Опыт Microsoft Defender для конечной точки с помощью имитированных атак

  • Статья

Важно!

Лаборатория оценки Microsoft Defender для конечной точки была устаревшей в январе 2024 г.

Область применения:

Хотите попробовать Defender для конечной точки? Зарегистрироваться для бесплатной пробной версии.

Совет

Вы можете использовать Defender для конечной точки перед подключением к службе нескольких устройств. Для этого можно запустить управляемое моделирование атак на нескольких тестовых устройствах. После выполнения имитированных атак вы можете просмотреть, как Defender для конечной точки вызывает вредоносные действия, и узнать, как она обеспечивает эффективное реагирование.

Перед началом работы

Для выполнения любого из предоставленных симуляций требуется по крайней мере одно подключенное устройство.

Ознакомьтесь с пошаговым руководством по каждому сценарию атаки. Каждый документ содержит требования к ОС и приложениям, а также подробные инструкции, относящиеся к сценарию атаки.

Запуск имитации

  1. В разделе Оценка конечных> точек& учебники Учебники>& симуляции выберите, какие из доступных сценариев атак вы хотите имитировать:

    • Сценарий 1. Документ удаляет backdoor — имитирует доставку социально спроектированного документа приманки. Документ запускает специально созданный backdoor, который предоставляет злоумышленникам контроль.
    • Сценарий 2. Сценарий PowerShell в атаке без файлов имитирует атаку без файлов, основанную на PowerShell, показывающую сокращение направлений атаки и обнаружение вредоносных действий в памяти с помощью обучения устройств.
    • Сценарий 3. Автоматическое реагирование на инциденты активирует автоматическое исследование, которое автоматически ищет и устраняет артефакты нарушения для масштабирования емкости реагирования на инциденты.

  2. Скачайте и прочитайте соответствующий пошаговый документ, предоставленный для выбранного сценария.

  3. Скачайте файл имитации или скопируйте скрипт моделирования, перейдя в разделе Оценка & учебники Учебники>& симуляции. Вы можете скачать файл или сценарий на тестовом устройстве, но это необязательно.

  4. Запустите файл моделирования или скрипт на тестовом устройстве, как описано в пошаговом руководстве.

Примечание.

Симуляция файлов или скриптов имитирует действия атаки, но на самом деле являются безвредными и не повреждают и не компрометируют тестовое устройство.

Для выполнения некоторых тестов также можно использовать файл теста EICAR или текстовую строку теста EICAR. Можно протестировать функции защиты в режиме реального времени (создать текстовый файл, вставить текст EICAR и сохранить файл как исполняемый файл на локальном диске конечной точки. Вы получите уведомление о тестовой конечной точке и оповещение в консоли MDE) или защиту EDR (необходимо временно отключить защиту в режиме реального времени на тестовой конечной точке и сохранить тестовый файл EICAR. а затем попробуйте выполнить, скопировать или переместить этот файл). После выполнения тестов включите защиту в режиме реального времени в тестовой конечной точке.

Хотите попробовать Defender для конечной точки? Зарегистрироваться для бесплатной пробной версии.

Совет

Хотите узнать больше? Engage с сообществом Microsoft Security в нашем техническом сообществе: Microsoft Defender для конечной точки Техническое сообщество.