Руководство по тестированию на проникновение и сценариям моделирования нарушений и атак с помощью Microsoft Defender для конечной точки
В этой статье описаны распространенные проблемы и потенциальные ошибки, которые могут возникнуть при тестировании на проникновение (тестирование пера) или при использовании средств моделирования нарушений и атак (BAS). В этой статье также описывается отправка потенциальных ложноотрицательных данных для исследования.
Распространенные проблемы при тестировании пера
Тестирование текущей конфигурации среды, которая может оказаться неоптимальной для Microsoft Defender для конечной точки или антивирусной Microsoft Defender.
Проблемы с включением облачной защиты, так как она может перейти к детонации облачной защиты, если она не находит метаданные. Дополнительные сведения о Microsoft Defender антивирусной и облачной защиты см. в статье Гибридное обнаружение и защита.
Примечание.
Если вы скачиваете несколько полезных данных и заметили, что антивирусная программа Microsoft Defender не исправит некоторые полезные данные, имейте в виду, что происходящее может не быть истинным положительным, а поставщик, не относящееся к Корпорации Майкрософт, может показывать ложноположительный результат. См . раздел Отправка возможных ложноотрицательных данных для исследования (в этой статье).
Распространенные ошибки в антивирусной программе Microsoft Defender во время тестирования пера
Часто тестировщики на проникновение отключают функции антивирусной программы Microsoft Defender при выполнении атаки. Перед этим убедитесь, что настроены следующие параметры:
Защита от незаконного изменения включена в режиме блокировки.
Microsoft Defender антивирусная программа работает в качестве основной антивирусной программы, а не в пассивном режиме. Если вы используете антивирусную программу сторонних разработчиков, рекомендуется удалить ее во время тестирования пера.
Обновление платформы, обновление ядра и (или) обновления аналитики безопасности обновлены.
Мониторинг поведения включен.
Добавление исключений антивирусной программы в расположение полезных данных после копирования полезных данных. После копирования полезных данных на устройство удалите исключение антивирусной программы, чтобы Microsoft Defender Антивирусная программа могла блокировать обнаружение во время тестирования пера.
Убедитесь, что у вас нет исключений антивирусной программы для средств BAS, таких как AttackIQ, Cymulate, SafeBreach и другие.
Отправка примера защиты от облака включена.
Сетевое подключение защиты облака работает.
Защита от потенциально нежелательных приложений (PUA) включена.
Правила сокращения направлений атак (правила ASR) настроены в режим блокировки.
Защита сети настроена в режим блокировки.
Управляемый доступ к папкам (CFA) установлен в режим блокировки.
Важно правильно настроить параметры. Чтобы устранить проблемы с неправильной конфигурацией, используйте следующие статьи:
| ОС | Средство управления | Статья |
|---|---|---|
| Windows | управление параметрами безопасности Microsoft Defender для конечной точки (Рекомендуется) |
Оценка антивирусной программы Microsoft Defender с помощью управления параметрами безопасности конечных точек Microsoft Defender (политики безопасности конечных точек) |
| Windows | Групповая политика | Оценка антивирусной программы Microsoft Defender с помощью групповая политика |
| Windows | PowerShell | Оценка антивирусной программы Microsoft Defender с помощью PowerShell |
| Mac | Microsoft Defender для конечной точки управление параметрами безопасности или Intune, Jamf или другое средство | Установка параметров Microsoft Defender для конечной точки в macOS |
| Linux | Microsoft Defender для конечной точки управление параметрами безопасности или другое средство. | Установите параметры Microsoft Defender для конечной точки в Linux. |
Отправка возможных ложноотрицательных данных для исследования
Шаг 1. Сбор журналов диагностики Microsoft Defender для конечной точки
Использование журнала MDE клиентского анализатора
| Операционная система | Действия |
|---|---|
| Windows | Журналы диагностика можно собирать с помощью динамического ответа или локально. |
| Mac | Вы можете собирать данные локально. |
| Linux | Вы можете собирать данные с помощью динамического ответа или локально. |
диагностические данные антивирусной программы Microsoft Defender (MpSupport.cab)
| Операционная система | Действия |
|---|---|
| Windows | 1. На устройстве откройте командную строку от имени администратора. 2. Выполните следующую команду: MpCmdRun.exe -getfiles. Пакет исследования также можно собрать на портале Microsoft Defender. |
| Mac | 1. На устройстве откройте терминал (сеанс оболочки). 2. Выполните следующую команду: mdatp log level set--level debug. 3. Выполните следующую команду: sudo mdatp diagnostic create. Дополнительные сведения см. в разделе Ресурсы для Microsoft Defender для конечной точки на Mac. |
| Linux | 1. На устройстве откройте терминал (сеанс оболочки). 2. Выполните следующую команду: mdatp log level set--level debug. sudo mdatp diagnostic create. Дополнительные сведения см. в разделе Microsoft Defender для конечной точки в ресурсах Linux. |
Шаг 2. Сбор сведений
Убедитесь, что у вас есть следующие сведения
Microsoft Defender OrgID. На портале Microsoft Defender перейдите в раздел Параметры> Microsoft Defender XDR Ид организацииучетной> записи.>
Идентификатор устройства. На портале Microsoft Defender откройте страницу устройства.
Двоичные имена.
Начало и окончание тестирования в
HH:MM:SS UTCформате.Было бы очень полезно, если бы вы могли предоставить шаги для воспроизведения проблемы вместе с примером полезных данных.
Шаг 3. Отправка данных в корпорацию Майкрософт как можно скорее
Очень важно как можно скорее сообщить в корпорацию Майкрософт. Расширенные данные телеметрии охоты обтекают и перезаписываются через 30 дней. Для отправки файлов можно использовать портал Microsoft Defender security Intelligence (MDSI) или портал Microsoft Defender.
| Портал | Описание |
|---|---|
| Портал MDSI | Портал MDSI — это служба, предоставляемая Microsoft Defender Security Intelligence. Она позволяет пользователям отправлять файлы для анализа вредоносных программ. Microsoft Defender исследователи безопасности анализируют эти файлы, чтобы определить, относятся ли они к угрозам, нежелательным приложениям или обычным файлам. Портал используется для передачи сведений об обнаружении Microsoft Defender исследований, отправки файлов для анализа и отслеживания результатов отправки. |
| Портал Microsoft Defender | Если у вас есть подписка на Microsoft Defender XDR или ваша подписка включает Defender для конечной точки плана 2, можно использовать страницу Отправки на портале Microsoft Defender. |
Отправьте данные, собранные на шагах 1–2, с помощью портала MDSI или портала Microsoft Defender.
- Портал MDSI. Перейдите на портал MDSI и выберите Отправить файлы. Следуйте указаниям на странице.
- Портал Microsoft Defender: см. раздел Использование отправки администратором для отправки файлов в Microsoft Defender для конечной точки.
После отправки файлов обратите внимание
Submission IDна для примера отправки (например,7c6c214b-17d4-4703-860b-7f1e9da03f7f).Дождитесь обновления. После того как корпорация Майкрософт получит образец, файл исследуется и принимается решение. Если корпорация Майкрософт определит, что пример файла является вредоносным, мы принимаем меры по исправлению, чтобы предотвратить незамеченные вредоносные программы.
Если у вас есть вопросы, обратитесь в службу поддержки.