Test di rilevamento EDR per verificare l'onboarding e i servizi di report del dispositivo

Articolo
04/26/2024

Si applica a:

Requisiti e configurazione dello scenario

Windows 11, Windows 10 versione 1709 build 16273 o versione successiva, Windows 8.1 o Windows 7 SP1.
Windows Server 2022, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2 e Windows Server 2008 R2 SP1.
Linux
macOS
Microsoft Defender per endpoint
Microsoft Defender per endpoint su Linux
Microsoft Defender per endpoint su macOS

Il rilevamento e la risposta degli endpoint forniscono rilevamenti di attacchi avanzati quasi in tempo reale e interattivi. I responsabili della sicurezza possono assegnare priorità agli avvisi in modo efficace, ottenere una visibilità completa su una violazione e adottare azioni di risposta per correggere le minacce.

Eseguire un test di rilevamento EDR per verificare che il dispositivo sia stato caricato correttamente e segnalare al servizio. Seguire questa procedura nel nuovo dispositivo di cui è stato eseguito l'onboarding:

Windows

Aprire una finestra del prompt dei comandi
Al prompt copiare ed eseguire il comando seguente. La finestra del prompt dei comandi verrà chiusa automaticamente.

powershell.exe -NoExit -ExecutionPolicy Bypass -WindowStyle Hidden $ErrorActionPreference= 'silentlycontinue';(New-Object System.Net.WebClient).DownloadFile('http://127.0.0.1/1.exe', 'C:\\test-WDATP-test\\invoice.exe');Start-Process 'C:\\test-WDATP-test\\invoice.exe'

In caso di esito positivo, il test di rilevamento verrà contrassegnato come completato e verrà visualizzato un nuovo avviso tra pochi minuti.

Linux

Scaricare il file script in un server Linux di cui è stato eseguito l'onboarding

curl -o ~/Downloads/MDE Linux DIY.zip https://aka.ms/LinuxDIY

Estrarre la zip

unzip ~/Downloads/MDE Linux DIY.zip

Eseguire il comando seguente:

./mde_linux_edr_diy.sh

Dopo alcuni minuti, deve essere generato un rilevamento in Microsoft Defender XDR.

Esaminare i dettagli dell'avviso, la sequenza temporale del computer ed eseguire i passaggi di indagine tipici.

macOS

Nel browser, Microsoft Edge per Mac o Safari, scaricare MDATP MacOS DIY.zip da https://aka.ms/mdatpmacosdiy ed estrarre.

Viene visualizzato il prompt seguente:

Consentire i download in "mdatpclientanalyzer.blob.core.windows.net"?
È possibile modificare i siti Web che possono scaricare i file in Preferenze dei siti Web.
Fare clic su Consenti.
Aprire Download.
È necessario essere in grado di visualizzare MDATP MacOS DIY.

Consiglio

Se si fa doppio clic su MDATP MacOS DIY, verrà visualizzato il messaggio seguente:

Impossibile aprire "MDATP MacOS DIY" perché lo sviluppatore non può essere verificato.
macOS non può verificare che questa app sia priva di malware.
[Sposta nel cestino][Annulla]
Fare clic su Annulla.
Fare clic con il pulsante destro del mouse su MDATP MacOS DIY e quindi scegliere Apri.

Il sistema visualizza il messaggio seguente:

macOS non può verificare lo sviluppatore di MDATP MacOS DIY. Vuoi aprirlo?
Aprendo questa app, si sarà ignorare la sicurezza del sistema che può esporre il computer e le informazioni personali a malware che possono danneggiare il vostro Mac o compromettere la privacy.
Fare clic su Apri.

Il sistema visualizzerà il messaggio seguente:

Microsoft Defender per endpoint - file di test DIY macOS EDR
L'avviso corrispondente sarà disponibile nel portale MDATP.
Fare clic su Apri.

In pochi minuti viene generato un avviso per il test macOS EDR .
Passare al portale di Microsoft Defender (https://security.microsoft.com/).
Passare alla coda degli avvisi .

L'avviso di test di macOS EDR mostra gravità, categoria, origine di rilevamento e un menu compresso di azioni.

Esaminare i dettagli dell'avviso e la sequenza temporale del dispositivo ed eseguire i normali passaggi di indagine.

I passaggi successivi che è possibile prendere in considerazione per eseguire sono l'aggiunta di esclusioni av in base alle esigenze per la compatibilità o le prestazioni dell'applicazione:

Leggere la Guida operativa di Microsoft Defender per Endpoint Security.

Condividi tramite