Szimulált támadásokkal Végponthoz készült Microsoft Defender tapasztalata

Fontos

A Végponthoz készült Microsoft Defender kiértékelési tesztkörnyezete 2024 januárjában elavult.

Érintett szolgáltatás:

• Végponthoz készült Microsoft Defender 2. csomag
• Microsoft Defender XDR

Szeretné megismerni a Végponthoz készült Defendert? Regisztráció az ingyenes próbaverzióra

Tipp

• További információ a Végponthoz készült Microsoft Defender legújabb fejlesztéseiről: A Végponthoz készült Defender újdonságai.
• A Végponthoz készült Defender iparágvezető optika- és észlelési képességeket mutatott be a MITRE legutóbbi értékelésében. Read: Insights from the MITRE ATT&CK-alapú értékelés.

Érdemes lehet a Végponthoz készült Defendert használni, mielőtt több eszközt hozna létre a szolgáltatásban. Ehhez szabályozott támadásszimulációkat futtathat néhány teszteszközön. A szimulált támadások futtatása után áttekintheti, hogyan jeleníti meg a Végponthoz készült Defender a rosszindulatú tevékenységeket, és megvizsgálhatja, hogyan teszi lehetővé a hatékony reagálást.

Az első lépések

A megadott szimulációk futtatásához legalább egy előkészített eszközre van szükség.

Olvassa el az egyes támadási forgatókönyvek útmutatóját. Minden dokumentum tartalmazza az operációs rendszer és az alkalmazás követelményeit, valamint a támadási forgatókönyvre vonatkozó részletes utasításokat.

Szimuláció futtatása

1. A Végpontok>kiértékelése & oktatóanyagok>Oktatóanyagok & szimulációk területen válassza ki, hogy melyik rendelkezésre álló támadási forgatókönyvet szeretné szimulálni:

   • 1. forgatókönyv: Dokumentumelejtési backdoor – egy közösségileg megtervezett csali dokumentum kézbesítését szimulálja. A dokumentum elindít egy speciálisan kialakított backdoort, amely lehetővé teszi a támadók számára az irányítást.
   • 2. forgatókönyv: PowerShell-szkript fájl nélküli támadásban – fájl nélküli támadást szimulál, amely a PowerShellre támaszkodik, megjeleníti a támadási felület csökkentését és a kártékony memóriatevékenységek eszköztanulási észlelését.
   • 3. forgatókönyv: Automatizált incidenskezelés – automatikus vizsgálatot indít, amely automatikusan megkeresi és orvosolja az incidens-összetevőket az incidensmegoldási kapacitás méretezéséhez.

2. Töltse le és olvassa el a kiválasztott forgatókönyvhez tartozó bemutató dokumentumot.

3. Töltse le a szimulációs fájlt, vagy másolja ki a szimulációs szkriptet a Próbaverziós & oktatóanyagok Oktatóanyagok>& szimulációk szakaszra lépve. Letöltheti a fájlt vagy a szkriptet a teszteszközre, de ez nem kötelező.

4. Futtassa a szimulációs fájlt vagy a szkriptet a teszteszközön az útmutatóban leírtak szerint.

Megjegyzés:

A szimulációs fájlok vagy szkriptek utánozzák a támadási tevékenységet, de valójában jóindulatúak, és nem károsítják vagy veszélyeztetik a teszteszközt.

A tesztek végrehajtásához használhatja az EICAR tesztfájlt vagy az EICAR-teszt szöveges sztringet is. Tesztelheti a valós idejű védelmi funkciókat (létrehozhat egy szövegfájlt, beillesztheti az EICAR-szöveget, és végrehajtható fájlként mentheti a fájlt a végpont helyi meghajtójára – értesítést kap a tesztvégponton, és riasztást kap a MDE konzolon) vagy EDR-védelmet (ideiglenesen le kell tiltania a valós idejű védelmet a tesztvégponton, és mentenie kell az EICAR-tesztfájlt, lehetőséget, majd próbálja meg végrehajtani, másolni vagy áthelyezni a fájlt). A tesztek futtatása után engedélyezze a valós idejű védelmet a tesztvégponton.

Szeretné megismerni a Végponthoz készült Defendert? Regisztráció az ingyenes próbaverzióra

Kapcsolódó témakörök

• Eszközök előkészítése
• Windows-eszközök előkészítése

Tipp

Szeretne többet megtudni? Engage a Microsoft biztonsági közösségével a technikai közösségünkben: Végponthoz készült Microsoft Defender Tech Community.