Erfahrung Microsoft Defender for Endpoint durch simulierte Angriffe

Wichtig

Das Microsoft Defender for Endpoint Auswertungslabors wurde im Januar 2024 eingestellt.

Gilt für:

• Microsoft Defender für Endpunkt Plan 2
• Microsoft Defender XDR

Möchten Sie Defender für Endpunkt erfahren? Registrieren Sie sich für eine kostenlose Testversion

Tipp

• Erfahren Sie mehr über die neuesten Verbesserungen in Microsoft Defender for Endpoint: Neuerungen in Defender für Endpunkt?.
• Defender für Endpunkt hat in der aktuellen MITRE-Auswertung branchenführende Optik- und Erkennungsfunktionen gezeigt. Lesen Sie: Insights aus der MITRE ATT&CK-basierten Bewertung.

Möglicherweise möchten Sie Defender für Endpunkt nutzen, bevor Sie mehr als ein paar Geräte in den Dienst integrieren. Dazu können Sie kontrollierte Angriffssimulationen auf einigen Testgeräten ausführen. Nachdem Sie die simulierten Angriffe ausgeführt haben, können Sie überprüfen, wie Defender für Endpunkt schädliche Aktivitäten angibt, und untersuchen, wie es eine effiziente Reaktion ermöglicht.

Bevor Sie beginnen:

Zum Ausführen einer der bereitgestellten Simulationen benötigen Sie mindestens ein integriertes Gerät.

Lesen Sie das Dokument zur exemplarischen Vorgehensweise, das für jedes Angriffsszenario bereitgestellt wird. Jedes Dokument enthält Betriebssystem- und Anwendungsanforderungen sowie detaillierte Anweisungen, die für ein Angriffsszenario spezifisch sind.

Ausführen einer Simulation

1. Wählen Sieunter Endpunkteauswertung> & Tutorials >& Simulationen aus, welches der verfügbaren Angriffsszenarien Sie simulieren möchten:

   • Szenario 1: Hintertür von Dokumenten: Simuliert die Übermittlung eines sozial entwickelten Lockdokuments. Das Dokument startet eine speziell gestaltete Backdoor, die Angreifern die Kontrolle gibt.
   • Szenario 2: PowerShell-Skript bei dateilosen Angriffen : Simuliert einen dateilosen Angriff, der auf PowerShell basiert, und zeigt die Verringerung der Angriffsfläche und die Erkennung schädlicher Speicheraktivitäten durch Das Gerätelernen.
   • Szenario 3: Automatisierte Reaktion auf Vorfälle : Löst eine automatisierte Untersuchung aus, die automatisch nach Artefakten für Sicherheitsverletzungen sucht und diese beseitigt, um Ihre Kapazität zur Reaktion auf Vorfälle zu skalieren.

2. Laden Sie das entsprechende Dokument zur exemplarischen Vorgehensweise herunter, das mit Ihrem ausgewählten Szenario bereitgestellt wird, und lesen Sie es.

3. Laden Sie die Simulationsdatei herunter, oder kopieren Sie das Simulationsskript, indem Sie zu Auswertung & Tutorials>Tutorials & Simulationen navigieren. Sie können die Datei oder das Skript auf das Testgerät herunterladen, dies ist jedoch nicht obligatorisch.

4. Führen Sie die Simulationsdatei oder das Skript auf dem Testgerät wie im Dokument zur exemplarischen Vorgehensweise beschrieben aus.

Hinweis

Simulationsdateien oder Skripts imitieren Angriffsaktivitäten, sind aber tatsächlich harmlos und beeinträchtigen das Testgerät nicht.

Sie können auch die EICAR-Testdatei oder die EICAR-Testtextzeichenfolge verwenden, um einige Tests durchzuführen. Es ist möglich, Echtzeitschutzfunktionen zu testen (erstellen Sie eine Textdatei, fügen Sie den EICAR-Text ein, und speichern Sie die Datei als ausführbare Datei auf dem lokalen Laufwerk Ihres Endpunkts – Sie erhalten eine Benachrichtigung über den Testendpunkt und eine Warnung in der MDE-Konsole) oder EDR-Schutz (Sie müssen den Echtzeitschutz auf dem Testendpunkt vorübergehend deaktivieren und die EICAR-Testdatei speichern. und versuchen Sie dann, diese Datei auszuführen, zu kopieren oder zu verschieben. Aktivieren Sie nach dem Ausführen der Tests den Echtzeitschutz für den Testendpunkt.

Möchten Sie Defender für Endpunkt erfahren? Registrieren Sie sich für eine kostenlose Testversion

Verwandte Themen

• Integrieren von Geräten
• Onboarding von Windows-Geräten

Tipp

Möchten Sie mehr erfahren? Engage mit der Microsoft-Sicherheitscommunity in unserer Tech Community: Microsoft Defender for Endpoint Tech Community.