本文說明在滲透測試期間, (手寫筆測試) 或使用入侵和攻擊模擬 (BAS) 工具時,可能會發生的常見挑戰和潛在錯誤設定。 本文也說明如何提交潛在的誤判以供調查。
手寫筆測試期間的常見挑戰
測試環境目前的設定,這可能不是 適用於端點的 Microsoft Defender 或 Microsoft Defender 防病毒軟體的最佳設定。
對啟用 雲端保護的疑慮,因為如果找不到元數據,可能會繼續進行雲端保護防護。 如需 Microsoft Defender 防病毒軟體和雲端保護的詳細資訊,請參閱混合式偵測和保護。
注意事項
如果您正在下載多部承載,並注意到 Microsoft Defender 防病毒軟體不會修復部分承載,請記住,發生的情況可能不是真肯定,而非Microsoft廠商可能會顯示誤判。 請參閱本文中的 如何提交可能的誤判,以供調查 () 。
手寫筆測試期間 Microsoft Defender 防病毒軟體的常見錯誤設定
滲透測試人員通常會在執行其攻擊時停用 Microsoft Defender 防病毒軟體的功能。 這麼做之前,請確認已設定下列設定:
在封鎖模式中啟用竄改保護。
Microsoft Defender 防病毒軟體執行為主要防病毒軟體,而不是被動模式。 如果您使用非Microsoft防病毒軟體,建議您在手寫筆測試期間將它卸載。
平臺更新、引擎更新和/或安全性情報更新 是最新的。
已啟用即時保護。
已啟用行為監視。
在複製承載之後,將 防病毒軟體排除 專案新增至裝載所在的位置。 將承載複製到裝置之後,請移除防病毒軟體排除專案,讓 Microsoft Defender 防病毒軟體可以在手寫筆測試期間封鎖偵測。
請確定您的 BAS 工具沒有防病毒軟體排除專案,例如 AttackIQ、Cymulate、SafeBreach 等等。
已啟用雲端式保護。
已啟用雲端保護範例提交。
雲端保護網路連線 正在運作。
啟用PUA) (防止潛在的垃圾應用程式。
ASR 規則 (受攻擊面縮小規則) 設定為封鎖模式。
網路保護 設定為封鎖模式。
受控資料夾存取 (CFA) 設定為封鎖模式。
請務必正確設定。 若要解決設定錯誤的問題,請使用下列文章:
| 作業系統 | 管理工具 | 文章 |
|---|---|---|
| Windows | 適用於端點的 Microsoft Defender 安全性設定管理 (建議) |
使用 Microsoft Defender 端點安全性設定管理 (端點安全策略來評估 Microsoft Defender 防病毒軟體) |
| Windows | 群組原則 | 使用 群組原則評估 Microsoft Defender 防病毒軟體 |
| Windows | PowerShell | 使用 PowerShell 評估 Microsoft Defender 防病毒軟體 |
| Mac | 適用於端點的 Microsoft Defender 安全性設定管理或 Intune 或 Jamf 或其他工具 | 設定 macOS 上適用於端點的 Microsoft Defender 的喜好設定 |
| Linux | 適用於端點的 Microsoft Defender 安全性設定管理或其他工具。 | 為 Linux 上適用於端點的 Microsoft Defender 設定喜好設定 |
如何提交可能的誤判以供調查
步驟 1:收集 適用於端點的 Microsoft Defender 診斷記錄
使用 MDE 用戶端分析器記錄
| 作業系統 | 處理方式 |
|---|---|
| Windows | 您可以使用即時回應或在本機收集診斷記錄。 |
| Mac | 您可以 在本機收集。 |
| Linux | 您可以使用 即時回應 或 在本機收集。 |
Microsoft Defender 防病毒軟體診斷數據 (MpSupport.cab)
| 作業系統 | 處理方式 |
|---|---|
| Windows | 1.在裝置上,以系統管理員身分開啟命令提示字元。 2.執行下列命令: MpCmdRun.exe -getfiles。 您也可以在 Microsoft Defender 入口網站中收集調查套件。 |
| Mac | 1.在裝置上,開啟終端機 (殼層會話) 。 2.執行下列命令: mdatp log level set--level debug。 3.執行下列命令: sudo mdatp diagnostic create。 如需詳細資訊,請參閱 Mac 上 適用於端點的 Microsoft Defender 的資源。 |
| Linux | 1.在裝置上,開啟終端機 (殼層會話) 。 2.執行下列命令: mdatp log level set--level debug。 sudo mdatp diagnostic create. 如需詳細資訊,請參閱 Linux 資源上的 適用於端點的 Microsoft Defender。 |
步驟 2:收集資訊
確定您已備妥下列資訊
Microsoft Defender OrgID。 在 Microsoft Defender 入口網站中,移至 [設定>Microsoft Defender 全面偵測回應>帳戶>組織標識符]。
裝置標識碼。 在 Microsoft Defender 入口網站中,開啟裝置頁面。
二進位名稱。
以格式完成
HH:MM:SS UTC測試時的開始和結束。如果您可以提供重現問題的步驟,以及承載範例,這會非常有説明。
步驟 3:儘快將數據提交至Microsoft
請務必儘快向Microsoft報告。 進階搜捕遙測數據會在 30 天后包裝並覆寫本身。 您可以使用 Microsoft Defender Security Intelligence (MDSI) 入口網站或 Microsoft Defender 入口網站來提交您的檔案。
| 入口網站 | 描述 |
|---|---|
| MDSI 入口網站 | MDSI 入口網站是 Microsoft Defender Security Intelligence 所提供的服務。 它可讓使用者提交檔案以進行惡意代碼分析。 Microsoft Defender 安全性研究人員分析這些檔案,以判斷它們是否為威脅、垃圾應用程式或一般檔案。 入口網站可用來報告偵測考慮,以 Microsoft Defender Research、提交檔案以進行分析,以及追蹤提交結果。 |
| Microsoft Defender 入口網站 | 如果您有 Microsoft Defender 全面偵測回應 的訂用帳戶,或訂用帳戶包含適用於端點的 Defender 方案 2,您可以使用 Microsoft Defender 入口網站中的 [提交] 頁面。 |
使用 MDSI 入口網站或 Microsoft Defender 入口網站,提交您在步驟 1-2 期間收集的數據。
- MDSI 入口網站:移至 MDSI 入口網站,然後選取 [ 提交檔案]。 請遵循頁面上的指引。
- Microsoft Defender 入口網站:請參閱使用系統管理員提交在 適用於端點的 Microsoft Defender 中提交檔案。
上傳檔案之後,請記下
Submission ID範例提交 (例如,7c6c214b-17d4-4703-860b-7f1e9da03f7f) 。等候更新。 在Microsoft收到範例之後,系統會調查檔案,並做出判斷。 如果Microsoft判斷範例檔案是惡意的,我們會採取更正動作來防止惡意代碼被偵測到。
如果您有任何問題,請 連絡支持人員。