jsou předem nakonfigurované následující komponenty zabezpečení:

Poznámka

Microsoft Defender Antivirová ochrana bude zapnutá (není v režimu auditování). Pokud vám Microsoft Defender Antivirus brání ve spuštění simulace, můžete ochranu zařízení v reálném čase vypnout prostřednictvím Zabezpečení Windows. Další informace najdete v tématu Konfigurace ochrany always-on.

Nastavení automatizovaného prověřování bude záviset na nastavení tenanta. Ve výchozím nastavení se nakonfiguruje tak, aby byla částečně automatizovaná. Další informace najdete v tématu Přehled automatizovaných šetření.

Poznámka

Připojení k testovacím zařízením se provádí pomocí protokolu RDP. Ujistěte se, že nastavení brány firewall umožňuje připojení RDP.

  1. Na řídicím panelu vyberte Přidat zařízení.

  2. Zvolte typ zařízení, které chcete přidat. Můžete přidat Windows 10, Windows 11, Windows Server 2019, Windows Server 2016 a Linux (Ubuntu).

    Nastavení testovacího prostředí s možnostmi zařízení

    Poznámka

    Pokud se při vytváření zařízení něco nepovede, budete upozorněni a budete muset odeslat novou žádost. Pokud se vytvoření zařízení nezdaří, nezapočítá se do celkové povolené kvóty.

  3. Zobrazí se podrobnosti o připojení. Vyberte Kopírovat a uložte heslo pro zařízení.

    Poznámka

    Heslo se zobrazí jenom jednou. Nezapomeňte si ho uložit pro pozdější použití.

    Zařízení přidané s podrobnostmi o připojení

  4. Začne nastavení zařízení. Může to trvat až 30 minut.

  5. Výběrem karty Zařízení se můžete podívat na stav testovacích zařízení, úrovně rizika a expozice a stav instalací simulátoru.

    Karta zařízení

    Tip

    Ve sloupci Stav simulátoru můžete najet myší na ikonu informací a zjistit stav instalace agenta.

Přidání řadiče domény

Přidejte řadič domény pro spouštění složitých scénářů, jako jsou laterální přesuny a útoky s více fázemi na více zařízeních.

Poznámka

Podpora domény je dostupná jenom na portálu Microsoft Defender (security.microsoft.com).

  1. Na řídicím panelu vyberte Přidat zařízení.

  2. Vyberte Windows Server 2019 a pak vyberte Nastavit jako řadič domény.

  3. Po zřízení řadiče domény budete moct vytvořit zařízení připojená k doméně kliknutím na Přidat zařízení. Pak vyberte Windows 10 / Windows 11 a vyberte Připojit k doméně.

Poznámka

Najednou může být aktivní jenom jeden řadič domény. Zařízení řadiče domény zůstane aktivní, dokud je k němu připojené živé zařízení.

Žádost o další zařízení

Když se použijí a odstraní všechna existující zařízení, můžete požádat o další zařízení. O prostředky testovacího prostředí můžete požádat jednou měsíčně.

  1. Na řídicím panelu testovacího prostředí pro vyhodnocení vyberte Požádat o další zařízení.

    Možnost žádosti o další zařízení

  2. Zvolte konfiguraci.

  3. Odešlete žádost.

Po úspěšném odeslání žádosti se zobrazí zelený potvrzovací banner a datum posledního odeslání.

Stav žádosti najdete na kartě Akce uživatele , která bude schválena během několika hodin.

Po schválení se požadovaná zařízení přidají do nastavení testovacího prostředí a vy budete moct vytvořit další zařízení.

Tip

Pokud chcete ze svého cvičení využít více, nezapomeňte se podívat na naši knihovnu simulací.

Simulace scénářů útoku

Pomocí testovacích zařízení můžete spouštět vlastní simulace útoku tak, že se k nim připojíte.

Scénáře útoku můžete simulovat pomocí:

Můžete také použít rozšířené proaktivní vyhledávání k dotazování na data a analýzu hrozeb k zobrazení sestav o vznikajících hrozbách.

Scénáře útoku do-it-yourself

Pokud hledáte předem připravenou simulaci, můžete použít naše scénáře útoku "Do It Yourself". Tyto skripty jsou bezpečné, zdokumentované a snadno se používají. Tyto scénáře budou odrážet možnosti Defenderu for Endpoint a provedou vás šetřením.

Poznámka

Připojení k testovacím zařízením se provádí pomocí protokolu RDP. Ujistěte se, že nastavení brány firewall umožňuje připojení RDP.

  1. Připojte se k zařízení a spusťte simulaci útoku tak, že vyberete Připojit.

    Tlačítko Připojit pro testovací zařízení

    Obrazovka připojení ke vzdálené ploše

    Pro zařízení s Linuxem: Budete muset použít místního klienta SSH a zadaný příkaz.

    Poznámka

    Pokud nemáte kopii hesla uloženou během počátečního nastavení, můžete heslo resetovat tak, že v nabídce vyberete Resetovat heslo :

    Možnost Resetovat heslo

    Zařízení změní svůj stav na "Probíhá resetování hesla" a pak se vám během několika minut zobrazí nové heslo.

  2. Zadejte heslo, které se zobrazilo během kroku vytvoření zařízení.

    Obrazovka, na které zadáváte přihlašovací údaje

  3. Spusťte na zařízení simulace útoku Do-it-yourself.

Scénáře simulátoru hrozeb

Pokud jste se během instalace testovacího prostředí rozhodli nainstalovat některý z podporovaných simulátorů hrozeb, můžete integrované simulace spustit na testovacích testovacích zařízeních.

Spouštění simulací hrozeb s využitím platforem třetích stran je dobrý způsob, jak vyhodnotit Microsoft Defender for Endpoint schopnosti v rámci testovacího prostředí.

Poznámka

Před spuštěním simulací se ujistěte, že jsou splněné následující požadavky:

  • Zařízení musí být přidána do testovací laboratoře.
  • Simulátory hrozeb musí být nainstalované v testovacím prostředí.

  1. Na portálu vyberte Create simulace.

  2. Vyberte simulátor hrozeb.

    Výběr simulátoru hrozeb

  3. Zvolte simulaci nebo si prohlédněte galerii simulací a procházejte dostupné simulace.

    Do galerie simulací se dostanete z:

    • Hlavní řídicí panel hodnocení na dlaždici přehledu simulací
    • Přechodem z navigačního podokna Vyhodnocení a kurzy>Simulace & kurzy a pak vyberte Katalog simulací.

  4. Vyberte zařízení, na kterých chcete simulaci spustit.

  5. Vyberte Create simulaci.

  6. Průběh simulace zobrazíte tak, že vyberete kartu Simulace . Zobrazte stav simulace, aktivní výstrahy a další podrobnosti.

    Karta Simulace

Po spuštění simulací vám doporučujeme projít indikátor průběhu testovacího prostředí a prozkoumat, Microsoft Defender for Endpoint aktivoval automatizované šetření a nápravu. Podívejte se na důkazy shromážděné a analyzované funkcí.

Proaktivní vyhledávání důkazů o útoku pomocí rozšířeného proaktivního vyhledávání pomocí bohatého dotazovacího jazyka a nezpracované telemetrie a podívejte se na některé celosvětové hrozby popsané v tématu Analýza hrozeb.

Microsoft Defender for Endpoint spolupracuje s různými platformami simulace hrozeb, aby vám poskytla pohodlný přístup k testování možností platformy přímo z portálu.

Podívejte se na všechny dostupné simulace tak, že v nabídce přejdete do katalogu Simulace a kurzy>Simulace .

Seznam podporovaných agentů simulace hrozeb třetích stran a konkrétní typy simulací spolu s podrobnými popisy jsou uvedené v katalogu.

Libovolnou dostupnou simulaci můžete pohodlně spustit přímo z katalogu.

Katalog simulací

Každá simulace obsahuje podrobný popis scénáře útoku a odkazy, jako jsou použité techniky útoku MITRE a ukázkové dotazy rozšířeného proaktivního vyhledávání, které spustíte.

              Příklady:

Příklad v podokně podrobností o simulaci pro metody trvalosti

Podrobnosti popisu simulace pro APT29

Zpráva o vyhodnocení

Laboratorní zprávy shrnují výsledky simulací prováděných na zařízeních.

Zpráva o vyhodnocení

Na první pohled uvidíte:

  • Incidenty, které se aktivovaly
  • Vygenerovaná upozornění
  • Posouzení úrovně expozice
  • Zjištěné kategorie hrozeb
  • Zdroje detekce
  • Automatizovaná šetření

Poskytnutí zpětné vazby

Vaše zpětná vazba nám pomáhá lépe chránit vaše prostředí před pokročilými útoky. Podělte se o své zkušenosti a dojmy z možností produktů a výsledků hodnocení.

Dejte nám vědět, co si myslíte, výběrem možnosti Poskytnout zpětnou vazbu.

Stránka zpětné vazby

Tip

Chcete se dozvědět více? Engage s komunitou Microsoft Security v naší technické komunitě: Microsoft Defender for Endpoint Tech Community.