本帖最后由 隔山打空气 于 2021-12-4 14:37 编辑
早就听说微软家的MDE服务是业界龙头老大,那么百闻不如一见,先体验一番试试看。不过在开始之前,请容许我说几件事。
这个授权试用可不好搞...我很早就对这个服务有想法,但是从官网的体验表单填写来获取资格需要微软的审核,没什么企业背景还会被驳回(伪造的可8行!我试过了)。总之就是几乎堵上了个人白嫖的路。但是白嫖是无止境的!我终于找到了白嫖MDE的方法(在此感谢我们的两位开发者朋友提供的E5开发者账号)
0-1.个人试(白)用(嫖)方法(可以获取90+30天授权!)
首先呢,你需要一个①企业组织+全局管理员账号。具体获取方法我就不再赘述了,去微软开发人员计划找一找即可。也许教育版(A5)也可以,但我没试过,对于绝大多数人也不太可能搞到这么高级别的教育版本。不过如果你真的是教育企业管理者那肯定除外。(不过话说回来真正的企业管理员真的有这么多时间登卡饭嘛?XD)
咳咳,扯远了。接下来,②登陆admin.microsoft.com
若你是全局管理员,那么你应该可以③在 账单——购买服务 中找到Microsoft Defender for Endpoint Plan2(Trial)服务。 (只是个示范,我这里出了点小问题找不到MDE服务了,而且我也“买”过了)
买它!反正不要钱!也不需要绑定信用卡的说! 接下来,确定,结账走流程,如果顺利的话,你的组织应该已经拥有了这些服务的许可证。在④账单——许可证中找到并分配它们。 (把你想要的用户都添加上WD高级威胁防护的许可证,不要忘了哦,一共有25个许可证,欸嘿~) 【备注】至此,你已经拥有了MDE服务的90天访问权限。如果你想要更久,请绑定信用卡,然后选择延期,当然,只能延期30天哟~
那么...让我们正式开始... 等等!还有一件事!(发出老爹的声音) 我们还没有部署MDE服务呢! 那么,先把准备工作做完再说吧—— 0-2.部署MDE服务至终端,并确保它正常工作 ①登陆微软安全与合规中心security.microsoft.com②在左侧页面向下滚动,找到并选择 设置——终结点——在“Endpoints”的偏左侧那一堆几乎没汉化的页面向下滚动,找到“Onboarding”并点击它。
③偏右侧页面向下略微滚动,找到并下载一个批处理文件,这个文件适合小规模部署MDE服务。(0-10台)
④使用管理员身份运行它。等待部署完成,如果英语提示服务无法启动...呃,请找客服或者自行必应。另外我们强烈不建议在Windows11尤其是预览版上使用,因为这极有可能导致某些无法预知的错误,MDE也可能无法完全控制与保护此设备。
⑤下载并运行一个测试文件,这一步并非必需,但最好做一下。让我们请出我们的老朋友——CMD(其实从下面的代码看,还是会启动Powershell),将以下代码复制并回车运行。这在那个页面上也是有的,我把它贴出来。
powershell.exe -NoExit -ExecutionPolicy Bypass -WindowStyle Hidden $ErrorActionPreference= 'silentlycontinue';(New-Object System.Net.WebClient).DownloadFile('http://127.0.0.1/1.exe', 'C:\\test-WDATP-test\\invoice.exe');Start-Process 'C:\\test-WDATP-test\\invoice.exe'
如果MDE服务正常运行,你将很快在安全与合规——事件和警报——警报收到一个信息性级别的警告,一时间没来的话别急,等个几分钟就好。
至此,MDE服务已经成功部署到你的电脑上。如果你打开任务管理器,你会看到一个叫做Windows Defender 高级威胁防护服务可执行文件的东西已经在后台运行着。
 那么,让我们开始吧!
Ⅰ,探索Microsoft 365 Defender中心(即安全与合规),我们以后的绝大多数工作都要以它为中心展开。这是一个类似于云控台和功能汇总的东西。
初步了解它与它的功能。在左侧滑动查看各项功能。我在此也稍加介绍一下,具体的可以看微软的帮助文档Microsoft Defender for Endpoint 文档 | Microsoft Docs来逐个了解。先发个截图让各位看一看。
接下来我来说明几个比较常用的大功能。
一,事件和警报。(这里是我们的最常用区域之一,显示了搭载MDE的设备上发生和曾发生的可疑活动与事件。)
事件——这是一大包一大包较为严重事件的整合,通常非常精简,还有恶意软件、攻击组织TAG和折线图来辅助安全员分析。点击这里的任何一个事件可以进入更加详细的报告界面,其中有受影响设备,ATT&CK技战术矩阵和更多信息,这些我们放在后面说。
警报——这里是一小包一小包事件的整合,相比于事件来说有更加详细的缩略报告。点击任意事件直接进入详细时间线,这里记录了大量的终端上的详细活动(如启动进程,安装驱动,写入注册表,调用命令行,线程注入等),有助于我们理清攻击者和还原攻击链路。
同时,MDE服务的自动调查与响应(AIR)技术将自动帮助我们终止终端上的恶意行为并彻底清除恶意软件残留,深度分析与报告攻击行动。此功能我们后面会提到。
二,搜寻(EDR手动调查功能,任何EDR服务都不能少的手动调查能力,可我不会用...这比隔壁某B的企业版难用多了)
高级搜寻——手动调查,用相应语法从大量EDR元数据中寻找你想要的关键数据,它也有入门引导和语法帮助。
自定义检测规则——呃,我真不知怎么用,打开全是个空白报告,没法讲了...抱歉。从隔壁某B的EDR来看应该是指定检测目标进程,服务,注册表,文件等。但需要专业人员来设置,否则会产生巨量警报。MDE也可以从事件界面进行设置抑制规则,烦请各位自行探索吧!
三,设备库存。(没什么好讲的,各位一看就懂,就是一仓库带有MDE的设备的总览界面。)
点击任意设备进入详细界面。
(这是我朋友的电脑,请别误解了,他网名真的不叫小圆XD)
这里可以手动对单一设备执行多种高级操作(请点击...来查看更多),如重启动,启动反病毒扫描,自动调查与响应(AIR),远程命令行连接,隔离主机(远程断网术!)等,并可以总览此设备的安全事件和评估安全状态。
下面是远程命令行界面,可以实施专业的应急响应操作,请不要滥用。如果连接成功,左上角为蓝色,否则等待连接为黄色。点击那个方格一样的东西停止远程响应,命令行为静默执行,一般不会打扰远程用户。
对了,如果有AIR正在执行的时候是不能进行远程命令行连接的说~
四,漏洞管理。(与隔壁某B企业版的自动漏洞修复不同,它似乎不能自动执行有限的修复,只能催安全团队快点响应,不过它的0-day漏洞情报比较灵敏。)
其他子功能暂不介绍了,我们先介绍一个比较好用的
弱点——这里显示着组织所有设备的漏洞状态,并可以点击任何一个漏洞信息,关联查看相应的漏洞情报,修正建议与相关的攻击活动。
左侧靶标图形若为红色,则代表组织已遭此漏洞攻击,右侧虫虫图标若为红色,则证明此漏洞已经被证实可利用或捕获到在野漏洞攻击。
Ⅱ,MDE服务提供的其他高级服务简介(不完整)
自动调查与响应(AIR)技术:当您的设备上检测到可疑活动或威胁时,AIR将自行启动,来彻底终止与清理每一个终端上的恶意软件和高级攻击活动。您也可以手动启动自动调查,清毒很省事的。
模拟高级攻击响应效果如图
遭遇“真实”威胁时响应效果如图(我们那位朋友用KMS时发现这个工具跟微软的勒索病毒特征码撞车了,太草了hhh)
深度文件分析(沙盒)
这个沙盒所需的时间比其他云沙盒都要长,大约十五分钟(那个三小时什么鬼)。而且入口也藏得挺深...此技术会联动AIR,自动提交可疑文件进行分析。也可以在警报页面手动发送文件。当然,最后的报告也要在那个页面上看...总之就是不太方便。
选择这里!不要点错啦~是上面的EXE的...,不是下面那个事件的警报的...,可展开,选择“提交到深度分析”可进入那个界面。(只有DLL和EXE可以提交,非PE文件无法提交)
我这里是提交过的状态,所有相关报告已经在这里了。点击“Resubmit”即可重新提交文件进行分析。
下面是新文件提交前的状态。点击“Submit”即可提交文件进行分析,耐心等待。
写在最后:这只是个初步体验的指南,许多设置并未提及,额外的需要各位自行探索(如云端控制WD策略等),平心而论,MDE的上手简易度与控制台颜值确实远远不如Bitdefender-Gravityzone...希望微软赶快把汉化做完吧,这里还补充一个管理网站——MDM控制台Microsoft Endpoint Manager 管理中心,来控制WD,这个需要将终端连接到工作账号才能进行控制。
也祝卡饭论坛越做越好!
| 
[复制链接]
发表于 2021-12-3 11:12:07
楼主