Kokemus Microsoft Defender for Endpoint simuloitujen hyökkäysten kautta
Tärkeää
Microsoft Defender for Endpoint arviointilaboratorio poistettiin käytöstä tammikuussa 2024.
Koskee seuraavia:
Haluatko kokeilla Defender for Endpointia? Rekisteröidy maksuttomaan kokeiluversioon.
Vihje
- Lue lisätietoja Microsoft Defender for Endpoint: Defender for Endpointin uusimmista parannuksista?
- Defender for Endpoint esitteli alan johtavia optiikka- ja havaitsemisominaisuuksia äskettäisessä MITRE-arvioinnissa. Lue: MITRE ATT&CK-pohjaisen arvioinnin merkitykselliset tiedot.
Haluat ehkä saada Defender for Endpointin käyttöön, ennen kuin otat palveluun käyttöön useamman kuin muutaman laitteen. Voit tehdä tämän suorittamalla hallittuja hyökkäyssimulaatioita muutamalla testilaitteella. Kun olet suoritettu simuloidut hyökkäykset, voit tarkistaa, miten Defender for Endpoint pintaaa haitallisen toiminnan, ja tutkia, miten se mahdollistaa tehokkaan vastauksen.
Alkuvalmistelut
Jotta voit suorittaa jonkin annetuista simulaatioista, tarvitset vähintään yhden perehdytetyssä laitteessa.
Lue kunkin hyökkäysskenaarion mukana toimitettu vaiheittainen asiakirja. Jokainen asiakirja sisältää käyttöjärjestelmä- ja sovellusvaatimukset sekä yksityiskohtaiset ohjeet hyökkäysskenaariota varten.
Simulaation suorittaminen
Valitse päätepisteiden>arvioinnin & opetusohjelmissa>Opetusohjelmat & simuloinnit ja valitse, mitä käytettävissä olevia hyökkäysskenaarioita haluat simuloida:
- Skenaario 1: Asiakirja putoaa takaovesta - simuloi sosiaalisesti suunnitellun houkutinasiakirjan toimittamista. Asiakirja käynnistää erityisesti laaditun takaoven, joka antaa hyökkääjille hallinnan.
- Skenaario 2: PowerShell-komentosarja tiedostottomassa hyökkäyksessä - simuloi tiedostotonta hyökkäystä, joka on riippuvainen PowerShellistä, esittelee hyökkäyspinnan pienentämistä ja laitteen oppimistunnistusta haitallisesta muistitoiminnasta.
- Skenaario 3: Automatisoitu tapausten käsittely – käynnistää automatisoidun tutkimuksen, joka etsii ja korjaa murtoartefaktit automaattisesti tapausten käsittelykapasiteetin skaalaamiseksi.
Lataa ja lue vastaava vaiheittaiset ohjeet, jotka on annettu valitsemallesi skenaariolle.
Lataa simulointitiedosto tai kopioi simulointikomentosarja siirtymällä kohtaan Arviointi & opetusohjelmat>Opetusohjelmat & simuloinnit. Voit halutessasi ladata tiedoston tai komentosarjan testilaitteeseen, mutta se ei ole pakollinen.
Suorita simulointitiedosto tai -komentosarja testilaitteessa vaiheittaisen asiakirjan ohjeiden mukaisesti.
Huomautus
Simulointitiedostot tai komentosarjat jäljittelevät hyökkäystoimintaa, mutta ovat todella hyvänlaatuisia eivätkä vahingoita tai vaaranna testilaitetta.
Voit myös käyttää EICAR-testitiedostoa tai EICAR-testitekstimerkkijonoa testien suorittamiseen. Reaaliaikaisia suojausominaisuuksia voidaan testata (tekstitiedoston luominen, EICAR-tekstin liittäminen ja tiedoston tallentaminen suoritettavana tiedostona päätepisteen paikalliselle asemalle). Saat ilmoituksen testin päätepisteeseen ja ilmoituksen MDE konsoliin) tai EDR-suojauksen (sinun on tilapäisesti poistettava reaaliaikainen suojaus käytöstä testin päätepisteessä ja tallennettava EICAR-testitiedosto, ja yritä sitten suorittaa, kopioida tai siirtää tämä tiedosto). Kun olet suoritettu testit, ota reaaliaikainen suojaus käyttöön testin päätepisteessä.
Haluatko kokeilla Defender for Endpointia? Rekisteröidy maksuttomaan kokeiluversioon.
Aiheeseen liittyvät artikkelit
Vihje
Haluatko tietää lisää? Engage Microsoft security -yhteisön kanssa teknologiayhteisössämme: Microsoft Defender for Endpoint Tech Community.
Palaute
https://aka.ms/ContentUserFeedback.
Tulossa pian: Vuoden 2024 aikana poistamme asteittain GitHub Issuesin käytöstä sisällön palautemekanismina ja korvaamme sen uudella palautejärjestelmällä. Lisätietoja on täällä:Lähetä ja näytä palaute kohteelle