使用 Microsoft Defender for Endpoint 的渗透测试和漏洞和攻击模拟方案指南
本文介绍在渗透测试 (笔测试) 或使用 BAS) 工具 (漏洞和攻击模拟期间可能出现的常见挑战和潜在错误配置。 本文还介绍如何提交潜在的假阴性以供调查。
笔测试期间的常见挑战
测试环境的当前配置,这可能不是Microsoft Defender for Endpoint或Microsoft Defender防病毒的最佳配置。
有关启用 云保护的担忧,因为它可能会在找不到元数据时继续进行云保护引爆。 有关Microsoft Defender防病毒和云保护的详细信息,请参阅混合检测和保护。
注意
如果要下载多个有效负载,并注意到Microsoft Defender防病毒无法修正某些有效负载,请记住,所发生的情况可能不是真阳性,并且非Microsoft供应商可能显示误报。 请参阅本文) 中 如何提交可能的假阴性调查 (。
笔测试期间Microsoft Defender防病毒的常见错误配置
渗透测试人员在执行攻击时通常会禁用Microsoft Defender防病毒的功能。 在执行此作之前,请确认已配置以下设置:
在块模式下启用篡改防护。
Microsoft Defender防病毒作为主要防病毒运行,而不是处于被动模式。 如果使用非Microsoft防病毒,我们建议在笔测试期间卸载它。
平台更新、引擎更新和/或安全智能更新 是最新的。
已启用实时保护。
已启用行为监视 。
在复制有效负载后,将 防病毒排除 项添加到有效负载所在的位置。 将有效负载复制到设备后,请删除防病毒排除项,以便Microsoft Defender防病毒可以在笔测试期间阻止检测。
请确保你的 BAS 工具(例如 AttackIQ、Cymulate、SafeBreach 等)没有防病毒排除项。
已启用云提供的保护。
已启用云保护示例提交。
云保护网络连接 正常工作。
启用对可能不需要的应用 (PUA) 的保护。
攻击面减少规则 (ASR 规则) 设置为阻止模式。
网络保护 设置为阻止模式。
受控文件夹访问 (CFA) 设置为阻止模式。
请务必正确设置。 若要解决错误配置问题,请使用以下文章:
| 操作系统 | 管理工具 | 文章 |
|---|---|---|
| Windows | Microsoft Defender for Endpoint安全设置管理 (推荐) |
使用 Microsoft Defender Endpoint Security Settings Management (Endpoint security policies) 评估Microsoft Defender防病毒 |
| Windows | 组策略 | 使用 组策略 评估Microsoft Defender防病毒 |
| Windows | PowerShell | 使用 PowerShell 评估Microsoft Defender防病毒 |
| Mac | Microsoft Defender for Endpoint安全设置管理、Intune、Jamf 或其他工具 | 设置 macOS 上 Microsoft Defender for Endpoint 的首选项 |
| Linux | Microsoft Defender for Endpoint安全设置管理或其他工具。 | 设置 Linux 上 Microsoft Defender for Endpoint 的首选项 |
如何提交可能的假阴性以供调查
步骤 1:收集Microsoft Defender for Endpoint诊断日志
使用MDE客户端分析器日志
| 操作系统 | 需执行的操作 |
|---|---|
| Windows | 可以使用实时响应或本地收集诊断日志。 |
| Mac | 可以在 本地收集。 |
| Linux | 可以使用 实时响应 或 本地进行收集。 |
Microsoft Defender防病毒诊断数据 (MpSupport.cab)
| 操作系统 | 需执行的操作 |
|---|---|
| Windows | 1. 在设备上,以管理员身份打开命令提示符。 2. 运行以下命令: MpCmdRun.exe -getfiles。 还可以在 Microsoft Defender 门户中收集调查包。 |
| Mac | 1.在设备上,打开终端 (shell 会话) 。 2.运行以下命令: mdatp log level set--level debug。 3.运行以下命令: sudo mdatp diagnostic create。 有关详细信息,请参阅 Mac 上的Microsoft Defender for Endpoint资源。 |
| Linux | 1.在设备上,打开终端 (shell 会话) 。 2.运行以下命令: mdatp log level set--level debug。 sudo mdatp diagnostic create. 有关详细信息,请参阅 Linux 资源上的Microsoft Defender for Endpoint。 |
步骤 2:收集信息
确保已准备好以下信息
Microsoft Defender OrgID。 在Microsoft Defender门户中,转到“设置Microsoft Defender XDR>>帐户>组织 ID”。
设备 ID。 在Microsoft Defender门户中,打开设备页。
二进制名称。
以格式完成
HH:MM:SS UTC测试时的开始和结束时间。如果可以提供重现问题的步骤以及有效负载的示例,这将非常有益。
步骤 3:尽快将数据提交到Microsoft
尽快向Microsoft报告至关重要。 高级搜寻遥测数据会绕行并在 30 天后覆盖自身。 可以使用Microsoft Defender安全智能 (MDSI) 门户或Microsoft Defender门户提交文件。
| 门户 | 说明 |
|---|---|
| MDSI 门户 | MDSI 门户是 Microsoft Defender 安全智能提供的服务。 它允许用户提交文件进行恶意软件分析。 Microsoft Defender安全研究人员分析这些文件,以确定这些文件是威胁、不需要的应用程序还是普通文件。 该门户用于向Microsoft Defender研究报告检测问题、提交文件进行分析以及跟踪提交结果。 |
| Microsoft Defender 门户 | 如果你有Microsoft Defender XDR订阅,或者订阅包含 Defender for Endpoint 计划 2,则可以使用Microsoft Defender门户中的“提交”页。 |
使用 MDSI 门户或 Microsoft Defender 门户提交在步骤 1-2 期间收集的数据。
- MDSI 门户:转到 MDSI 门户,然后选择“ 提交文件”。 按照页面上的指南进行作。
- Microsoft Defender门户:请参阅使用管理员提交在 Microsoft Defender for Endpoint 中提交文件。
上传文件后,请记下
Submission ID示例提交 (例如7c6c214b-17d4-4703-860b-7f1e9da03f7f) 。等待更新。 Microsoft收到样本后,将调查文件并做出确定。 如果Microsoft确定示例文件是恶意文件,我们将采取纠正措施,以防止恶意软件未被检测到。
如有疑问, 请联系支持人员。