关于MDB的EDR

Raven95676

总结：
1.Microsoft Defender For Business 只有在触发“自动调查（AIR）”的情况下，EDR才会有“已阻止”。
2.Microsoft Defender For Business 的EDR在检测到凭据窃取行为时，不一定会阻止，也不一定能触发自动调查，至少控制台看不到“已阻止”的字样，也看不到自动调查被触发的迹象。
3.以上两条有可能是bug导致，但本人至少复现了三次。
4.根据官方文档（该文档的版本为2024/6/26），“在阻止模式下启用 EDR”这一功能能够启用的先决条件是具有Defender for Endpoint Plan 2 许可证。

5.根据官方文档，“在阻止模式下启用 EDR”这一功能只是被建议在Microsoft Defender处于被动模式时启用。且根据后文提到的“要求”，这个功能在主动模式或被动模式下都能够生效。

6.根据官方文档，当 EDR 处于阻止模式并检测到恶意项目时会修复该项目。


7.即便在开启了“在阻止模式下启用 EDR”的情况下，Microsoft Defender For Business依然不会直接对EDR检测到的威胁进行阻止，无论其运行在主动模式下还是被动模式下。



近日试用 Microsoft Defender For Business （主动模式） 时，发现其EDR检测到凭据窃取行为后，即没有触发自动调查（AIR），也没有阻止。（相关链接：https://bbs.kafan.cn/forum.php?m ... 274864&pid=55270470）



由于微软的文档可读性不太高，在经过一番寻找之后，只发现了一篇可能与此问题相关的文档：https://learn.microsoft.com/en-us/defender-endpoint/edr-in-block-mode

该文档中的相关信息如下：

什么是阻止模式下的EDR？
当Microsoft Defender 防病毒不是主要防病毒产品且在被动模式下运行时， (EDR) 的终结点检测和响应可提供额外的保护，防止恶意项目。 在阻止模式下的 EDR 在 Defender for Endpoint Plan 2 中可用。

在以阻止模式打开EDR之前，确保满足要求。
Defender for Endpoint Plan 2 许可证是必需的。
从 平台版本 4.18.2202.X 开始，可以使用 Intune CSP 在块模式下将 EDR 设置为面向特定设备组。 可以在 Microsoft Defender 门户中继续在租户范围内以阻止模式设置 EDR。
对于在被动模式下运行 Microsoft Defender 防病毒的设备， (设备) 上安装并处于活动状态的非Microsoft防病毒解决方案，则主要建议将 EDR 设置为阻止模式。

设备必须安装Microsoft Defender Antivirus，并在主动模式或被动模式下运行。

当处于阻止模式的 EDR 处于打开状态时，检测到恶意项目时，Defender for Endpoint 会修正该项目。 安全运营团队在操作中心看到检测状态为“已阻止”或“已阻止”，并列为已完成的操作。

可以看出，不触发自动调查的情况下，EDR 的阻止功能可能存在，但需要需要Defender for Endpoint Plan 2订阅才可用。而且，EDR 阻止功能并不仅限于在 Microsoft Defender 被动模式下启用。

上文中已经提到在主动模式下的MDB的EDR无阻止操作，为了保证严谨，对被动模式下的EDR也进行测试：

虽然被动模式的MDB显示“EDR阻止模式”（为确保测试相对准确，测试过程中安装的其他杀毒软件已关闭所有防御功能）


但实际上威胁并未被阻止。


即便在开启了“在阻止模式下启用 EDR”的情况下，Microsoft Defender For Business依然不会对EDR检测到的威胁进行阻止，仅能够依靠“自动调查”这一机制。这一选项属于“无效选项”。

Fadouse

转MDE试用了，但是还是无法开启EDR Block Mode（）

Raven95676

Fadouse 发表于 2024-10-15 22:42
转MDE试用了，但是还是无法开启EDR Block Mode（）

根据文档中（https://learn.microsoft.com/en-u ... edr-block-mode-faqs）所说的，只有在MD处于被动模式的时候（其他杀毒软件注册到了安全中心），这里才会显示为EDR Block Mode。

驭龙

我想说一句，MD的状态显示EDR阻止模式，基本上监控就是废掉了，正常模式才会阻止威胁

Raven95676

驭龙 发表于 2024-10-15 23:11
我想说一句，MD的状态显示EDR阻止模式，基本上监控就是废掉了，正常模式才会阻止威胁

确实。测个被动模式纯属是为了严谨性，毕竟被动模式下显示了一个“EDR阻止模式”。
不过现在的主要问题是Microsoft Defender for Business的EDR在主动模式下（显示为Normal）也不会阻止威胁，只显示已检测。

驭龙

Raven95676 发表于 2024-10-15 23:20
确实。测个被动模式纯属是为了严谨性，毕竟被动模式下显示了一个“EDR阻止模式”。
不过现在的主要问题 ...

奇怪了，我之前测试是正常有EDR阻止功能的啊，样本和测试都有效果的，只是现在过期了，没法给你重新测试

你看看正常模式的状态，能不能触发下面的拦截测试：
将 Windows 设备载入 Defender for Business 后，可以在设备上运行检测测试，以确保一切正常运行。

在 Windows 设备上，创建一个文件夹： C:\test-MDATP-test。

以管理员身份打开命令提示符，然后运行以下命令：

PowerShell

复制

1. powershell.exe -NoExit -ExecutionPolicy Bypass -WindowStyle Hidden $ErrorActionPreference = 'silentlycontinue';(New-Object System.Net.WebClient).DownloadFile('http://127.0.0.1/1.exe', 'C:\\test-MDATP-test\\invoice.exe');Start-Process 'C:\\test-MDATP-test\\invoice.exe'

复制代码

命令运行后，“命令提示符”窗口会自动关闭。 如果成功，检测测试将标记为已完成，Microsoft Defender 门户中会显示一个新警报

Raven95676

驭龙 发表于 2024-10-15 23:27
奇怪了，我之前测试是正常有EDR阻止功能的啊，样本和测试都有效果的，只是现在过期了，没法给你重新测试
...

只能说的确是有，但看文档来说，MDB只能通过触发自动调查（AIR）来进行阻止，无法设置成只要EDR检测到就立刻阻止。

注册是肯定注册上了的，无论哪个都显示成功。



EDR的确能阻止（其他样本），但是只有在自动调查触发后才能阻止。



但是在这个样本的测试中（https://bbs.kafan.cn/forum.php?m ... ;page=1#pid55270470），EDR只是生成了事件，并未阻止。手动触发自动调查也没有作用。

驭龙

Raven95676 发表于 2024-10-15 23:36
只能说的确是有，但看文档来说，MDB只能通过触发自动调查（AIR）来进行阻止，无法设置成只要EDR检测到就 ...

是的，单独想要配合第三方使用EDR的话，MDB是不行的，只有MD为主防御的情况下，才能有EDR自动阻止威胁的功能

中文的技术文档基本上没必要看，很多都跟不上最新版本的变化

Raven95676

驭龙 发表于 2024-10-15 23:41
是的，单独想要配合第三方使用EDR的话，MDB是不行的，只有MD为主防御的情况下，才能有EDR自动阻止威胁的 ...

emmm,我可能没表达好自己的意思。
MD为主防御的情况下（主动模式），在这个样本的测试中（https://bbs.kafan.cn/forum.php?mod=viewthread&tid=2274864&page=1#pid55270470），EDR只是生成了事件，并未阻止。手动触发自动调查也没有作用。（已解决为本人标记，用于等待多时MDB无动作后手动关闭告警）



当触发自动调查时，EDR的确有反应。但是未触发自动调查的EDR事件，MDB并未阻止。
如果说上面的结果是已阻止的话，那至少这里的事件应该出现“已阻止”而非均为“已检测”。

驭龙

Raven95676 发表于 2024-10-15 23:48
emmm,我可能没表达好自己的意思。
MD为主防御的情况下（主动模式），在这个样本的测试中（https://bbs.k ...

其实吧，有没有一种可能是这样本过了MDB的检测，但行为被MDATP组件上传到MD门户
你过几天测应该就阻止这样本了