Test di rilevamento EDR per verificare l'onboarding e i servizi di report del dispositivo

Si applica a:

• Microsoft Defender per endpoint Piano 2
• Microsoft Defender for Business

Requisiti e configurazione dello scenario

• Windows 11, Windows 10 versione 1709 build 16273 o successiva, Windows 8.1 o Windows 7 SP1.
• Windows Server 2022, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2 e Windows Server 2008 R2 SP1.
• Linux
• macOS
• Microsoft Defender per endpoint
• Microsoft Defender per endpoint su Linux

Il rilevamento e la risposta degli endpoint forniscono rilevamenti di attacchi avanzati quasi in tempo reale e interattivi. I responsabili della sicurezza possono assegnare priorità agli avvisi in modo efficace, ottenere una visibilità completa su una violazione e adottare azioni di risposta per correggere le minacce.

Eseguire un test di rilevamento EDR per verificare che il dispositivo sia stato caricato correttamente e segnalare al servizio. Seguire questa procedura nel nuovo dispositivo di cui è stato eseguito l'onboarding:

Windows

1. Aprire una finestra del prompt dei comandi

2. Al prompt copiare ed eseguire il comando seguente. La finestra del prompt dei comandi viene chiusa automaticamente.

   powershell.exe -NoExit -ExecutionPolicy Bypass -WindowStyle Hidden $ErrorActionPreference= 'silentlycontinue';(New-Object System.Net.WebClient).DownloadFile('http://127.0.0.1/1.exe', 'C:\\test-WDATP-test\\invoice.exe');Start-Process 'C:\\test-WDATP-test\\invoice.exe'
   

3. In caso di esito positivo, il test di rilevamento viene contrassegnato come completato e viene visualizzato un nuovo avviso entro pochi minuti.

Linux

1. Scaricare il file script in un server Linux di cui è stato eseguito l'onboarding

curl -o ~/Downloads/MDE-Linux-EDR-DIY.zip -L https://aka.ms/MDE-Linux-EDR-DIY

2. Estrarre la zip

unzip ~/Downloads/MDE-Linux-EDR-DIY.zip

3. Eseguire il comando seguente per concedere all'eseguibile dello script l'autorizzazione:

chmod +x ./mde_linux_edr_diy.sh

4. Eseguire il comando seguente per eseguire lo script:

 ./mde_linux_edr_diy.sh

5. Dopo alcuni minuti, un rilevamento deve essere generato in Microsoft Defender XDR. Esaminare i dettagli dell'avviso, la sequenza temporale del computer ed eseguire i passaggi di indagine tipici.

macOS

1. Nel browser, Microsoft Edge per Mac o Safari, scaricare MDATP MacOS DIY.zip da https://aka.ms/mdatpmacosdiy ed estrarre.

   Viene visualizzato il prompt seguente:

   Consentire i download in "mdatpclientanalyzer.blob.core.windows.net"?
   È possibile modificare i siti Web che possono scaricare i file in Preferenze dei siti Web.

2. Fare clic su Consenti.

3. Aprire Download.

4. È necessario essere in grado di visualizzare MDATP MacOS DIY.

   Consiglio

   Se si fa doppio clic su MDATP MacOS DIY, verrà visualizzato il messaggio seguente:

   Impossibile aprire "MDATP MacOS DIY" perché lo sviluppatore non può essere verificato.
   macOS non può verificare che questa app sia priva di malware.
   [Sposta nel cestino][Annulla]

5. Fare clic su Annulla.

6. Fare clic con il pulsante destro del mouse su MDATP MacOS DIY e quindi scegliere Apri.

   Il sistema visualizza il messaggio seguente:

   macOS non può verificare lo sviluppatore di MDATP MacOS DIY. Vuoi aprirlo?
   Aprendo questa app, si sarà ignorare la sicurezza del sistema che può esporre il computer e le informazioni personali a malware che possono danneggiare il vostro Mac o compromettere la privacy.

7. Fare clic su Apri.

   Il sistema visualizzerà il messaggio seguente:

   Microsoft Defender per endpoint - file di test di macOS EDR DIY
   L'avviso corrispondente sarà disponibile nel portale MDATP.

8. Fare clic su Apri.

   In pochi minuti viene generato un avviso per il test macOS EDR .

9. Passare al portale di Microsoft Defender (https://security.microsoft.com/).

10. Passare alla coda degli avvisi .

    

    L'avviso di test di macOS EDR mostra gravità, categoria, origine di rilevamento e un menu compresso di azioni.

    Esaminare i dettagli dell'avviso e la sequenza temporale del dispositivo ed eseguire i normali passaggi di indagine.

Passaggi successivi

Se si verificano problemi di compatibilità o prestazioni dell'applicazione, è possibile aggiungere esclusioni. Per altre informazioni, vedere gli articoli seguenti:

• Configurare e convalidare le esclusioni per Microsoft Defender per endpoint in macOS
• Indirizzare i falsi positivi/negativi in Microsoft Defender per Endpoint
• Gestire le regole di eliminazione
• Creare indicatori di compromissione (IoC)
• Creare e gestire regole di rilevamento personalizzate

Vedere anche Microsoft Defender per endpoint Security Operations Guide( Guida alle operazioni di sicurezza Microsoft Defender per endpoint).