Cihazın ekleme ve raporlama hizmetlerini doğrulamaya yönelik EDR algılama testi

  • Makale

Şunlar için geçerlidir:

Senaryo gereksinimleri ve kurulumu

  • Windows 11, Windows 10 sürüm 1709 derleme 16273 veya daha yeni, Windows 8.1 veya Windows 7 SP1.
  • Windows Server 2022, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2 ve Windows Server 2008 R2 SP1.
  • Linux
  • macOS
  • Uç Nokta için Microsoft Defender
  • Linux'ta Uç Nokta için Microsoft Defender
  • macOS üzerinde Uç Nokta için Microsoft Defender

Uç Nokta için uç nokta algılama ve yanıtı, neredeyse gerçek zamanlı ve eyleme dönüştürülebilir gelişmiş saldırı algılamaları sağlar. Güvenlik analistleri uyarıların önceliklerini etkili bir şekilde belirleyebilir, ihlal kapsamının tamamını görebilir ve tehditleri düzeltmek için yanıt eylemleri gerçekleştirebilir.

Cihazın düzgün şekilde eklendiğini ve hizmete bildirildiğini doğrulamak için bir EDR algılama testi çalıştırın. Yeni eklenen cihazda aşağıdaki adımları gerçekleştirin:

Windows

  1. Komut İstemi penceresi açma

  2. İstemde aşağıdaki komutu kopyalayıp çalıştırın. Komut İstemi penceresi otomatik olarak kapatılır.

powershell.exe -NoExit -ExecutionPolicy Bypass -WindowStyle Hidden $ErrorActionPreference= 'silentlycontinue';(New-Object System.Net.WebClient).DownloadFile('http://127.0.0.1/1.exe', 'C:\\test-WDATP-test\\invoice.exe');Start-Process 'C:\\test-WDATP-test\\invoice.exe'
  1. Başarılı olursa algılama testi tamamlandı olarak işaretlenir ve birkaç dakika içinde yeni bir uyarı görüntülenir.

Linux

  1. Betik dosyasını eklenen linux sunucusuna indirme
curl -o ~/Downloads/MDE Linux DIY.zip https://aka.ms/LinuxDIY
  1. Zip'i ayıklama
unzip ~/Downloads/MDE Linux DIY.zip
  1. Ve aşağıdaki komutu çalıştırın:
./mde_linux_edr_diy.sh

Birkaç dakika sonra, Microsoft Defender XDR içinde bir algılama tetiklenmelidir.

  1. Uyarı ayrıntılarına, makine zaman çizelgesine bakın ve tipik araştırma adımlarınızı gerçekleştirin.

macOS

  1. Tarayıcınızda, Mac için Microsoft Edge veya Safari'den https://aka.ms/mdatpmacosdiyMDATP MacOS DIY.zip indirin ve ayıklayın.

    Aşağıdaki istem görüntülenir:

    "mdatpclientanalyzer.blob.core.windows.net" üzerindeki indirmelere izin vermek istiyor musunuz?
    Web Siteleri Tercihleri'nde hangi web sitelerinin dosya indirebileceğini değiştirebilirsiniz.

  2. İzin Ver'e tıklayın.

  3. İndirmeler'i açın.

  4. MDATP MacOS DIY'yi görebilmeniz gerekir.

    İpucu

    MDATP MacOS DIY'ye çift tıklarsanız aşağıdaki iletiyi alırsınız:

    Geliştirici doğrulanamadığından "MDATP MacOS DIY" açılamıyor.
    macOS, bu uygulamanın kötü amaçlı yazılımdan arındırıldığını doğrulayamıyor.
    [Çöp Kutusuna Taşı][İptal]

  5. İptal'e tıklayın.

  6. MDATP MacOS DIY'ye sağ tıklayın ve ardından Aç'a tıklayın.

    Sistem aşağıdaki iletiyi görüntüler:

    macOS, MDATP MacOS DIY geliştiricisini doğrulayamıyor. Açmak istediğinizden emin misiniz?
    Bu uygulamayı açarak, bilgisayarınızı ve kişisel bilgilerinizi Mac'inize zarar verebilecek veya gizliliğinizi tehlikeye atabilecek kötü amaçlı yazılımlara maruz bırakabilecek sistem güvenliğini geçersiz kılacaksınız.

  7. 'ı tıklatın.

    Sistem aşağıdaki iletiyi görüntüler:

    Uç Nokta için Microsoft Defender - macOS EDR DIY test dosyası
    İlgili uyarı MDATP portalında kullanılabilir.

  8. 'ı tıklatın.

    Birkaç dakika içinde bir uyarı macOS EDR Test Uyarısı oluşturulur.

  9. Microsoft Defender portalına (https://security.microsoft.com/) gidin.

  10. Uyarı Kuyruğu'na gidin.

    Önem derecesini, kategoriyi, algılama kaynağını ve daraltılmış eylemler menüsünü gösteren macOS EDR test uyarılarını gösteren ekran görüntüsü

    macOS EDR test uyarısı önem derecesini, kategoriyi, algılama kaynağını ve daraltılmış eylemler menüsünü gösterir.

    Uyarı ayrıntılarına ve cihaz zaman çizelgesine bakın ve normal araştırma adımlarını gerçekleştirin.

Gerçekleştirmeyi düşünebileceğiniz sonraki adımlar, uygulama uyumluluğu veya performansı için gerektiğinde AV dışlamaları eklemektir:

Uç Nokta için Microsoft Defender Güvenlik İşlemleri Kılavuzu'nu okuyun.