Поделиться через

Тест обнаружения EDR для проверки служб подключения устройства и отчетов

  • Статья

Применимо к:

Требования к сценарию и настройка

  • Windows 11, Windows 10 версии 1709 сборки 16273 или более поздней, Windows 8.1 или Windows 7 с пакетом обновления 1 (SP1).
  • Windows Server 2022, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2 и Windows Server 2008 R2 с пакетом обновления 1 (SP1).
  • Linux
  • macOS
  • Microsoft Defender для конечной точки
  • Microsoft Defender для конечной точки в Linux

Обнаружение конечных точек и реагирование на них для конечной точки обеспечивают расширенные обнаружения атак, которые доступны практически в режиме реального времени и доступны для действий. Аналитики систем безопасности могут эффективно определять приоритеты предупреждений, получать полную картину всех возможных брешей в системе безопасности, а также предпринимать действия по реагированию для устранения угроз.

Запустите тест обнаружения EDR, чтобы убедиться, что устройство правильно подключено и сообщает службе. На недавно подключенном устройстве выполните следующие действия.

Windows

  1. Открытие окна командной строки

  2. В командной строке скопируйте и выполните следующую команду. Окно командной строки закрывается автоматически.

    powershell.exe -NoExit -ExecutionPolicy Bypass -WindowStyle Hidden $ErrorActionPreference= 'silentlycontinue';(New-Object System.Net.WebClient).DownloadFile('http://127.0.0.1/1.exe', 'C:\\test-WDATP-test\\invoice.exe');Start-Process 'C:\\test-WDATP-test\\invoice.exe'

  3. В случае успешного выполнения тест обнаружения помечается как завершенный, и в течение нескольких минут появится новое оповещение.

Linux

  1. Скачивание файла скрипта на подключенный сервер Linux
curl -o ~/Downloads/MDE-Linux-EDR-DIY.zip -L https://aka.ms/MDE-Linux-EDR-DIY
  1. Извлечение ZIP-файла
unzip ~/Downloads/MDE-Linux-EDR-DIY.zip
  1. И выполните следующую команду, чтобы предоставить исполняемому файлу скрипта разрешение:
chmod +x ./mde_linux_edr_diy.sh
  1. Выполните следующую команду, чтобы выполнить скрипт:
 ./mde_linux_edr_diy.sh
  1. Через несколько минут обнаружение должно быть поднято в Microsoft Defender XDR. Просмотрите сведения об оповещении, временная шкала компьютера и выполните типичные действия по расследованию.

macOS

  1. В браузере Microsoft Edge для Mac или Safari скачайте MDATP MacOS DIY.zip из https://aka.ms/mdatpmacosdiy и извлеките его.

    Появится следующий запрос:

    Вы хотите разрешить скачивание в mdatpclientanalyzer.blob.core.windows.net?
    Вы можете изменить, какие веб-сайты могут скачивать файлы, в разделе Параметры веб-сайтов.

  2. Нажмите кнопку Разрешить.

  3. Откройте файлы для скачивания.

  4. Вы должны иметь возможность видеть MDATP MacOS DIY.

    Совет

    Если дважды щелкнуть MDATP MacOS DIY, появится следующее сообщение:

    Не удается открыть MDATP MacOS DIY, так как разработчик не может быть проверятелем.
    MacOS не может проверить, не поддерживает ли это приложение вредоносные программы.
    [Переместить в корзину][Отмена]

  5. Нажмите кнопку Отмена.

  6. Щелкните правой кнопкой мыши MDATP MacOS DIY и выберите команду Открыть.

    Система отображает следующее сообщение:

    MacOS не может проверить разработчика MDATP MacOS DIY. Вы действительно хотите открыть его?
    Открыв это приложение, вы будете переопределять системную безопасность, которая может предоставить компьютер и личную информацию вредоносным программам, которые могут нанести вред вашему Mac или нарушить вашу конфиденциальность.

  7. Нажмите кнопку Open (Открыть).

    Система отобразит следующее сообщение:

    Microsoft Defender для конечной точки — файл теста EDR DIY для macOS
    Соответствующее оповещение будет доступно на портале MDATP.

  8. Нажмите кнопку Open (Открыть).

    Через несколько минут создается оповещение о тесте macOS EDR .

  9. Перейдите на портал Microsoft Defender (https://security.microsoft.com/).

  10. Перейдите в очередь оповещений .

    Снимок экрана: тестовое оповещение EDR macOS, показывающее серьезность, категорию, источник обнаружения и свернутое меню действий

    В тестовом оповещении EDR macOS отображаются серьезность, категория, источник обнаружения и свернутое меню действий.

    Просмотрите сведения об оповещении и временная шкала устройства и выполните регулярные действия по изучению.

Дальнейшие действия

Если у вас возникли проблемы с совместимостью или производительностью приложений, вы можете добавить исключения. Дополнительные сведения см. в следующих статьях:

Кроме того, см. руководство по операциям с безопасностью Microsoft Defender для конечной точки.