NDR-Testerkennungen generieren

Sie können Testerkennungen generieren, um zu überprüfen, ob Sophos NDR korrekt eingerichtet ist und funktioniert.

Der Test ist nicht bösartig. Er löst eine Erkennung aus, indem er ein Ereignis mit typischen Angriffsmerkmalen simuliert. Bei diesem Ereignis lädt ein Client eine Datei von einem Server mit verdächtigen Domain- und Zertifikatsdetails herunter.

Im folgenden Beispiel zeigen wir Ihnen, wie Sie mithilfe der Windows-Eingabeaufforderung eine Erkennung generieren.

Um eine Testerkennung zu generieren, gehen Sie wie folgt vor:

1. Gehe zu Sophos-Test.
2. Klicken Netzwerksicherheit > Netzwerkerkennung und -reaktion.
3. Klicken Datei herunterladen.
4. Entpacken Sie den Dateiinhalt an den gewünschten Speicherort.
5. Führen Sie die Eingabeaufforderung als Administrator aus.

6. Öffnen Sie die Eingabeaufforderung, navigieren Sie zum Speicherort Ihrer Datei und führen Sie folgenden Befehl aus: NdrEicarClient.exe -- all.

   Notiz

   Der Befehl muss auf einem Gerät ausgeführt werden, das sich hinter der Firewall befindet und dessen Datenverkehr die Firewall passiert.

   Durch Ausführen der ausführbaren Datei wird die Kommunikation mit einer verdächtigen Domain mit abgelaufenen Zertifikatsdetails simuliert.

   Warten Sie einige Minuten, bis die Erkennung abgeschlossen ist.

7. Führen Sie den Befehl erneut aus.

   Die Firewall erkennt die Kommunikation und ordnet sie einer bestimmten Bedrohungskategorie zu. NDR analysiert den Datenfluss, vergibt eine Bedrohungsbewertung und kennzeichnet den IoC. Die Firewall fügt den erkannten IoC der Liste der Bedrohungsindikatoren hinzu.