Microsoft Defender for Endpoint arviointiympäristö

  • Artikkeli

Tärkeää

Microsoft Defender for Endpoint arviointilaboratorio poistettiin käytöstä tammikuussa 2024.

Koskee seuraavia:

Haluatko kokea Microsoft Defender for Endpointin? Rekisteröidy maksuttomaan kokeiluversioon.

Tärkeää

Kun Microsoft arvioi edelleen tarjoamiensa ominaisuuksien ja palveluiden arvoa, Microsoft on päättänyt poistaa Defender Evaluation Labin käytöstä. Muutos otetaan käyttöön tammikuun 2024 puolivälissä ja sen odotetaan valmistuvan tammikuun 2024 loppuun mennessä.

Kattavan suojaustuotteen arvioinnin suorittaminen voi olla monimutkainen prosessi, joka edellyttää hankalaa ympäristöä ja laitekokoonpanoa, ennen kuin päästä päähän -hyökkäyssimulaatio voidaan todella tehdä. Monimutkaisuutta lisää se, että seuraamme, missä simulointitoiminnot, hälytykset ja tulokset näkyvät arvioinnin aikana.

Microsoft Defender for Endpoint arviointilaboratorio on suunniteltu poistamaan laite- ja ympäristömääritysten monimutkaisuutta, jotta voit keskittyä ympäristön ominaisuuksien arviointiin, simulaatioiden suorittamiseen sekä esto-, havaitsemis- ja korjausominaisuuksien näkemiseen käytännössä.

Yksinkertaistetun määrityskokemuksen avulla voit keskittyä omien testiskenaarioiden suorittamiseen ja valmiiksi tehtyihin simulaatioihin, jotta näet, miten Defender for Endpoint suoriutuu.

Saat täydet käyttöoikeudet käyttöympäristön tehokkaisiin ominaisuuksiin, kuten automatisoituihin tutkimuksiin, kehittyneeseen metsästykseen ja uhkien analysointiin, joten voit testata Defender for Endpointin tarjoamaa kattavaa suojauspinoa.

Voit lisätä Windows 10-, Windows 11-, Windows Server 2019-, Windows Server 2016- ja Linux (Ubuntu) -laitteita, jotka on esimääritetty käyttämään uusimpia käyttöjärjestelmäversioita ja oikeita suojausosia, sekä Office 2019 Standard asennettuna.

Voit myös asentaa uhkasimulaattorit. Defender for Endpoint on tehnyt yhteistyötä alan johtavien uhkien simulointiympäristöjen kanssa, jotta voit testata Defender for Endpoint -ominaisuuksia poistumatta portaalista.

Asenna haluamasi simulaattori, suorita skenaarioita arviointilaboratoriossa ja katso heti, miten ympäristö toimii – kaikki kätevästi saatavilla ilman lisäkustannuksia. Voit myös kätevästi käyttää monenlaisia simulaatioita, joita voit käyttää ja suorittaa simulaatioluettelosta.

Alkuvalmistelut

Sinun on täytettävä käyttöoikeusvaatimukset tai sinulla on oltava Microsoft Defender for Endpoint kokeiluversio, jotta voit käyttää arviointiympäristöä.

Sinulla on oltava suojausasetusten hallintaoikeudet , jotta:

  • Luo testiympäristö
  • Laitteiden luominen
  • Salasanan vaihtaminen
  • Simulaatioiden luominen

Jos otit käyttöön roolipohjaisen käytön hallinnan (RBAC) ja loit vähintään yhden koneryhmän, käyttäjillä on oltava kaikkien koneryhmien käyttöoikeus.

Lisätietoja on artikkelissa Roolien luominen ja hallinta.

Haluatko kokea Microsoft Defender for Endpointin? Rekisteröidy maksuttomaan kokeiluversioon.

Labratyön aloittaminen

Voit käyttää labratyön valikosta. Valitse siirtymisvalikosta Arviointi ja opetusohjelmat > Arviointilaboratorio.

Huomautus

  • Valitsemasi ympäristörakenteen tyypistä riippuen laitteet ovat käytettävissä määritetyn tuntimäärän ajan aktivointipäivästä.
  • Jokainen ympäristö valmistellaan rajoitetulla testilaitteilla. Kun olet käyttänyt valmisteltuja laitteita ja poistanut ne, voit pyytää lisää laitteita.
  • Voit pyytää labraresursseja kerran kuukaudessa.

Onko sinulla jo labratyö? Varmista, että otat käyttöön uudet uhkasimulaattorit ja että sinulla on aktiivisia laitteita.

Määritä arvioinnin labratyö

  1. Valitse siirtymisruudussa Arviointi & opetusohjelmat>Arviointilaboratorio ja valitse sitten Asennusympäristö.

    Arvioinnin labratyön aloitussivu

  2. Arviointitarpeistasi riippuen voit määrittää ympäristön, jossa on vähemmän laitteita pidemmäksi aikaa tai enemmän laitteita lyhyemmäksi ajaksi. Valitse haluamasi labratyön määritys ja valitse sitten Seuraava.

    Labratyön määritysasetukset

  3. (Valinnainen) Voit asentaa uhkasimulaattorit labratyössä.

    Asennussimulaattorien agenttisivu

    Tärkeää

    Sinun on ensin hyväksyttävä ja annettava suostumus ehtoihin ja tietojen jakamislausekkeisiin.

  4. Valitse käytettävä uhkasimulaatioagentti ja anna tietosi. Voit myös myöhemmin asentaa uhkasimulaattorit. Jos päätät asentaa uhkasimulaatioagentteja labratyön asennuksen aikana, nautit siitä, että ne asennetaan kätevästi lisäämääsi laitteisiin.

    Yhteenvetosivu

  5. Tarkista yhteenveto ja valitse Asennuksen labratyö.

Kun labratyön määritysprosessi on valmis, voit lisätä laitteita ja suorittaa simulaatioita.

Laitteiden lisääminen

Kun lisäät laitteen ympäristöösi, Defender for Endpoint määrittää hyvin määritetyn laitteen, joka sisältää yhteystiedot. Voit lisätä Windows 10, Windows 11, Windows Server 2019:n, Windows Server 2016:n ja Linuxin (Ubuntu).

Laitteeseen määritetään käyttöjärjestelmän ja Office 2019 Standardin ajantasaisin versio sekä muut sovellukset, kuten Java, Python ja SysIntenals.

Jos päätät lisätä uhkasimulaattorin labratyön asennuksen aikana, kaikkiin laitteisiin on asennettu uhkasimulaattoriagentti lisäämissäsi laitteissa.

Laite otetaan automaattisesti käyttöön vuokraajassasi suositellut Windowsin suojausosat käytössä ja valvontatilassa – ilman vaivaa puolellasi.

Seuraavat suojausosat on esi määritetty testilaitteissa:

Huomautus

Microsoft Defender virustentorjuntaohjelma on käytössä (ei valvontatilassa). Jos Microsoft Defender virustentorjunta estää sinua suorittamasta simulaatiotasi, voit poistaa reaaliaikaisen suojauksen käytöstä laitteessa Windowsin suojaus kautta. Lisätietoja on kohdassa Aina käytössä olevan suojauksen määrittäminen.

Automaattiset tutkimusasetukset riippuvat vuokraaja-asetuksista. Se määritetään oletusarvoisesti puoliautomaattiseen. Lisätietoja on artikkelissa Yleiskatsaus automatisoiduista tutkimuksista.

Huomautus

Yhteys testilaitteisiin tehdään RDP:n avulla. Varmista, että palomuuriasetukset sallivat RDP-yhteydet.

  1. Valitse koontinäytössä Lisää laite.

  2. Valitse lisättävän laitteen tyyppi. Voit lisätä Windows 10, Windows 11, Windows Server 2019:n, Windows Server 2016:n ja Linuxin (Ubuntu).

    Labratyön määritys laitevaihtoehdoilla

    Huomautus

    Jos laitteen luontiprosessissa on jotain vikaa, saat ilmoituksen ja sinun on lähetettävä uusi pyyntö. Jos laitteen luominen epäonnistuu, sitä ei lasketa yleiseen sallittuun kiintiöön.

  3. Yhteyden tiedot näkyvät. Tallenna laitteen salasana valitsemalla Kopioi .

    Huomautus

    Salasana näytetään vain kerran. Muista tallentaa se myöhempää käyttöä varten.

    Lisätty laite, jossa on yhteystiedot

  4. Laitteen määritys alkaa. Tämä voi kestää jopa noin 30 minuuttia.

  5. Voit tarkastella testilaitteiden tilaa, riski- ja altistustasoja sekä simulaattoriasennuksia valitsemalla Laitteet-välilehden.

    Laitteet-välilehti

    Vihje

    Simulatorin tila -sarakkeessa voit siirtää hiiren osoittimen tietokuvakkeen päälle, jos haluat tietää agentin asennuksen tilan.

Toimialueen ohjauskoneen lisääminen

Lisää toimialueen ohjauskone, jos haluat suorittaa monimutkaisia skenaarioita, kuten sivuttaisten siirtojen ja monivaiheisten hyökkäysten suorittamista useissa laitteissa.

Huomautus

Toimialueen tuki on käytettävissä vain Microsoft Defender -portaalissa (security.microsoft.com).

  1. Valitse koontinäytössä Lisää laite.

  2. Valitse Windows Server 2019 ja valitse sitten Aseta toimialueen ohjauskoneeksi.

  3. Kun toimialueen ohjauskone on valmistellut, voit luoda toimialueeseen liitettyjä laitteita valitsemalla Lisää laite. Valitse sitten Windows 10/Windows 11 ja valitse Sitten Liity toimialueeseen.

Huomautus

Vain yksi toimialueen ohjauskone voi olla käytettävissä kerrallaan. Toimialueen ohjauskonelaite pysyy reaaliaikaisena, kunhan siihen on yhdistetty reaaliaikainen laite.

Pyydä lisää laitteita

Kun kaikkia olemassa olevia laitteita käytetään ja poistetaan, voit pyytää lisää laitteita. Voit pyytää labraresursseja kerran kuukaudessa.

  1. Valitse arviointilaboratorion koontinäytössä Pyydä lisää laitteita.

    Pyyntö useammasta laitteesta -vaihtoehto

  2. Valitse määritykset.

  3. Lähetä pyyntö.

Kun pyyntö on lähetetty, näkyviin tulee vihreä vahvistuspalkki ja viimeisimmän lähetyksen päivämäärä.

Voit tarkistaa pyyntösi tilan Käyttäjän toiminnot -välilehdeltä, joka hyväksytään muutaman tunnin kuluttua.

Kun pyyntö hyväksytään, pyydetyt laitteet lisätään labratyön määritykseen, ja voit luoda lisää laitteita.

Vihje

Saat enemmän irti labratyöstäsi tutustumalla simulaatiokirjastoomme.

Hyökkäysskenaarioiden simuloiminen

Käytä testilaitteita omien hyökkäyssimulaatioiden suorittamiseen muodostamalla yhteys niihin.

Voit simuloida hyökkäysskenaarioita käyttämällä seuraavaa:

Voit myös käyttää kehittynyttä metsästystä tietojen kyselemiseen ja uhkien analysointiin , jotta voit tarkastella uusia uhkia koskevia raportteja.

Tee-se-itse-hyökkäysskenaariot

Jos etsit valmiiksi tehtyä simulaatiota, voit käyttää "Tee se itse" -hyökkäysskenaarioitamme. Nämä komentosarjat ovat turvallisia, dokumentoituja ja helppokäyttöisia. Nämä skenaariot kuvastavat Defender for Endpoint -ominaisuuksia ja opastavat sinut tutkimuskokemuksen läpi.

Huomautus

Yhteys testilaitteisiin tehdään RDP:n avulla. Varmista, että palomuuriasetukset sallivat RDP-yhteydet.

  1. Muodosta yhteys laitteeseesi ja suorita hyökkäyssmulointi valitsemalla Yhdistä.

    Testilaitteiden Yhdistä-painike

    Etätyöpöydän yhteysnäyttö

    Linux-laitteet: sinun on käytettävä paikallista SSH-asiakasohjelmaa ja annettua komentoa.

    Huomautus

    Jos sinulla ei ole alkuperäisen asennuksen aikana tallennettua salasanan kopiota, voit vaihtaa salasanan valitsemalla Palauta salasana valikosta:

    Palauta salasana -vaihtoehto

    Laite vaihtaa tilakseen "Salasanan palautuksen suorittaminen", ja uusi salasana näytetään muutaman minuutin kuluttua.

  2. Anna salasana, joka näytettiin laitteen luontivaiheessa.

    Näyttö, johon annat tunnistetiedot

  3. Suorita Tee-se-itse-hyökkäyssimulaatioita laitteessa.

Uhkasimulaattoriskenaariot

Jos päätät asentaa jonkin tuetuista uhkasimulaattoreista labratyön asennuksen aikana, voit suorittaa sisäiset simulaatiot arviointilaboratorion laitteissa.

Uhkasimulaatioiden suorittaminen kolmannen osapuolen ympäristöjä käyttämällä on hyvä tapa arvioida Microsoft Defender for Endpoint ominaisuuksia laboratorioympäristön sisällä.

Huomautus

Ennen kuin voit suorittaa simulaatioita, varmista, että seuraavat vaatimukset täyttyvät:

  • Laitteet on lisättävä arviointilaboratorioon
  • Uhkasimulaattorit on asennettava arviointilaboratoriossa

  1. Valitse portaalissa Luo simulointi.

  2. Valitse uhkasimulaattori.

    Uhkasimulaattorin valinta

  3. Valitse simulointi tai selaa käytettävissä olevia simulaatioita simulointivalikoiman läpi.

    Voit siirtyä simulointivalikoimaan seuraavista:

    • Simuloinnit-yleiskatsausruudun tai
    • Siirtymällä siirtymisruudusta Arviointi ja opetusohjelmat Simuloinnit>& opetusohjelmia ja valitse sitten Simuloinnit-luettelo.

  4. Valitse laitteet, joissa haluat suorittaa simuloinnin.

  5. Valitse Luo simulointi.

  6. Voit tarkastella simuloinnin edistymistä valitsemalla Simuloinnit-välilehden . Tarkastele simuloinnin tilaa, aktiivisia hälytyksiä ja muita tietoja.

    Simulaatiot-välilehti

Simulaatioiden suorittamisen jälkeen suosittelemme, että käyt läpi labratyön edistymispalkin ja tutkit, Microsoft Defender for Endpoint käynnisti automatisoidun tutkimuksen ja korjauksen. Tutustu ominaisuuden keräämiin ja analysoimiin todisteisiin.

Etsi hyökkäystodisteita kehittyneen metsästyksen avulla käyttämällä rikasta kyselykieltä ja raakatelemetriaa ja tutustu joihinkin maailmanlaajuisiin uhkiin, jotka on dokumentoitu Threat Analytics -asiakirjassa.

Microsoft Defender for Endpoint on tehnyt yhteistyötä erilaisten uhkien simulointiympäristöjen kanssa, jotta voit kätevästi testata käyttöympäristön ominaisuuksia suoraan portaalista.

Näytä kaikki käytettävissä olevat simulaatiot siirtymällä valikosta Simulaatiot ja opetusohjelmat>-luetteloon .

Luettelossa on luettelo tuetuista kolmannen osapuolen uhkien simulointiagendeista, ja luettelossa on luettelo tietyntyyppiset simulaatiot sekä yksityiskohtaiset kuvaukset.

Voit kätevästi suorittaa minkä tahansa saatavilla olevan simuloinnin suoraan luettelosta.

Simuloinnit-luettelo

Jokaisessa simulaatiossa on syvällinen kuvaus hyökkäysskenaariota ja viittauksia, kuten käytetyt MITRE-hyökkäystekniikat ja esimerkki suorittamistasi kehittyneen metsästyksen kyselyistä.

Esimerkkejä:

Simuloinnin kuvauksen tietoruutu esimerkki pysyvyysmenetelmistä

APT29:n simulointikuvauksen tiedot

Arviointiraportti

Laboratorioraporteissa on yhteenveto laitteissa tehtyjen simulaatioiden tuloksista.

Arviointiraportti

Näet nopeasti:

  • Käynnistyneet tapaukset
  • Luodut ilmoitukset
  • Altistumistasoa koskevat arvioinnit
  • Havaitut uhkaluokat
  • Tunnistuslähteet
  • Automaattiset tutkimukset

Anna palautetta

Palautteesi auttaa meitä suojautumaan paremmin kehittyneiltä hyökkäyksiltä. Jaa käyttökokemuksesi ja näyttökertasi tuotteiden ominaisuuksista ja arviointituloksista.

Kerro meille, mitä mieltä olet, valitsemalla Anna palautetta.

Palautesivu

Vihje

Haluatko tietää lisää? Engage Microsoft security -yhteisön kanssa teknologiayhteisössämme: Microsoft Defender for Endpoint Tech Community.