通过模拟攻击体验Microsoft Defender for Endpoint
重要
Microsoft Defender for Endpoint评估实验室已于 2024 年 1 月弃用。
适用于:
希望体验 Defender for Endpoint? 注册免费试用版。
提示
- 了解Microsoft Defender for Endpoint的最新增强功能:Defender for Endpoint 中的新增功能?。
- Defender for Endpoint 在最近的 MITRE 评估中展示了行业领先的光学和检测功能。 阅读:来自基于 MITRE ATT&CK 的评估的见解。
在将多个设备加入服务之前,你可能想要体验 Defender for Endpoint。 为此,可以在几个测试设备上运行受控攻击模拟。 运行模拟攻击后,可以查看 Defender for Endpoint 如何显示恶意活动,并探索它如何实现有效响应。
开始之前
若要运行提供的任何模拟,至少需要 一个已载入的设备。
阅读每个攻击方案随附的演练文档。 每个文档都包含 OS 和应用程序要求,以及特定于攻击方案的详细说明。
运行模拟
在 终结点>评估 & 教程>& 模拟教程中,选择要模拟的可用攻击方案:
- 方案 1:文档删除后门 - 模拟社交工程引诱文档的交付。 文档启动一个特制后门,使攻击者能够控制。
- 方案 2:无文件攻击中的 PowerShell 脚本 - 模拟依赖于 PowerShell 的无文件攻击,展示攻击面减少和设备对恶意内存活动的学习检测。
- 方案 3:自动事件响应 - 触发自动调查,自动搜寻和修正违规项目,以扩展事件响应容量。
下载并阅读所选方案随附的相应演练文档。
通过导航到“评估 & 教程 &模拟”教程>,下载模拟文件或复制模拟脚本。 可以选择在测试设备上下载文件或脚本,但这不是必需的。
按照演练文档中的指示,在测试设备上运行模拟文件或脚本。
注意
模拟文件或脚本模拟攻击活动,但实际上是良性的,不会损害或破坏测试设备。
还可以使用 EICAR 测试文件或 EICAR 测试文本字符串来执行一些测试。 可以测试实时保护功能, (创建文本文件、粘贴 EICAR 文本,并将该文件另存为可执行文件到终结点的本地驱动器—你将在测试终结点上收到通知,并在MDE控制台中收到警报,) 或 EDR 保护 (需要暂时禁用测试终结点上的实时保护并保存 EICAR 测试文件, 然后尝试执行、复制或移动此文件) 。 运行测试后,在测试终结点上启用实时保护。
希望体验 Defender for Endpoint? 注册免费试用版。
相关主题
提示
想要了解更多信息? Engage技术社区中的 Microsoft 安全社区:Microsoft Defender for Endpoint技术社区。
反馈
https://aka.ms/ContentUserFeedback。
即将发布:在整个 2024 年,我们将逐步淘汰作为内容反馈机制的“GitHub 问题”,并将其取代为新的反馈系统。 有关详细信息,请参阅:提交和查看相关反馈