Végponthoz készült Microsoft Defender kiértékelési tesztkörnyezet

  • Cikk

Fontos

A Végponthoz készült Microsoft Defender kiértékelési tesztkörnyezete 2024 januárjában elavult.

Érintett szolgáltatás:

Szeretné megismerni a Végponthoz készült Microsoft Defendert? Regisztráció az ingyenes próbaverzióra

Fontos

Mivel a Microsoft továbbra is értékeli a nyújtandó szolgáltatások és szolgáltatások értékét, a Microsoft úgy döntött, hogy kivonja a Defender kiértékelési tesztkörnyezetét. Ez a változás 2024. január közepén jelenik meg, és várhatóan 2024. január végén fejeződik be.

A biztonsági termékek átfogó kiértékelése összetett folyamat lehet, amely nehézkes környezetet és eszközkonfigurációt igényel ahhoz, hogy a teljes körű támadásszimuláció ténylegesen elvégezhető legyen. Az összetettség növelése az a kihívás, hogy nyomon követjük, hol jelennek meg a szimulációs tevékenységek, riasztások és eredmények az értékelés során.

A Végponthoz készült Microsoft Defender kiértékelési tesztkörnyezet célja, hogy kiküszöbölje az eszköz- és környezetkonfiguráció bonyolultságait, így a platform képességeinek kiértékelésére, szimulációk futtatására, valamint a megelőzési, észlelési és szervizelési funkciók működés közbeni megtekintésére összpontosíthat.

Az egyszerűsített beállítási felületen a saját tesztforgatókönyvek és az előre elkészített szimulációk futtatására összpontosíthat, hogy lássa, hogyan teljesít a Végponthoz készült Defender.

Teljes hozzáféréssel rendelkezik a platform hatékony funkcióihoz, például az automatizált vizsgálatokhoz, a speciális veszélyforrás-kereséshez és a fenyegetéselemzéshez, így tesztelheti a Végponthoz készült Defender által kínált átfogó védelmi vermet.

Hozzáadhat olyan Windows 10, Windows 11, Windows Server 2019, Windows Server 2016 és Linux (Ubuntu) eszközöket, amelyek előre konfigurálva vannak az operációs rendszer legújabb verzióival és a megfelelő biztonsági összetevőkkel, valamint telepítették az Office 2019 Standardot.

Fenyegetésszimulátorokat is telepíthet. A Végponthoz készült Defender az iparág vezető fenyegetésszimulációs platformjaival együttműködve anélkül tesztelheti a Végponthoz készült Defender képességeit, hogy el kellene hagynia a portált.

Telepítse az előnyben részesített szimulátort, futtasson forgatókönyveket a kiértékelési tesztkörnyezetben, és azonnal nézze meg, hogyan teljesít a platform – mindezt kényelmesen, extra költségek nélkül. Emellett számos szimulációhoz is kényelmesen hozzáférhet, amelyeket a szimulációkatalógusból érhet el és futtathat.

Az első lépések

A próbakörnyezethez való hozzáféréshez meg kell felelnie a licencelési követelményeknek, vagy próbaverziós hozzáféréssel kell rendelkeznie a Végponthoz készült Microsoft Defender eléréséhez.

A következő biztonsági beállítások kezelésére vonatkozó engedélyekkel kell rendelkeznie:

  • A tesztkörnyezet létrehozása
  • Eszközök létrehozása
  • Jelszó alaphelyzetbe állítása
  • Szimulációk létrehozása

Ha engedélyezte a szerepköralapú hozzáférés-vezérlést (RBAC), és létrehozott legalább egy gépcsoportot, a felhasználóknak hozzáféréssel kell rendelkezniük a Minden gépcsoporthoz.

További információ: Szerepkörök létrehozása és kezelése.

Szeretné megismerni a Végponthoz készült Microsoft Defendert? Regisztráció az ingyenes próbaverzióra

Ismerkedés a tesztkörnyezettel

A tesztkörnyezetet a menüből érheti el. A navigációs menüben válassza a Kiértékelés és oktatóanyagok > Kiértékelési tesztkörnyezet lehetőséget.

Megjegyzés:

  • A kiválasztott környezeti struktúra típusától függően az eszközök az aktiválás napjától számítva megadott számú órán át lesznek elérhetők.
  • Minden környezet korlátozott számú teszteszközzel van kiépítve. Ha felhasználta a kiépített eszközöket, és törölte őket, további eszközöket kérhet.
  • Havonta egyszer kérhet tesztkörnyezeti erőforrásokat.

Már van laborja? Mindenképpen engedélyezze az új fenyegetésszimulátorokat, és rendelkezzen aktív eszközökkel.

A kiértékelési tesztkörnyezet beállítása

  1. A navigációs panelen válassza a Evaluation & tutorials Evaluation lab (Kiértékelés & oktatóanyagok>kiértékelési tesztkörnyezete) lehetőséget, majd válassza a Setup lab (Tesztkörnyezet beállítása) lehetőséget.

    Az értékelési tesztkörnyezet kezdőlapja

  2. A kiértékelési igényektől függően dönthet úgy, hogy hosszabb ideig kevesebb eszközzel vagy rövidebb ideig több eszközzel rendelkező környezetet állít be. Válassza ki az előnyben részesített tesztkörnyezet-konfigurációt, majd válassza a Tovább gombot.

    A tesztkörnyezet konfigurációs beállításai

  3. (Nem kötelező) Dönthet úgy, hogy fenyegetésszimulátorokat telepít a tesztkörnyezetben.

    A szimulátorok telepítésének ügynökoldala

    Fontos

    Először el kell fogadnia és meg kell adnia a feltételeket és az információmegosztási nyilatkozatokat.

  4. Válassza ki a használni kívánt fenyegetésszimulációs ügynököt, és adja meg a részleteket. Később is telepíthet fenyegetésszimulátorokat. Ha úgy dönt, hogy a tesztkörnyezet beállítása során fenyegetésszimulációs ügynököket telepít, azzal az előnnyel jár, hogy kényelmesen telepítheti őket a hozzáadott eszközökre.

    Az összefoglaló oldal

  5. Tekintse át az összefoglalást, és válassza a Beállítási tesztkörnyezet lehetőséget.

A tesztkörnyezet beállítási folyamatának befejezése után eszközöket adhat hozzá és szimulációkat futtathat.

Eszközök hozzáadása

Amikor hozzáad egy eszközt a környezetéhez, a Végponthoz készült Defender egy jól konfigurált eszközt állít be a kapcsolat részleteivel. Hozzáadhat Windows 10, Windows 11, Windows Server 2019, Windows Server 2016 és Linux (Ubuntu) rendszert.

Az eszköz az operációs rendszer és az Office 2019 Standard legújabb verziójával lesz konfigurálva, valamint más alkalmazásokkal, például a Java, a Python és a SysIntenals alkalmazásokkal.

Ha a tesztkörnyezet beállítása során fenyegetésszimulátort ad hozzá, minden eszközön telepítve lesz a fenyegetésszimulátor ügynök a hozzáadott eszközökön.

Az eszköz automatikusan regisztrálva lesz a bérlőjébe, és az ajánlott Windows biztonsági összetevők be lesznek kapcsolva és naplózási módban – az Ön részéről nem kell fáradnia.

A teszteszközökben a következő biztonsági összetevők vannak előre konfigurálva:

Megjegyzés:

Microsoft Defender víruskereső be lesz kapcsolva (nem naplózási módban). Ha Microsoft Defender víruskereső letiltja a szimuláció futtatását, kikapcsolhatja a valós idejű védelmet az eszközön a Windows biztonság keresztül. További információ: Folyamatos védelem konfigurálása.

Az automatizált vizsgálati beállítások a bérlői beállításoktól függenek. Alapértelmezés szerint félig automatizáltra lesz konfigurálva. További információ: Az automatizált vizsgálatok áttekintése.

Megjegyzés:

A teszteszközökkel való kapcsolat RDP használatával történik. Győződjön meg arról, hogy a tűzfal beállításai engedélyezik az RDP-kapcsolatokat.

  1. Az irányítópulton válassza az Eszköz hozzáadása lehetőséget.

  2. Válassza ki a hozzáadni kívánt eszköz típusát. Hozzáadhat Windows 10, Windows 11, Windows Server 2019, Windows Server 2016 és Linux (Ubuntu) rendszert.

    A tesztkörnyezet beállítása eszközbeállításokkal

    Megjegyzés:

    Ha valami probléma merül fel az eszközlétrehozási folyamattal kapcsolatban, a rendszer értesíti, és új kérést kell küldenie. Ha az eszköz létrehozása sikertelen, a rendszer nem veszi figyelembe a teljes engedélyezett kvótát.

  3. Megjelennek a kapcsolat részletei. Válassza a Másolás lehetőséget az eszköz jelszavának mentéséhez.

    Megjegyzés:

    A jelszó csak egyszer jelenik meg. Ne felejtse el menteni későbbi használatra.

    Az eszköz hozzáadva a kapcsolat részleteivel

  4. Megkezdődik az eszköz beállítása. Ez körülbelül 30 percet vehet igénybe.

  5. Az Eszközök lapon megtekintheti a teszteszközök állapotát, a kockázati és expozíciós szinteket, valamint a szimulátortelepítések állapotát.

    Az Eszközök lap

    Tipp

    A Szimulátor állapota oszlopban az információs ikonra mutatva megismerheti az ügynök telepítési állapotát.

Tartományvezérlő hozzáadása

Adjon hozzá egy tartományvezérlőt olyan összetett forgatókönyvek futtatásához, mint az oldalirányú mozgás és a többlépcsős támadások több eszközön.

Megjegyzés:

A tartománytámogatás csak a Microsoft Defender portálon (security.microsoft.com) érhető el.

  1. Az irányítópulton válassza az Eszköz hozzáadása lehetőséget.

  2. Válassza a Windows Server 2019, majd a Beállítás tartományvezérlőként lehetőséget.

  3. A tartományvezérlő kiépítése után az Eszköz hozzáadása gombra kattintva létrehozhat tartományhoz csatlakoztatott eszközöket. Ezután válassza a Windows 10 / Windows 11, majd a Csatlakozás tartományhoz lehetőséget.

Megjegyzés:

Egyszerre csak egy tartományvezérlő lehet élő. A tartományvezérlő eszköz mindaddig élő marad, amíg egy élő eszköz csatlakozik hozzá.

További eszközök kérése

Ha minden meglévő eszközt használ és töröl, további eszközöket is kérhet. Havonta egyszer kérhet tesztkörnyezeti erőforrásokat.

  1. A próbakörnyezet irányítópultján válassza a További eszközök kérése lehetőséget.

    További eszközök kérése lehetőség

  2. Válassza ki a konfigurációt.

  3. Küldje el a kérelmet.

A kérelem sikeres elküldése után megjelenik egy zöld megerősítő szalagcím, valamint az utolsó beküldés dátuma.

A kérés állapotát a Felhasználói műveletek lapon találja, amelyet a rendszer órákon belül jóváhagy.

Jóváhagyás után a rendszer hozzáadja a kért eszközöket a tesztkörnyezet beállításához, és további eszközöket is létrehozhat.

Tipp

Ha többet szeretne kihozni a laborból, ne felejtse el megnézni a szimulációs kódtárat.

Támadási forgatókönyvek szimulálása

A teszteszközökkel saját támadásszimulációkat futtathat, ha csatlakozik hozzájuk.

A támadási forgatókönyveket a következőkkel szimulálhatja:

A Speciális veszélyforrás-keresés funkcióval adatokat kérdezhet le, a Fenyegetéselemzéssel pedig jelentéseket tekinthet meg a felmerülő fenyegetésekről.

Saját maga által elvégezhető támadási forgatókönyvek

Ha előre elkészített szimulációt keres, használhatja a "Do It Yourself" támadási forgatókönyveinket. Ezek a szkriptek biztonságosak, dokumentáltak és könnyen használhatók. Ezek a forgatókönyvek tükrözik a Végponthoz készült Defender képességeit, és végigvezetik a vizsgálati folyamaton.

Megjegyzés:

A teszteszközökkel való kapcsolat RDP használatával történik. Győződjön meg arról, hogy a tűzfal beállításai engedélyezik az RDP-kapcsolatokat.

  1. Csatlakozzon az eszközhöz, és futtasson támadásszimulációt a Csatlakozás lehetőség kiválasztásával.

    A teszteszközök Csatlakozás gombja

    A távoli asztali kapcsolat képernyője

    Linux-eszközök esetén: helyi SSH-ügyfelet és a megadott parancsot kell használnia.

    Megjegyzés:

    Ha a kezdeti beállítás során nem mentette a jelszó másolatát, a jelszó alaphelyzetbe állításához válassza a menü Jelszó alaphelyzetbe állítása elemét:

    A Jelszó alaphelyzetbe állítása lehetőség

    Az eszköz az "Új jelszó kérésének végrehajtása" állapotra módosítja, majd néhány percen belül megjelenik az új jelszó.

  2. Adja meg az eszközlétrehozási lépés során megjelenő jelszót.

    A hitelesítő adatok megadására szolgáló képernyő

  3. Futtasson do-it-yourself támadásszimulációkat az eszközön.

Fenyegetésszimulátor-forgatókönyvek

Ha a tesztkörnyezet beállítása során a támogatott fenyegetésszimulátorok bármelyikét telepíti, futtathatja a beépített szimulációkat a próbakörnyezet eszközein.

A fenyegetésszimulációk harmadik féltől származó platformok használatával történő futtatása jó módszer Végponthoz készült Microsoft Defender képességek kiértékelésére a tesztkörnyezet határain belül.

Megjegyzés:

A szimulációk futtatása előtt győződjön meg arról, hogy a következő követelmények teljesülnek:

  • Az eszközöket hozzá kell adni a kiértékelési tesztkörnyezethez
  • A fenyegetésszimulátoroknak telepítve kell lenniük a kiértékelési tesztkörnyezetben

  1. A portálon válassza a Szimuláció létrehozása lehetőséget.

  2. Válasszon ki egy fenyegetésszimulátort.

    A fenyegetésszimulátor kiválasztása

  3. Válasszon ki egy szimulációt, vagy tekintse át a szimulációkatalógusban az elérhető szimulációk böngészéséhez.

    A szimulációs katalógust a következő forrásból érheti el:

    • A Szimulációk áttekintő csempéjének fő kiértékelési irányítópultja, vagy
    • A Kiértékelés és oktatóanyagokSzimuláció & oktatóanyagok> navigációs panelen válassza a Szimulációk katalógus lehetőséget.

  4. Válassza ki azokat az eszközöket, amelyen futtatni szeretné a szimulációt.

  5. Válassza a Szimuláció létrehozása lehetőséget.

  6. A Szimulációk lap kiválasztásával megtekintheti egy szimuláció előrehaladását. Megtekintheti a szimuláció állapotát, az aktív riasztásokat és egyéb részleteket.

    Szimulációk lap

A szimulációk futtatása után javasoljuk, hogy tekintse át a tesztkörnyezet folyamatjelző sávját, és vizsgálja meg, Végponthoz készült Microsoft Defender automatizált vizsgálatot és szervizelést váltott ki. Tekintse meg a funkció által gyűjtött és elemzett bizonyítékokat.

A gazdag lekérdezési nyelv és a nyers telemetriai adatok segítségével speciális veszélyforrás-kereséssel kereshet támadási bizonyítékokat, és áttekinthet néhány, a Fenyegetéselemzésben dokumentált fenyegetést.

Végponthoz készült Microsoft Defender különböző fenyegetésszimulációs platformokkal együttműködve kényelmes hozzáférést biztosít a platform képességeinek teszteléséhez közvetlenül a portálon belül.

Az összes elérhető szimulációt a menü Szimulációk és oktatóanyagok>Szimulációk katalógusában tekintheti meg.

Megjelenik a támogatott külső fenyegetésszimulációs ügynökök listája, és a katalógusban konkrét szimulációtípusok és részletes leírások találhatók.

A rendelkezésre álló szimulációkat kényelmesen futtathatja közvetlenül a katalógusból.

Szimulációkatalógus

Minden szimuláció részletes leírást tartalmaz a támadási forgatókönyvről, és hivatkozásokat tartalmaz, például a használt MITRE támadási technikákat és a futtatott speciális keresési lekérdezések mintáját.

Példák:

A szimuláció leírásának részleteit tartalmazó panel példája az adatmegőrzési módszerekhez

Az APT29 szimulációs leírásának részletei

Kiértékelési jelentés

A laborjelentések összefoglalják az eszközökön végzett szimulációk eredményeit.

Kiértékelési jelentés

Egy pillantással gyorsan láthatja a következőt:

  • Aktivált incidensek
  • Generált riasztások
  • Expozíciós szinttel kapcsolatos értékelések
  • Megfigyelt fenyegetéskategóriák
  • Észlelési források
  • Automatizált vizsgálatok

Visszajelzés küldése

Visszajelzése segít abban, hogy jobban védhessünk környezetét a speciális támadásokkal szemben. Ossza meg tapasztalatait és benyomásait a termék képességeiből és a kiértékelési eredményekből.

A Visszajelzés küldése lehetőséget választva tudassa velünk, hogy mit gondol.

A visszajelzési oldal

Tipp

Szeretne többet megtudni? Engage a Microsoft biztonsági közösségével a technikai közösségünkben: Végponthoz készült Microsoft Defender Tech Community.