Útmutatás behatolástesztelési és behatolás- és támadásszimulációs forgatókönyvekhez a Végponthoz készült Microsoft Defender
Ez a cikk a behatolástesztelés (tolltesztelés) vagy a behatolás- és támadásszimulációs (BAS) eszközök használata során felmerülő gyakori kihívásokat és lehetséges helytelen konfigurációkat ismerteti. Ez a cikk azt is ismerteti, hogyan küldhet be lehetséges hamis negatívumokat vizsgálatra.
Gyakori kihívások a tolltesztelés során
Tesztelje a környezet aktuális konfigurációját, amely nem feltétlenül az optimális konfiguráció a Végponthoz készült Microsoft Defender vagy Microsoft Defender víruskeresőhöz.
A felhővédelem engedélyezésével kapcsolatos aggodalmak, mivel ha nem talál metaadatokat, a felhővédelmi detonáció is folytatódhat. A Microsoft Defender víruskeresővel és a felhővédelemmel kapcsolatos további információkért lásd: hibrid észlelés és védelem.
Megjegyzés:
Ha több hasznosadatot tölt le, és azt veszi észre, hogy Microsoft Defender víruskereső nem orvosolja a hasznos adatok egy részét, vegye figyelembe, hogy a történtek nem feltétlenül valós pozitívak, és egy nem Microsoft-szállító hamis pozitív eredményt mutathat. Lásd: Lehetséges hamis negatívumok beküldése vizsgálathoz (ebben a cikkben).
A Microsoft Defender víruskereső gyakori helytelen konfigurációi tolltesztelés közben
A behatolástesztelők gyakran letiltják a Microsoft Defender víruskereső funkcióit a támadás végrehajtása közben. Mielőtt ezt elvégeznénk, győződjön meg arról, hogy a következő beállítások vannak konfigurálva:
Az illetéktelen módosítás elleni védelem blokk módban engedélyezve van.
Microsoft Defender víruskereső elsődleges víruskeresőként fut, nem passzív módban. Ha nem a Microsofttól származó víruskeresőt használ, javasoljuk, hogy a toll tesztelése során távolítsa el.
A platformfrissítés, a motorfrissítés és/vagy a biztonságiintelligencia-frissítések naprakészek.
A valós idejű védelem engedélyezve van.
A viselkedésfigyelés engedélyezve van.
Vírusvédelmi kizárások hozzáadása a hasznos adatok helyére a hasznos adatok másolása után. Miután átmásolta a hasznos adatokat az eszközre, távolítsa el a víruskereső kizárását, hogy Microsoft Defender víruskereső letilthassa az észleléseket a toll tesztelése során.
Győződjön meg arról, hogy nem rendelkezik vírusvédelmi kizárásokkal a BAS-eszközökhöz, például az AttackIQ-hoz, a Cymulate-hoz, a SafeBreach-hoz és más eszközökhöz.
A felhőben biztosított védelem engedélyezve van.
A felhővédelmi mintaküldés engedélyezve van.
A felhővédelmi hálózati kapcsolat működik.
A potenciálisan nemkívánatos alkalmazások elleni védelem (PUA) engedélyezve van.
A támadásifelület-csökkentési szabályok (ASR-szabályok) blokk módra vannak beállítva.
A Hálózatvédelem blokk módra van állítva.
A Szabályozott mappaelérés (CFA) blokk módra van állítva.
Fontos, hogy helyesen jelenjenek meg a beállítások. A helytelen konfigurációs problémák megoldásához használja az alábbi cikkeket:
| Operációs rendszer | Felügyeleti eszköz | Cikk |
|---|---|---|
| A Windows | Végponthoz készült Microsoft Defender biztonsági beállítások kezelése (Ajánlott) |
Értékelje ki Microsoft Defender víruskeresőt az Microsoft Defender Endpoint Security Settings Management (Végpontbiztonsági szabályzatok) használatával |
| A Windows | Csoportházirend | Microsoft Defender víruskereső kiértékelése a Csoportházirend használatával |
| A Windows | PowerShell- | Microsoft Defender víruskereső kiértékelése a PowerShell használatával |
| Mac | Végponthoz készült Microsoft Defender biztonsági beállítások kezelése, Intune, Jamf vagy más eszköz | Végponthoz készült Microsoft Defender beállítása macOS rendszeren |
| Linux | Végponthoz készült Microsoft Defender biztonsági beállítások kezelése vagy más eszköz. | Végponthoz készült Microsoft Defender beállítása Linux rendszeren |
Lehetséges hamis negatívumok beküldése vizsgálathoz
1. lépés: A Végponthoz készült Microsoft Defender diagnosztikai naplók összegyűjtése
A MDE Ügyfélelemző naplójának használata
| Operációs rendszer | Teendők |
|---|---|
| A Windows | A diagnosztikai naplókat az élő válasz használatával vagy helyileg gyűjtheti össze. |
| Mac | Helyileg is gyűjthet adatokat. |
| Linux | Az élő válasz használatával vagy helyileg is gyűjthet adatokat. |
Microsoft Defender víruskereső diagnosztikai adatai (MpSupport.cab)
| Operációs rendszer | Teendők |
|---|---|
| A Windows | 1. Az eszközön rendszergazdaként nyissa meg a parancssort. 2. Futtassa a következő parancsot: MpCmdRun.exe -getfiles. A vizsgálati csomagot a Microsoft Defender portálon is összegyűjtheti. |
| Mac | 1. Az eszközön nyissa meg a Terminált (rendszerhéj-munkamenet). 2. Futtassa a következő parancsot: mdatp log level set--level debug. 3. Futtassa a következő parancsot: sudo mdatp diagnostic create. További információ: Források a Mac Végponthoz készült Microsoft Defender-hez. |
| Linux | 1. Az eszközön nyissa meg a Terminált (rendszerhéj-munkamenet). 2. Futtassa a következő parancsot: mdatp log level set--level debug. sudo mdatp diagnostic create. További információ: Végponthoz készült Microsoft Defender Linux-erőforrásokon. |
2. lépés: Információgyűjtés
Győződjön meg arról, hogy az alábbi információk készen állnak
Microsoft Defender OrgID azonosítót. A Microsoft Defender portálon lépjen a Beállítások>Microsoft Defender XDR>Fiók>szervezeti azonosítója elemre.
Eszközazonosító. A Microsoft Defender portálon nyissa meg az eszközoldalt.
Bináris nevek.
A tesztelés kezdetén és végének formátuma
HH:MM:SS UTC.Nagyon hasznos lenne, ha megadná a probléma reprodukálásának lépéseit, valamint a hasznos adatok mintáját.
3. lépés: Az adatok lehető leghamarabb elküldése a Microsoftnak
Rendkívül fontos, hogy a lehető leghamarabb jelentse a Microsoftnak. A speciális veszélyforrás-keresési telemetriai adatok 30 nap elteltével körbefutnak és felülírják magát. A fájlok elküldéséhez használhatja a Microsoft Defender Security Intelligence (MDSI) portált vagy a Microsoft Defender portált.
| Portál | Leírás |
|---|---|
| MDSI-portál | Az MDSI-portál az Microsoft Defender Security Intelligence által biztosított szolgáltatás. Lehetővé teszi, hogy a felhasználók fájlokat küldjenek kártevő-elemzésre. Microsoft Defender biztonsági kutatók ezeket a fájlokat elemzik annak megállapításához, hogy fenyegetésről, nemkívánatos alkalmazásokról vagy normál fájlokról van-e szükségük. A portálon észlelési problémákat jelenthet a kutatás Microsoft Defender, fájlokat küldhet elemzésre, és nyomon követheti a beküldések eredményeit. |
| Microsoft Defender portál | Ha rendelkezik Microsoft Defender XDR előfizetéssel, vagy az előfizetése tartalmazza a Defender for Endpoint Plan 2 csomagot, használhatja a Beküldések lapot a Microsoft Defender portálon. |
Küldje el az 1–2. lépés során összegyűjtött adatokat az MDSI-portál vagy a Microsoft Defender portál használatával.
- MDSI-portál: Nyissa meg az MDSI-portált, majd válassza a Fájlok küldése lehetőséget. Kövesse az oldalon található útmutatást.
- A Microsoft Defender portál: Lásd: Fájlok beküldése rendszergazdai beküldéssel Végponthoz készült Microsoft Defender.
A fájlok feltöltése után jegyezze fel a
Submission IDmintabeküldéshez tartozó elemet (például7c6c214b-17d4-4703-860b-7f1e9da03f7f: ).Várjon a frissítésre. Miután a Microsoft megkapta a mintát, a rendszer megvizsgálja a fájlt, és meghatároz egy meghatározást. Ha a Microsoft úgy ítéli meg, hogy a mintafájl rosszindulatú, korrekciós műveletet hajtunk végre, hogy a kártevő ne legyen észlelve.
Ha kérdése van, forduljon az ügyfélszolgálathoz.