Teste de deteção EDR para verificar os serviços de inclusão e relatórios do dispositivo

Artigo
07/04/2024

Aplicável a:

Requisitos de cenário e configuração

Windows 11, Windows 10 versão 1709 compilação 16273 ou mais recente, Windows 8.1 ou Windows 7 SP1.
Windows Server 2022, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2 e Windows Server 2008 R2 SP1.
Linux
macOS
Microsoft Defender para Ponto de Extremidade
Microsoft Defender para Ponto de Extremidade para Linux
Microsoft Defender para Ponto de Extremidade no macOS

A deteção e resposta de pontos finais para o Ponto Final fornecem deteções de ataques avançadas quase em tempo real e acionáveis. Os analistas de segurança podem priorizar os alertas de maneira eficaz, obter visibilidade do escopo completo de uma violação e executar ações de resposta para remediar ameaças.

Execute um teste de deteção EDR para verificar se o dispositivo está corretamente integrado e a reportar ao serviço. Execute os seguintes passos no dispositivo recentemente integrado:

Windows

Abrir uma janela da Linha de Comandos
Na linha de comandos, copie e execute o comando abaixo. A janela da Linha de Comandos será fechada automaticamente.

powershell.exe -NoExit -ExecutionPolicy Bypass -WindowStyle Hidden $ErrorActionPreference= 'silentlycontinue';(New-Object System.Net.WebClient).DownloadFile('http://127.0.0.1/1.exe', 'C:\\test-WDATP-test\\invoice.exe');Start-Process 'C:\\test-WDATP-test\\invoice.exe'

Se for bem-sucedido, o teste de deteção será marcado como concluído e será apresentado um novo alerta dentro de alguns minutos.

Linux

Transferir o ficheiro de script para um servidor Linux integrado

curl -o ~/Downloads/MDE Linux DIY.zip https://aka.ms/LinuxDIY

Extrair o zip

unzip ~/Downloads/MDE Linux DIY.zip

Execute o seguinte comando:

./mde_linux_edr_diy.sh

Após alguns minutos, deve ser criada uma deteção no XDR do Microsoft Defender.

Observe os detalhes do alerta, a linha cronológica do computador e execute os passos típicos de investigação.

macOS

No seu browser, Microsoft Edge para Mac ou Safari, transfira o MDATP MacOS DIY.zip e https://aka.ms/mdatpmacosdiy extraia.

É apresentado o seguinte pedido:

Pretende permitir transferências em "mdatpclientanalyzer.blob.core.windows.net"?
Pode alterar os sites que podem transferir ficheiros nas Preferências de Sites.
Clique em Permitir.
Abra Transferências.
Tem de conseguir ver o MDATP MacOS DIY.

Dica

Se fizer duplo clique em MDATP MacOS DIY, receberá a seguinte mensagem:

Não é possível abrir o "MDATP MacOS DIY" porque o programador não pode ser verificador.
O macOS não consegue verificar se esta aplicação está livre de software maligno.
[Mover para o Lixo][Cancelar]
Clique em Cancelar.
Clique com o botão direito do rato em MDATP MacOS DIY e, em seguida, clique em Abrir.

O sistema apresenta a seguinte mensagem:

O macOS não consegue verificar o programador do MDATP MacOS DIY. Tem a certeza de que pretende abri-lo?
Ao abrir esta aplicação, irá substituir a segurança do sistema que pode expor o seu computador e informações pessoais a software maligno que pode prejudicar o seu Mac ou comprometer a sua privacidade.
Clique em Abrir.

O sistema apresentará a seguinte mensagem:

Microsoft Defender para Endpoint – ficheiro de teste macOS EDR DIY
O alerta correspondente estará disponível no portal MDATP.
Clique em Abrir.

Em poucos minutos, é gerado um alerta de Alerta de Teste EDR do macOS .
Aceda ao portal do Microsoft Defender (https://security.microsoft.com/).
Aceda à Fila de Alertas .

O alerta de teste EDR do macOS mostra gravidade, categoria, origem de deteção e um menu fechado de ações.

Observe os detalhes do alerta e a linha cronológica do dispositivo e execute os passos de investigação regulares.

Os passos seguintes que pode considerar executar são adicionar exclusões AV conforme necessário para compatibilidade ou desempenho da aplicação:

Leia o Guia de Operações de Segurança do Microsoft Defender para Endpoint.

Compartilhar via