Partager via

Test de détection EDR pour vérifier l’intégration et les services de création de rapports de l’appareil

  • Article

S’applique à :

Configuration requise et configuration du scénario

  • Windows 11, Windows 10 version 1709 build 16273 ou ultérieure, Windows 8.1 ou Windows 7 SP1.
  • Windows Server 2022, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2 et Windows Server 2008 R2 SP1.
  • Linux
  • macOS
  • Microsoft Defender pour point de terminaison
  • Microsoft Defender pour point de terminaison Linux
  • Microsoft Defender pour point de terminaison macOS

La détection et la réponse des points de terminaison pour point de terminaison fournissent des détections d’attaque avancées qui sont quasiment en temps réel et exploitables. Les analystes de la sécurité peuvent hiérarchiser efficacement les alertes, avoir une meilleure visibilité de l’ampleur d’une faille et prendre des mesures correctives pour remédier aux menaces.

Exécutez un test de détection EDR pour vérifier que l’appareil est correctement intégré et qu’il signale au service. Effectuez les étapes suivantes sur l’appareil nouvellement intégré :

Windows

  1. Ouvrir une fenêtre d’invite de commandes

  2. À l’invite, copiez et exécutez la commande ci-dessous. La fenêtre d’invite de commandes se ferme automatiquement.

powershell.exe -NoExit -ExecutionPolicy Bypass -WindowStyle Hidden $ErrorActionPreference= 'silentlycontinue';(New-Object System.Net.WebClient).DownloadFile('http://127.0.0.1/1.exe', 'C:\\test-WDATP-test\\invoice.exe');Start-Process 'C:\\test-WDATP-test\\invoice.exe'
  1. En cas de réussite, le test de détection est marqué comme terminé et une nouvelle alerte s’affiche en quelques minutes.

Linux

  1. Télécharger le fichier de script sur un serveur Linux intégré
curl -o ~/Downloads/MDE Linux DIY.zip https://aka.ms/LinuxDIY
  1. Extraire le fichier zip
unzip ~/Downloads/MDE Linux DIY.zip
  1. Et exécutez la commande suivante :
./mde_linux_edr_diy.sh

Après quelques minutes, une détection doit être déclenchée dans Microsoft Defender XDR.

  1. Examinez les détails de l’alerte, chronologie machine et effectuez vos étapes d’investigation classiques.

macOS

  1. Dans votre navigateur, Microsoft Edge pour Mac ou Safari, téléchargez le DIY.zipMacOS MDATP à partir de et extrayez-en https://aka.ms/mdatpmacosdiy .

    L’invite suivante s’affiche :

    Voulez-vous autoriser les téléchargements sur « mdatpclientanalyzer.blob.core.windows.net » ?
    Vous pouvez modifier les sites web qui peuvent télécharger des fichiers dans Préférences des sites web.

  2. Cliquez sur Autoriser.

  3. Ouvrez Téléchargements.

  4. Vous devez être en mesure de voir MDATP MacOS DIY.

    Conseil

    Si vous double-cliquez sur MDATP MacOS DIY, le message suivant s’affiche :

    Impossible d’ouvrir « MDATP MacOS DIY », car le développeur ne peut pas être vérificateur.
    macOS ne peut pas vérifier que cette application est exempte de programmes malveillants.
    [Déplacer vers la Corbeille][Annuler]

  5. Cliquez sur Annuler.

  6. Cliquez avec le bouton droit sur MDATP MacOS DIY, puis cliquez sur Ouvrir.

    Le système affiche le message suivant :

    macOS ne peut pas vérifier le développeur de MDATP MacOS DIY. Êtes-vous sûr de vouloir l’ouvrir ?
    En ouvrant cette application, vous remplacerez la sécurité du système qui peut exposer votre ordinateur et vos informations personnelles à des programmes malveillants susceptibles de nuire à votre Mac ou de compromettre votre confidentialité.

  7. Cliquez sur Ouvrir.

    Le système affiche le message suivant :

    Microsoft Defender pour point de terminaison - fichier de test macOS EDR DIY
    L’alerte correspondante sera disponible dans le portail MDATP.

  8. Cliquez sur Ouvrir.

    En quelques minutes, une alerte macOS EDR Test Alert est déclenchée.

  9. Accédez au portail Microsoft Defender (https://security.microsoft.com/).

  10. Accédez à la file d’attente des alertes .

    Capture d’écran montrant une alerte de test EDR macOS qui montre la gravité, la catégorie, la source de détection et un menu réduit d’actions

    L’alerte de test macOS EDR affiche la gravité, la catégorie, la source de détection et un menu réduit d’actions.

    Examinez les détails de l’alerte et les chronologie de l’appareil, puis effectuez les étapes d’investigation régulières.

Les étapes suivantes que vous pouvez envisager d’effectuer sont d’ajouter des exclusions AV en fonction des besoins pour la compatibilité ou les performances des applications :

Lisez Microsoft Defender pour point de terminaison Guide des opérations de sécurité.