Kokemus Microsoft Defender for Endpoint simuloitujen hyökkäysten kautta
Koskee seuraavia:
Haluatko kokeilla Defender for Endpointia? Rekisteröidy maksuttomaan kokeiluversioon.
Vihje
- Lue lisätietoja Microsoft Defender for Endpoint: Defender for Endpointin uusimmista parannuksista?
- Defender for Endpoint esitteli alan johtavia optiikka- ja havaitsemisominaisuuksia äskettäisessä MITRE-arvioinnissa. Lue: Mitre ATT&CK -pohjaisen arvioinnin merkitykselliset tiedot.
Haluat ehkä saada Defender for Endpointin käyttöön, ennen kuin otat palveluun käyttöön useamman kuin muutaman laitteen. Voit tehdä tämän suorittamalla hallittuja hyökkäyssimulaatioita muutamalla testilaitteella. Kun olet suoritettu simuloidut hyökkäykset, voit tarkistaa, miten Defender for Endpoint pintaaa haitallisen toiminnan, ja tutkia, miten se mahdollistaa tehokkaan vastauksen.
Alkuvalmistelut
Jotta voit suorittaa jonkin annetuista simulaatioista, tarvitset vähintään yhden perehdytetyssä laitteessa.
Lue kunkin hyökkäysskenaarion mukana toimitettu vaiheittainen asiakirja. Jokainen asiakirja sisältää käyttöjärjestelmä- ja sovellusvaatimukset sekä yksityiskohtaiset ohjeet hyökkäysskenaariota varten.
Simulaation suorittaminen
Valitse Päätepisteiden>arviointi & -opetusohjelmissa>Opetusohjelmat-simuloinnit &ja valitse, mitä käytettävissä olevia hyökkäysskenaarioita haluat simuloida:
- Skenaario 1: Asiakirja putoaa takaovesta - simuloi sosiaalisesti suunnitellun houkutinasiakirjan toimittamista. Asiakirja käynnistää erityisesti laaditun takaoven, joka antaa hyökkääjille hallinnan.
- Skenaario 2: PowerShell-komentosarja tiedostottomassa hyökkäyksessä - simuloi tiedostotonta hyökkäystä, joka on riippuvainen PowerShellistä, esittelee hyökkäyspinnan pienentämistä ja laitteen oppimistunnistusta haitallisesta muistitoiminnasta.
- Skenaario 3: Automatisoitu tapausten käsittely – käynnistää automatisoidun tutkimuksen, joka etsii ja korjaa murtoartefaktit automaattisesti tapausten käsittelykapasiteetin skaalaamiseksi.
Lataa ja lue vastaava vaiheittaiset ohjeet, jotka on annettu valitsemallesi skenaariolle.
Lataa simulointitiedosto tai kopioi simulointikomentosarja siirtymällä kohtaan Arviointi & opetusohjelmat>Opetusohjelmat simuloinnit&. Voit halutessasi ladata tiedoston tai komentosarjan testilaitteeseen, mutta se ei ole pakollinen.
Suorita simulointitiedosto tai -komentosarja testilaitteessa vaiheittaisen asiakirjan ohjeiden mukaisesti.
Huomautus
Simulointitiedostot tai komentosarjat jäljittelevät hyökkäystoimintaa, mutta ovat todella hyvänlaatuisia eivätkä vahingoita tai vaaranna testilaitetta.
Voit myös käyttää EICAR-testitiedostoa tai EICAR-testitekstimerkkijonoa testien suorittamiseen. Reaaliaikaisia suojausominaisuuksia on mahdollista testata (tekstitiedoston luominen, EICAR-tekstin liittäminen ja tiedoston tallentaminen suoritettavana tiedostona päätepisteen paikalliselle asemalle– saat ilmoituksen testipäätepisteeseen ja ilmoituksen MDE-konsoliin) tai EDR-suojauksen (sinun on tilapäisesti poistettava reaaliaikainen suojaus käytöstä testin päätepisteessä ja tallennettava EICAR-testitiedosto, ja yritä sitten suorittaa, kopioida tai siirtää tämä tiedosto). Kun olet suoritettu testit, ota reaaliaikainen suojaus käyttöön testin päätepisteessä.
Haluatko kokeilla Defender for Endpointia? Rekisteröidy maksuttomaan kokeiluversioon.