Partilhar via

Teste de deteção EDR para verificar os serviços de inclusão e relatórios do dispositivo

  • Aplica-se a: Microsoft Defender for Endpoint Plan 2, Microsoft Defender for Business

Pré-requisitos

  • Os dispositivos cliente Windows têm de estar a executar Windows 11, Windows 10 versão 1709, compilação 16273 ou mais recente, Windows 8.1 ou Windows 7 SP1.
  • Os dispositivos windows server têm de estar a executar Windows Server 2008 R2 SP1, Windows Server 2012 R2 e posterior, ou SO do Azure Stack HCI, versão 23H2 e posterior.
  • Os servidores Linux têm de estar a executar uma versão suportada (veja Pré-requisitos para Microsoft Defender para Endpoint no Linux)
  • Os dispositivos têm de ser integrados no Defender para Endpoint

A deteção e resposta de pontos finais para o Ponto Final fornecem deteções de ataques avançadas quase em tempo real e acionáveis. Os analistas de segurança podem priorizar alertas de forma eficaz, obter visibilidade sobre o âmbito completo de uma falha de segurança e tomar medidas de resposta para remediar ameaças. Pode executar um teste de deteção EDR para verificar se o dispositivo está corretamente integrado e a reportar ao serviço. Este artigo descreve como executar um teste de deteção EDR num dispositivo recentemente integrado.

Windows

  1. Abra uma janela da Linha de Comandos.

  2. Na linha de comandos, copie e execute o seguinte comando. A janela da Linha de Comandos é fechada automaticamente.

    powershell.exe -NoExit -ExecutionPolicy Bypass -WindowStyle Hidden $ErrorActionPreference= 'silentlycontinue';(New-Object System.Net.WebClient).DownloadFile('http://127.0.0.1/1.exe', 'C:\\test-WDATP-test\\invoice.exe');Start-Process 'C:\\test-WDATP-test\\invoice.exe'

  3. Se for bem-sucedido, o teste de deteção será marcado como concluído e será apresentado um novo alerta dentro de alguns minutos.

Linux

  1. Transfira o ficheiro de script para um servidor Linux integrado.

    curl -o ~/Downloads/MDE-Linux-EDR-DIY.zip -L https://aka.ms/MDE-Linux-EDR-DIY

  2. Extraia a pasta zipada.

    unzip ~/Downloads/MDE-Linux-EDR-DIY.zip

  3. Execute o seguinte comando para conceder ao script permissão executável:

    chmod +x ./mde_linux_edr_diy.sh

  4. Execute o seguinte comando para executar o script:

    ./mde_linux_edr_diy.sh

    Após alguns minutos, deve ser criada uma deteção no portal Microsoft Defender. Observe os detalhes do alerta, a linha cronológica do computador e execute os passos típicos de investigação.

macOS

  1. No seu browser, Microsoft Edge para Mac ou Safari, transfira o macOS MDATP DIY.zip e https://aka.ms/mdatpmacosdiy extraia a pasta zipada.

    É apresentado o seguinte pedido:

    Pretende permitir transferências em "mdatpclientanalyzer.blob.core.windows.net"?
    Pode alterar os sites que podem transferir ficheiros nas Preferências de Sites.

  2. Selecione Permitir.

  3. Abra Transferências.

  4. Tem de conseguir ver o MDATP MacOS DIY.

    Sugestão

    Se fizer duplo clique em MDATP MacOS DIY, receberá a seguinte mensagem:

    Não é possível abrir o "MDATP MacOS DIY" porque o programador não pode ser verificado.
    O macOS não consegue verificar se esta aplicação está livre de software maligno.
    [Mover para o Lixo][Concluído]

  5. Clique em Concluído.

  6. Clique com o botão direito do rato em MDATP MacOS DIY e, em seguida, clique em Abrir.

    O sistema apresenta a seguinte mensagem:

    O macOS não consegue verificar o programador do MDATP MacOS DIY. Tem a certeza de que pretende abri-lo?
    Ao abrir esta aplicação, irá substituir a segurança do sistema que pode expor o seu computador e informações pessoais a software maligno que pode prejudicar o seu Mac ou comprometer a sua privacidade.

  7. Clique em Abrir.

    O sistema apresenta a seguinte mensagem:

    Microsoft Defender para Endpoint - ficheiro de teste macOS EDR DIY
    O alerta correspondente estará disponível no portal MDATP.

  8. Clique em Abrir.

    Em poucos minutos, é gerado um alerta de Alerta de Teste EDR do macOS .

  9. Aceda a Microsoft Defender portal (https://security.microsoft.com/).

  10. Aceda à Fila de Alertas .

    Captura de ecrã que mostra um alerta de teste EDR do macOS que mostra gravidade, categoria, origem de deteção e um menu fechado de ações

    O alerta de teste EDR do macOS mostra gravidade, categoria, origem de deteção e um menu fechado de ações. Observe os detalhes do alerta e a linha cronológica do dispositivo e execute os passos de investigação regulares.

Passos seguintes

Se estiver a ter problemas com a compatibilidade ou o desempenho da aplicação, poderá considerar adicionar exclusões. Veja os seguintes artigos para obter mais informações:

Além disso, veja o Guia de Operações de Segurança do Microsoft Defender para Endpoint.

  • Last updated on