בדיקת זיהוי EDR לאימות שירותי הצירוף והדיווח של המכשיר

חל על:

• Microsoft Defender עבור תוכנית 2 של נקודת קצה
• Microsoft Defender for Business

דרישות והגדרה של תרחישים

• Windows 11, Windows 10 גירסה 1709, גירסת Build מס' 16273 ואילך, Windows 8.1 או Windows 7 SP1.
• Windows Server 2022, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2 ו- Windows Server 2008 R2 SP1.
• לינוקס (Linux)
• macOS
• Microsoft Defender עבור נקודת קצה
• בעיות בביצועי Microsoft Defender עבור נקודת קצה ב- Linux
• Microsoft Defender עבור נקודת קצה ב- macOS

זיהוי נקודת קצה ותגובה עבור נקודת קצה מספקים זיהויים מתקדמים של תקיפות הנמצאים ליד זמן אמת וניתן לפעולה. אנליסטי אבטחה יכולים לתעדף התראות ביעילות, לראות את היקף ההפרה המלא ולבצע פעולות תגובה כדי לתעדף איומים.

הפעל בדיקת זיהוי של EDR כדי לוודא שהמכשיר מחובר כראוי ומדווח לשירות. בצע את השלבים הבאים במכשיר החדש שצירוף:

Windows

1. פתיחת חלון שורת פקודה

2. בשורת הפקודה, העתק והפעל את הפקודה שלהלן. חלון שורת הפקודה ייסגר באופן אוטומטי.

powershell.exe -NoExit -ExecutionPolicy Bypass -WindowStyle Hidden $ErrorActionPreference= 'silentlycontinue';(New-Object System.Net.WebClient).DownloadFile('http://127.0.0.1/1.exe', 'C:\\test-WDATP-test\\invoice.exe');Start-Process 'C:\\test-WDATP-test\\invoice.exe'

3. אם הבדיקה הצליחה, בדיקת הזיהוי תסמן כמשימה שהושלמה והתראה חדשה תופיע בעוד מספר דקות.

לינוקס (Linux)

1. הורדת קובץ Script לשרת Linux רשום

curl -o ~/Downloads/MDE Linux DIY.zip https://aka.ms/LinuxDIY

1. חלץ את ה- Zip

unzip ~/Downloads/MDE Linux DIY.zip

1. והפעל את הפקודה הבאה:

./mde_linux_edr_diy.sh

לאחר כמה דקות, יש להפעיל זיהוי ב- Microsoft Defender XDR.

3. עיין בפרטי ההתראה, בציר הזמן של המחשב ובצע את שלבי החקירה האופייניים שלך.

macOS

1. בדפדפן, Microsoft Edge עבור Mac או Safari, הורד את MDATP MacOS DIY.zip מ- https://aka.ms/mdatpmacosdiy וחלץ אותו.

   הבקשה הבאה מופיעה:

   האם ברצונך לאפשר הורדות ב- "mdatpclientanalyzer.blob.core.windows.net"?
   באפשרותך לשנות את אתרי האינטרנט שניתן להוריד קבצים ב'העדפות אתרי אינטרנט'.

2. לחץ על אפשר.

3. פתח את הורדות.

4. עליך להיות מסוגל לראות את MDATP MacOS DIY.

   עצה

   אם תלחץ פעמיים על MDATP MacOS DIY, תקבל את ההודעה הבאה:

   אין אפשרות לפתוח את "MDATP MacOS DIY" מאחר שלא ניתן לוודא את המפתח.
   ל- macOS אין אפשרות לוודא כי יישום זה אינו זמין מתוכנות זדוניות.
   [העבר לאשפה][ביטול]

5. לחץ על ביטול.

6. לחץ באמצעות לחצן העכבר הימני על MDATP MacOS DIY ולאחר מכן לחץ על פתח.

   המערכת מציגה את ההודעה הבאה:

   ל- macOS אין אפשרות לאמת את מפתח MDATP MacOS DIY. האם אתה בטוח שברצונך לפתוח אותו?
   על-ידי פתיחת אפליקציה זו, אתה תוקף את אבטחת המערכת שעלולה לחשוף את המחשב והמידע האישי שלך לתוכנות זדוניות שעלולות להזיק ל- Mac או לסכן את הפרטיות שלך.

7. לחץ על פתח.

   המערכת תציג את ההודעה הבאה:

   Microsoft Defender עבור נקודת קצה - קובץ בדיקת DIY של macOS EDR
   ההתראה המתאימה תהיה זמינה בפורטל MDATP.

8. לחץ על פתח.

   בתוך כמה דקות, התראת בדיקה של macOS EDR מופעלת .

9. עבור אל פורטל Microsoft Defender (https://security.microsoft.com/).

10. עבור אל תור ההתראות .

    

    התראת הבדיקה של macOS EDR מציגה חומרה, קטגוריה, מקור זיהוי ותפריט פעולות מכווץ.

    עיין בפרטי ההתראה ובציר הזמן של המכשיר ובצע את שלבי החקירה הרגילים.

השלבים הבאים שבאפשרותך לשקול לבצע הם להוסיף אי-הכללות של AV לפי הצורך לצורך תאימות או ביצועים של אפליקציות:

• קביעת תצורה ואימתה של פריטים שאינם נכללים ב- Microsoft Defender for Endpoint ב- macOS
• טיפול בתוצאות חיוביות/שליליות מוטעות ב- Microsoft Defender עבור נקודת קצה
• ניהול כללי דיכוי
• יצירת מחווני פשרה (IoC)
• יצירה וניהול של כללי זיהוי מותאמים אישית

קרא את מדריך הפעולות של Microsoft Defender for Endpoint Security.