通过模拟攻击体验Microsoft Defender for Endpoint

重要

Microsoft Defender for Endpoint评估实验室已于 2024 年 1 月弃用。

适用于：

• Microsoft Defender for Endpoint 计划 2
• Microsoft Defender XDR

希望体验 Defender for Endpoint？ 注册免费试用版。

提示

• 了解Microsoft Defender for Endpoint的最新增强功能：Defender for Endpoint 中的新增功能？。
• Defender for Endpoint 在最近的 MITRE 评估中展示了行业领先的光学和检测功能。 阅读：来自基于 MITRE ATT&CK 的评估的见解。

在将多个设备加入服务之前，你可能想要体验 Defender for Endpoint。 为此，可以在几个测试设备上运行受控攻击模拟。 运行模拟攻击后，可以查看 Defender for Endpoint 如何显示恶意活动，并探索它如何实现有效响应。

开始之前

若要运行提供的任何模拟，至少需要 一个已载入的设备。

阅读每个攻击方案随附的演练文档。 每个文档都包含 OS 和应用程序要求，以及特定于攻击方案的详细说明。

运行模拟

1. 在 终结点>评估 & 教程>& 模拟教程中，选择要模拟的可用攻击方案：

   • 方案 1：文档删除后门 - 模拟社交工程引诱文档的交付。 文档启动一个特制后门，使攻击者能够控制。
   • 方案 2：无文件攻击中的 PowerShell 脚本 - 模拟依赖于 PowerShell 的无文件攻击，展示攻击面减少和设备对恶意内存活动的学习检测。
   • 方案 3：自动事件响应 - 触发自动调查，自动搜寻和修正违规项目，以扩展事件响应容量。

2. 下载并阅读所选方案随附的相应演练文档。

3. 通过导航到“评估 & 教程 &模拟”教程>，下载模拟文件或复制模拟脚本。 可以选择在测试设备上下载文件或脚本，但这不是必需的。

4. 按照演练文档中的指示，在测试设备上运行模拟文件或脚本。

注意

模拟文件或脚本模拟攻击活动，但实际上是良性的，不会损害或破坏测试设备。

还可以使用 EICAR 测试文件或 EICAR 测试文本字符串来执行一些测试。 可以测试实时保护功能， (创建文本文件、粘贴 EICAR 文本，并将该文件另存为可执行文件到终结点的本地驱动器—你将在测试终结点上收到通知，并在MDE控制台中收到警报，) 或 EDR 保护 (需要暂时禁用测试终结点上的实时保护并保存 EICAR 测试文件， 然后尝试执行、复制或移动此文件) 。 运行测试后，在测试终结点上启用实时保护。

希望体验 Defender for Endpoint？ 注册免费试用版。

相关主题

• 载入设备
• 载入 Windows 设备

提示

想要了解更多信息？ Engage技术社区中的 Microsoft 安全社区：Microsoft Defender for Endpoint技术社区。