Microsoft Defender for Endpoint evalueringslaboratorium

Vigtigt!

Det Microsoft Defender for Endpoint evalueringslaboratorium blev udfaset i januar 2024.

Gælder for:

• Microsoft Defender for Endpoint Plan 2
• Microsoft Defender XDR

Vil du opleve Microsoft Defender for Endpoint? Tilmeld dig en gratis prøveversion.

Vigtigt!

Efterhånden som Microsoft fortsætter med at evaluere værdien af de funktioner og tjenester, der skal udbydes, har Microsoft taget beslutningen om at trække Defender Evaluation Lab tilbage. Denne ændring træder i kraft medio januar 2024 og forventes at være fuldført sidst i januar 2024.

Udførelse af en omfattende evaluering af sikkerhedsprodukt kan være en kompleks proces, der kræver besværlig miljø- og enhedskonfiguration, før der rent faktisk kan udføres en komplet simulering af angreb. Hvis du tilføjer kompleksiteten, er det en udfordring at spore, hvor simuleringsaktiviteterne, beskederne og resultaterne afspejles under evalueringen.

Det Microsoft Defender for Endpoint evalueringslaboratorium er designet til at fjerne kompleksiteten i enheds- og miljøkonfigurationen, så du kan fokusere på at evaluere platformens funktioner, køre simuleringer og se funktionerne til forebyggelse, registrering og afhjælpning i aktion.

Med den forenklede konfiguration kan du fokusere på at køre dine egne testscenarier og de forudlavede simuleringer for at se, hvordan Defender for Endpoint klarer sig.

Du har fuld adgang til platformens effektive funktioner, f.eks. automatiserede undersøgelser, avanceret jagt og trusselsanalyse, så du kan teste den omfattende beskyttelsesstak, som Defender for Endpoint tilbyder.

Du kan tilføje enheder af typen Windows 10, Windows 11, Windows Server 2019, Windows Server 2016 og Linux (Ubuntu), der er forudkonfigureret til at have de nyeste operativsystemversioner og de rette sikkerhedskomponenter installeret samt Office 2019 Standard installeret.

Du kan også installere trusselssimulatorer. Defender for Endpoint har indgået partnerskab med brancheførende trusselssimuleringsplatforme for at hjælpe dig med at teste Defender for Endpoint-funktionerne uden at skulle forlade portalen.

Installér din foretrukne simulator, kør scenarier i evalueringslaboratoriet, og se straks, hvordan platformen fungerer - alt er bekvemt tilgængeligt uden ekstra omkostninger for dig. Du har også nem adgang til en lang række simuleringer, som du kan få adgang til og køre fra simuleringskataloget.

Før du begynder

Du skal opfylde licenskravene eller have adgang til prøveversionen af Microsoft Defender for Endpoint for at få adgang til evalueringslaboratoriet.

Du skal have tilladelse til at administrere sikkerhedsindstillinger for at:

• Create laboratoriet
• Create enheder
• Nulstil adgangskode
• Create simuleringer

Hvis du har aktiveret rollebaseret adgangskontrol (RBAC) og oprettet mindst én computergruppe, skal brugerne have adgang til Alle computergrupper.

Du kan få flere oplysninger under Create og administrere roller.

Vil du opleve Microsoft Defender for Endpoint? Tilmeld dig en gratis prøveversion.

Kom i gang med øvelsen

Du kan få adgang til laboratoriet fra menuen. I navigationsmenuen skal du vælge Evaluering og selvstudier Evalueringslaboratorium>.

Bemærk!

• Afhængigt af den type miljøstruktur, du vælger, vil enhederne være tilgængelige i det angivne antal timer fra aktiveringsdagen.
• Hvert miljø er klargjort med et begrænset sæt testenheder. Når du har brugt de klargjorte enheder og slettet dem, kan du anmode om flere enheder.
• Du kan anmode om laboratorieressourcer én gang om måneden.

Har du allerede et laboratorie? Sørg for at aktivere de nye trusselssimulatorer og have aktive enheder.

Konfigurer evalueringslaboratoriet

1. I navigationsruden skal du vælge Evaluering & selvstudierEvalueringslaboratorium> og derefter vælge Installationslaboratorium.

   

2. Afhængigt af dine evalueringsbehov kan du vælge at konfigurere et miljø med færre enheder i en længere periode eller flere enheder i en kortere periode. Vælg din foretrukne laboratoriekonfiguration, og vælg derefter Næste.

   

3. (Valgfrit) Du kan vælge at installere trusselssimulatorer i laboratoriet.

   

   Vigtigt!

   Du skal først acceptere og give samtykke til vilkårene og erklæringerne om deling af oplysninger.

4. Vælg den trusselssimuleringsagent, du vil bruge, og angiv dine oplysninger. Du kan også vælge at installere trusselssimulatorer på et senere tidspunkt. Hvis du vælger at installere trusselssimuleringsagenter under konfigurationen af laboratoriet, kan du drage fordel af at have dem installeret på de enheder, du tilføjer.

   

5. Gennemse oversigten, og vælg Installationslaboratorium.

Når konfigurationsprocessen for laboratoriet er fuldført, kan du tilføje enheder og køre simuleringer.

Tilføj enheder

Når du føjer en enhed til dit miljø, konfigurerer Defender for Endpoint en velkonfigureret enhed med forbindelsesoplysninger. Du kan tilføje Windows 10, Windows 11, Windows Server 2019, Windows Server 2016 og Linux (Ubuntu).

Enheden konfigureres med den nyeste version af operativsystemet og Office 2019 Standard samt andre apps som Java, Python og SysIntenals.

Hvis du vælger at tilføje en trusselssimulator under opsætningen af laboratoriet, vil alle enheder have trusselssimulatoragenten installeret på de enheder, du tilføjer.

Enheden bliver automatisk onboardet til din lejer med de anbefalede Windows-sikkerhedskomponenter slået til og i overvågningstilstand – uden at du behøver at gøre noget.

Følgende sikkerhedskomponenter er forudkonfigureret på testenhederne:

• Reduktion af angrebsoverfladen
• Blok ved første øjekast
• Styret mappeadgang
• Exploit Protection
• Netværksbeskyttelse
• Potentielt uønsket programregistrering
• Skybaseret beskyttelse
• Microsoft Defender SmartScreen

Bemærk!

Microsoft Defender Antivirus er slået til (ikke i overvågningstilstand). Hvis Microsoft Defender Antivirus blokerer dig fra at køre din simulering, kan du slå beskyttelse i realtid fra på enheden via Windows Sikkerhed. Du kan få flere oplysninger under Konfigurer altid aktiveret beskyttelse.

Automatiserede undersøgelsesindstillinger afhænger af lejerindstillingerne. Den konfigureres som standard til at være semiautomatisk. Du kan få flere oplysninger under Oversigt over automatiserede undersøgelser.

Bemærk!

Forbindelsen til testenhederne udføres ved hjælp af RDP. Sørg for, at firewallindstillingerne tillader RDP-forbindelser.

1. Vælg Tilføj enhed på dashboardet.

2. Vælg den type enhed, der skal tilføjes. Du kan vælge at tilføje Windows 10, Windows 11, Windows Server 2019, Windows Server 2016 og Linux (Ubuntu).

   

   Bemærk!

   Hvis der går noget galt med enhedsoprettelsesprocessen, får du besked, og du skal sende en ny anmodning. Hvis enhedsoprettelsen mislykkes, tælles den ikke med i forhold til den samlede tilladte kvote.

3. Forbindelsesoplysningerne vises. Vælg Kopiér for at gemme adgangskoden til enheden.

   Bemærk!

   Adgangskoden vises kun én gang. Sørg for at gemme den til senere brug.

   

4. Enhedsopsæt starter. Dette kan tage op til ca. 30 minutter.

5. Se status for testanordninger, risiko- og eksponeringsniveauer og status for simulatorinstallationer ved at vælge fanen Enheder .

   

   Tip

   I kolonnen Simulatorstatus kan du holde markøren over oplysningsikonet for at få kendskab til installationsstatussen for en agent.

Tilføj en domænecontroller

Tilføj en domænecontroller for at køre komplekse scenarier, f.eks. tværgående flytning og angreb på fleretage på tværs af flere enheder.

Bemærk!

Domænesupport er kun tilgængelig på Microsoft Defender-portalen (security.microsoft.com).

1. Vælg Tilføj enhed på dashboardet.

2. Vælg Windows Server 2019, og vælg derefter Angiv som domænecontroller.

3. Når domænecontrolleren er klargjort, kan du oprette domænetilsluttede enheder ved at klikke på Tilføj enhed. Vælg derefter Windows 10/Windows 11, og vælg Deltag i domæne.

Bemærk!

Kun én domænecontroller kan være dynamisk ad gangen. Domænecontrollerenheden forbliver dynamisk, så længe der er oprettet forbindelse til en liveenhed.

Anmod om flere enheder

Når alle eksisterende enheder bruges og slettes, kan du anmode om flere enheder. Du kan anmode om laboratorieressourcer én gang om måneden.

1. Vælg Anmod om flere enheder i dashboardet til evalueringslaboratoriet.

   

2. Vælg din konfiguration.

3. Send anmodningen.

Når anmodningen er indsendt, får du vist et grønt bekræftelsesbanner og datoen for sidste indsendelse.

Du kan finde status for din anmodning under fanen Brugerhandlinger , som godkendes inden for få timer.

Når de er godkendt, føjes de ønskede enheder til laboratoriet, og du kan oprette flere enheder.

Tip

Hvis du vil have mere ud af dit laboratorie, skal du huske at se vores bibliotek med simuleringer.

Simuler angrebsscenarier

Brug testenhederne til at køre dine egne angrebssimuleringer ved at oprette forbindelse til dem.

Du kan simulere angrebsscenarier ved hjælp af:

• Angrebsscenarierne "Gør det selv"
• Trusselssimulatorer

Du kan også bruge Avanceret jagt til at forespørge om data og trusselsanalyser for at få vist rapporter om nye trusler.

Gør-det-selv-angrebsscenarier

Hvis du er på udkig efter en færdig simulering, kan du bruge vores "Gør det selv" angrebsscenarier. Disse scripts er sikre, dokumenterede og nemme at bruge. Disse scenarier afspejler funktionerne i Defender for Endpoint og fører dig gennem undersøgelsesoplevelsen.

Bemærk!

Forbindelsen til testenhederne udføres ved hjælp af RDP. Sørg for, at firewallindstillingerne tillader RDP-forbindelser.

1. Opret forbindelse til din enhed, og kør en simulering af angreb ved at vælge Opret forbindelse.

   

   

   Til Linux-enheder: Du skal bruge en lokal SSH-klient og den angivne kommando.

   Bemærk!

   Hvis du ikke har gemt en kopi af adgangskoden under den indledende konfiguration, kan du nulstille adgangskoden ved at vælge Nulstil adgangskode i menuen:

   

   Enheden ændrer dens tilstand til "Udfører nulstilling af adgangskode", og derefter får du vist din nye adgangskode om et par minutter.

2. Angiv den adgangskode, der blev vist under trinnet til enhedsoprettelse.

   

3. Kør Gør-det-selv-angrebssimuleringer på enheden.

Trusselssimulatorscenarier

Hvis du vælger at installere nogen af de understøttede trusselssimulatorer under konfigurationen af laboratoriet, kan du køre de indbyggede simuleringer på evalueringslaboratoriets enheder.

Kørsel af trusselssimuleringer ved hjælp af tredjepartsplatforme er en god måde at evaluere Microsoft Defender for Endpoint funktioner inden for rammerne af et laboratoriemiljø.

Bemærk!

Før du kan køre simuleringer, skal du sikre dig, at følgende krav er opfyldt:

• Enheder skal føjes til evalueringslaboratoriet
• Trusselssimulatorer skal installeres i evalueringslaboratoriet

1. Vælg Create simulering på portalen.

2. Vælg en trusselssimulator.

   

3. Vælg en simulering, eller gennemse simuleringsgalleriet for at gennemse de tilgængelige simuleringer.

   Du kan få vist simuleringsgalleriet fra:

   • Det primære evalueringsdashboard i feltet Oversigt over simuleringer eller
   • Når du navigerer fra navigationsruden Evaluering og selvstudier>Simulering & selvstudier, skal du vælge Simuleringskatalog.

4. Vælg de enheder, hvor du vil køre simuleringen på.

5. Vælg Create simulering.

6. Få vist statussen for en simulering ved at vælge fanen Simuleringer . Få vist simuleringstilstanden, aktive beskeder og andre oplysninger.

   

Når du har kørt dine simuleringer, opfordrer vi dig til at gennemgå statuslinjen for laboratoriet og udforske Microsoft Defender for Endpoint udløste en automatiseret undersøgelse og afhjælpning. Se de beviser, der er indsamlet og analyseret af funktionen.

Gå på jagt efter angrebsresultater gennem avanceret jagt ved hjælp af det omfattende forespørgselssprog og rå telemetri, og se nogle trusler over hele verden, der er dokumenteret i Threat-analyser.

Simuleringsgalleri

Microsoft Defender for Endpoint har indgået partnerskab med forskellige trusselssimuleringsplatforme for at give dig nem adgang til at teste platformens funktioner direkte fra portalen.

Få vist alle tilgængelige simuleringer ved at gå til kataloget Simuleringer og selvstudier> i menuen.

Der er angivet en liste over understøttede trusselssimuleringsagenter fra tredjepart, og der findes specifikke typer simuleringer sammen med detaljerede beskrivelser i kataloget.

Du kan nemt køre enhver tilgængelig simulering direkte fra kataloget.

Hver simulering leveres med en detaljeret beskrivelse af angrebsscenariet og referencer, f.eks. DE MITRE-angrebsteknikker, der bruges, og eksempler på avancerede jagtforespørgsler, du kører.

Eksempler:

Evalueringsrapport

Laboratorierapporterne opsummerer resultaterne af de simuleringer, der udføres på enhederne.

Med et hurtigt øjekast kan du hurtigt se:

• Hændelser, der blev udløst
• Genererede beskeder
• Vurderinger af eksponeringsniveau
• Observerede trusselskategorier
• Registreringskilder
• Automatiserede undersøgelser

Giv feedback

Din feedback hjælper os med at blive bedre til at beskytte dit miljø mod avancerede angreb. Del dine erfaringer og visninger fra produktegenskaber og evalueringsresultater.

Fortæl os, hvad du synes, ved at vælge Giv feedback.

Tip

Vil du vide mere? Engage med Microsoft Security-community'et i vores tech-community: Microsoft Defender for Endpoint Tech Community.