搜索
查看: 6166|回复: 19
收起左侧

[分享] Microsoft Defender for Endpoint Plan2(MDE)试用与体验,功能探索

  [复制链接]
隔山打空气
发表于 2021-12-3 11:12:07 | 显示全部楼层 |阅读模式
本帖最后由 隔山打空气 于 2021-12-4 14:37 编辑

早就听说微软家的MDE服务是业界龙头老大,那么百闻不如一见,先体验一番试试看。不过在开始之前,请容许我说几件事。
这个授权试用可不好搞...我很早就对这个服务有想法,但是从官网的体验表单填写来获取资格需要微软的审核,没什么企业背景还会被驳回(伪造的可8行!我试过了)。总之就是几乎堵上了个人白嫖的路。但是白嫖是无止境的!我终于找到了白嫖MDE的方法(在此感谢我们的两位开发者朋友提供的E5开发者账号)
0-1.个人试(白)用(嫖)方法(可以获取90+30天授权!)
首先呢,你需要一个①企业组织+全局管理员账号。具体获取方法我就不再赘述了,去微软开发人员计划找一找即可。也许教育版(A5)也可以,但我没试过,对于绝大多数人也不太可能搞到这么高级别的教育版本。不过如果你真的是教育企业管理者那肯定除外。(不过话说回来真正的企业管理员真的有这么多时间登卡饭嘛?XD)
咳咳,扯远了。接下来,②登陆admin.microsoft.com
若你是全局管理员,那么你应该可以③在 账单——购买服务 中找到Microsoft Defender for Endpoint Plan2(Trial)服务
(只是个示范,我这里出了点小问题找不到MDE服务了,而且我也“买”过了)
买它!反正不要钱!也不需要绑定信用卡的说!
接下来,确定,结账走流程,如果顺利的话,你的组织应该已经拥有了这些服务的许可证。在④账单——许可证中找到并分配它们
(把你想要的用户都添加上WD高级威胁防护的许可证,不要忘了哦,一共有25个许可证,欸嘿~)
【备注】至此,你已经拥有了MDE服务的90天访问权限。如果你想要更久,请绑定信用卡,然后选择延期,当然,只能延期30天哟~

那么...让我们正式开始...
等等!还有一件事!(发出老爹的声音)
我们还没有部署MDE服务呢!
那么,先把准备工作做完再说吧——
0-2.部署MDE服务至终端,并确保它正常工作
①登陆微软安全与合规中心security.microsoft.com②在左侧页面向下滚动,找到并选择 设置——终结点——在“Endpoints”的偏左侧那一堆几乎没汉化的页面向下滚动,找到“Onboarding”并点击它。

③偏右侧页面向下略微滚动,找到并下载一个批处理文件,这个文件适合小规模部署MDE服务。(0-10台)
④使用管理员身份运行它。等待部署完成,如果英语提示服务无法启动...呃,请找客服或者自行必应。另外我们强烈不建议在Windows11尤其是预览版上使用,因为这极有可能导致某些无法预知的错误,MDE也可能无法完全控制与保护此设备。
⑤下载并运行一个测试文件,这一步并非必需,但最好做一下。让我们请出我们的老朋友——CMD(其实从下面的代码看,还是会启动Powershell),将以下代码复制并回车运行。这在那个页面上也是有的,我把它贴出来。
powershell.exe -NoExit -ExecutionPolicy Bypass -WindowStyle Hidden $ErrorActionPreference= 'silentlycontinue';(New-Object System.Net.WebClient).DownloadFile('http://127.0.0.1/1.exe', 'C:\\test-WDATP-test\\invoice.exe');Start-Process 'C:\\test-WDATP-test\\invoice.exe'
如果MDE服务正常运行,你将很快在安全与合规——事件和警报——警报收到一个信息性级别的警告,一时间没来的话别急,等个几分钟就好。
至此,MDE服务已经成功部署到你的电脑上。如果你打开任务管理器,你会看到一个叫做Windows Defender 高级威胁防护服务可执行文件的东西已经在后台运行着。
那么,让我们开始吧!
Ⅰ,探索Microsoft 365 Defender中心(即安全与合规),我们以后的绝大多数工作都要以它为中心展开。这是一个类似于云控台和功能汇总的东西。
初步了解它与它的功能。在左侧滑动查看各项功能。我在此也稍加介绍一下,具体的可以看微软的帮助文档Microsoft Defender for Endpoint 文档 | Microsoft Docs来逐个了解。先发个截图让各位看一看。


接下来我来说明几个比较常用的大功能。
一,事件和警报。(这里是我们的最常用区域之一,显示了搭载MDE的设备上发生和曾发生的可疑活动与事件。)
事件——这是一大包一大包较为严重事件的整合,通常非常精简,还有恶意软件、攻击组织TAG和折线图来辅助安全员分析。点击这里的任何一个事件可以进入更加详细的报告界面,其中有受影响设备,ATT&CK技战术矩阵和更多信息,这些我们放在后面说。


警报——这里是一小包一小包事件的整合,相比于事件来说有更加详细的缩略报告。点击任意事件直接进入详细时间线,这里记录了大量的终端上的详细活动(如启动进程,安装驱动,写入注册表,调用命令行,线程注入等),有助于我们理清攻击者和还原攻击链路。

同时,MDE服务的自动调查与响应(AIR)技术将自动帮助我们终止终端上的恶意行为并彻底清除恶意软件残留,深度分析与报告攻击行动。此功能我们后面会提到。
二,搜寻(EDR手动调查功能,任何EDR服务都不能少的手动调查能力,可我不会用...这比隔壁某B的企业版难用多了)
高级搜寻——手动调查,用相应语法从大量EDR元数据中寻找你想要的关键数据,它也有入门引导和语法帮助。

自定义检测规则——呃,我真不知怎么用,打开全是个空白报告,没法讲了...抱歉。从隔壁某B的EDR来看应该是指定检测目标进程,服务,注册表,文件等。但需要专业人员来设置,否则会产生巨量警报。MDE也可以从事件界面进行设置抑制规则,烦请各位自行探索吧!
三,设备库存。(没什么好讲的,各位一看就懂,就是一仓库带有MDE的设备的总览界面。)

点击任意设备进入详细界面。

(这是我朋友的电脑,请别误解了,他网名真的不叫小圆XD)
这里可以手动对单一设备执行多种高级操作(请点击...来查看更多),如重启动,启动反病毒扫描,自动调查与响应(AIR),远程命令行连接,隔离主机(远程断网术!)等,并可以总览此设备的安全事件和评估安全状态。

下面是远程命令行界面,可以实施专业的应急响应操作,请不要滥用。如果连接成功,左上角为蓝色,否则等待连接为黄色。点击那个方格一样的东西停止远程响应,命令行为静默执行,一般不会打扰远程用户。

对了,如果有AIR正在执行的时候是不能进行远程命令行连接的说~
四,漏洞管理。(与隔壁某B企业版的自动漏洞修复不同,它似乎不能自动执行有限的修复,只能催安全团队快点响应,不过它的0-day漏洞情报比较灵敏。)
其他子功能暂不介绍了,我们先介绍一个比较好用的
弱点——这里显示着组织所有设备的漏洞状态,并可以点击任何一个漏洞信息,关联查看相应的漏洞情报,修正建议与相关的攻击活动。

左侧靶标图形若为红色,则代表组织已遭此漏洞攻击,右侧虫虫图标若为红色,则证明此漏洞已经被证实可利用或捕获到在野漏洞攻击


Ⅱ,MDE服务提供的其他高级服务简介(不完整)
自动调查与响应(AIR)技术:当您的设备上检测到可疑活动或威胁时,AIR将自行启动,来彻底终止与清理每一个终端上的恶意软件和高级攻击活动。您也可以手动启动自动调查,清毒很省事的。
模拟高级攻击响应效果如图

遭遇“真实”威胁时响应效果如图(我们那位朋友用KMS时发现这个工具跟微软的勒索病毒特征码撞车了,太草了hhh)


深度文件分析(沙盒)
这个沙盒所需的时间比其他云沙盒都要长,大约十五分钟(那个三小时什么鬼)。而且入口也藏得挺深...此技术会联动AIR,自动提交可疑文件进行分析。也可以在警报页面手动发送文件。当然,最后的报告也要在那个页面上看...总之就是不太方便。
选择这里!不要点错啦~是上面的EXE的...,不是下面那个事件的警报的...,可展开,选择“提交到深度分析”可进入那个界面。(只有DLL和EXE可以提交,非PE文件无法提交)

我这里是提交过的状态,所有相关报告已经在这里了。点击“Resubmit”即可重新提交文件进行分析。

下面是新文件提交前的状态。点击“Submit”即可提交文件进行分析,耐心等待。


写在最后:这只是个初步体验的指南,许多设置并未提及,额外的需要各位自行探索(如云端控制WD策略等),平心而论,MDE的上手简易度与控制台颜值确实远远不如Bitdefender-Gravityzone...希望微软赶快把汉化做完吧,这里还补充一个管理网站——MDM控制台Microsoft Endpoint Manager 管理中心,来控制WD,这个需要将终端连接到工作账号才能进行控制。
也祝卡饭论坛越做越好!



















本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x

评分

参与人数 10原创 +1 分享 +3 魅力 +1 人气 +21 收起 理由
HEMM + 3 花里胡哨的~企业果然厉害
huorong + 1 感谢提供分享
yfdyh000 + 2 版区有你更精彩: )
wajika + 1 版区有你更精彩: )
zhczf + 3 精品文章

查看全部评分

AOSS
发表于 2021-12-3 11:18:46 | 显示全部楼层
不明觉厉,统称nb
隔山打空气
 楼主| 发表于 2021-12-3 11:20:05 | 显示全部楼层
AOSS 发表于 2021-12-3 11:18
不明觉厉,统称nb

多谢支持~
dsb2466
发表于 2021-12-3 11:39:25 | 显示全部楼层
微软企业的这套是非常值得广大厂商学习的
隔山打空气
 楼主| 发表于 2021-12-3 11:46:29 | 显示全部楼层
dsb2466 发表于 2021-12-3 11:39
微软企业的这套是非常值得广大厂商学习的

但是他们的UI真是非专业人士看着难受...上手难度是妥妥的,汉化不完整,设计不合理,缺点还是相当明显的,但是他本家优势也很突出,漏洞情报第一时间更新,全自动EDR解决很多烦恼,还有AV-C的测评微软似乎是MDM+WDAV,不是完整的MDE服务(似乎是免费的)
Avast——唯有省钱是最大的轻蔑。(参赛个人版AV Free,企业版AV Pro Plus)
微软——唯有给企业省钱是最大的轻蔑。(参赛企业版AV Free)
Avast:??????我好容易(次次都有它)参加一次测试,你却让我输的这么彻底...焯!
不过话说回来MDE是真的贵,按时收费的...买不起,还是BEST适合个人
蓝泽祈
发表于 2021-12-3 13:14:23 | 显示全部楼层
以前单位用过SCCM,是挺难用
bbs2811125
发表于 2021-12-3 13:24:22 | 显示全部楼层
主要还是为了白嫖,不过用微软的防护总感觉没装防护,还是装个第三方有安全感
隔山打空气
 楼主| 发表于 2021-12-3 14:21:32 | 显示全部楼层
bbs2811125 发表于 2021-12-3 13:24
主要还是为了白嫖,不过用微软的防护总感觉没装防护,还是装个第三方有安全感

微软的其实还好,WD有入侵防护功能的,在MDM管理中心可以选择启用入侵防护。但是微软的性能优化是实在硬伤,一旦有大量新文件写入或者被编译,占用就会瞬间起飞,甚至在极端情况下可能往1GB上面冲。。。尤其是微软的AMSI技术,特别卡编程,还有误报,我之前装VS的时候AMSI给我不知道VS的什么东西截杀了,当时弹出了一个Powershell窗口,应该是用于安装的,结果被秒
dsb2466
发表于 2021-12-3 14:25:45 | 显示全部楼层
隔山打空气 发表于 2021-12-3 11:46
但是他们的UI真是非专业人士看着难受...上手难度是妥妥的,汉化不完整,设计不合理,缺点还是相当明显的 ...

因为本身就不是给完全小白用户使用的,主要是给企业中的网络管理人员使用,发现和解决各类风险问题。

另外,你觉得设计不合理的地方在哪里呢?还有明显的缺点指的是?
隔山打空气
 楼主| 发表于 2021-12-3 14:31:16 | 显示全部楼层
dsb2466 发表于 2021-12-3 14:25
因为本身就不是给完全小白用户使用的,主要是给企业中的网络管理人员使用,发现和解决各类风险问题。

...

沙盒分析器的报告很难找到,虽然有自动提交但难以知晓进度,不能自动化处理一些漏洞(BDGZ就可以进行一定程度上的自动弱点修复),以及非常大的汉化问题。
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2022-1-20 06:18 , Processed in 0.130046 second(s), 19 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表