Zum Inhalt
Klicken Sie hier für Support-Informationen zu MDR.

Permalink für diese Seite

Verwenden Sie immer den folgenden Permalink, um auf diese Seite zu verweisen. Der Link bleibt auch in zukünftigen Versionen dieser Hilfe unverändert.

https://docs.sophos.com/central/customer/help/de-de/index.html?contextId=NDR-test-CLI

NDR-Erkennungen über die Befehlszeilenschnittstelle generieren

Sie können Test-Erkennungen generieren, um zu überprüfen, ob Sophos NDR richtig eingerichtet und funktioniert.

Der Test ist nicht schädlich. Er löst eine Erkennung aus, indem ein Ereignis simuliert wird, das typische Merkmale eines Angriffs aufweist. Das Ereignis ist ein Client, der eine Datei von einem Server mit verdächtigen Domänen- und Zertifikatdetails herunterlädt.

Sie können den Test über die Befehlszeilenschnittstelle (CLI) ausführen.

Voraussetzungen

Laden Sie die NDR EICAR Client-Datei von Sophos-NDR-Test herunter.

Konfigurieren Sie Ihre Firewall so, dass TCP-Datenverkehr an die Domäne und die IP-Adresse in der Region, zu der Sie eine Verbindung herstellen möchten, zugelassen wird.

Domänenname IP-Adresse TCP-Port AWS-Region
plrqkxqwvmtkm.xyz 13.56.99.184 2222 us-west-2 (Kalifornien, USA)
erqcmuydfkzzw.org 16.62.124.9 2222 eu-central-2 (Zürich, Schweiz)
lypwmxbnctosa.net 18.142.20.211 2222 ap-southeast-1 (Singapur)
xbmwsfgbphzvn.com 18.167.138.38 2222 ap-east-1 (Hongkong, China)
qwpoklsdvxbmy.com 177.71.144.35 2222 sa-east-1 (São Paulo, Südamerika)

Stellen Sie sicher, dass Sie den Netzwerkverkehr in die aktuelle Konfiguration der Portspiegelung einbezogen haben. Hilfe finden Sie auf den NDR-Einrichtungsseiten unter Sophos-Integrationen.

Erkennung generieren

Hinweis

Sie müssen den Befehl auf einem Gerät ausführen, das sich im selben Netzwerk wie Sophos NDR befindet.

Im folgenden Beispiel wird gezeigt, wie Sie eine Erkennung mithilfe der Windows-Eingabeaufforderung mit den Standardoptionen generieren.

  1. Öffnen Sie die Eingabeaufforderung als Administrator.

  2. Geben Sie den folgenden Befehl ein: NdrEicarClient.exe.

    NDR-Test in der Eingabeaufforderung.

    Hinweis

    Wenn Sie eine Erkennung mithilfe der Standardoptionen generieren, stellt der Client eine Verbindung zum us-west-1-Server her und führt den Dateidownload einmal durch.

    Eine Erkennung wird generiert.

  3. Gehen Sie in Sophos Central zu Bedrohungsanalyse-Center > Erkennungen.

  4. Auf der Seite Erkennungen sollte eine aktuelle Erkennung mit hohem Risiko NDR-DET-TEST-IDS-SCORE in der Liste angezeigt werden.

    Erkennungsseite.

  5. Klicken Sie auf NDR-DET-TEST-IDS-SCORE, um die zugehörigen Details zu öffnen.

    Die Beschreibung zeigt eine Quell- und Ziel-IP, die über TCP und TLS auf Port 2222 kommunizieren. Außerdem wird IDS (Intrusion Detection System) als Hauptverantwortlicher für die Erkennung angezeigt. IDS ist eine Liste blockierter Zertifikate.

    Erkennungs-Details.

  6. Klicken Sie auf den Tab Rohdaten. Der Abschnitt flow_risk zeigt folgende Details:

    • Bekanntes Protokoll auf einem nicht standardmäßigen Port
    • Selbstsigniertes Zertifikat
    • Ungewöhnliche Application Layer Protocol Negotiation (ALPN)
    • Zertifikat auf Blockliste
    • Hohe Wahrscheinlichkeit, dass die Serverdomäne durch Algorithmus (DGA) generiert wird
    • Hinweise auf eine Bedrohung der Familie „Friendly Chameleon“.

    Erkennung von Rohdaten.

EICAR-Test-Befehlszeilenparameter

Sie können verschiedene Befehlszeilenparameter nach dem NdrEicarClient.exe-Befehl eingeben.

Hier sind einige der Befehlszeilenparameter:

  • Geben Sie --help ein, um die verfügbaren Parameter anzuzeigen.
  • Geben Sie --region gefolgt vom Namen der Region ein, zu der Sie eine Verbindung herstellen möchten.

  • Geben Sie --extra ein, um Datenverkehr um die Erkennung herum zu generieren.

    NDR-Test mit zusätzlichem Datenverkehr in der Befehlsausgabe.

    Die Testdatei enthält eine Web-Crawling-Funktion zur Generierung von Datenverkehr. Standardmäßig startet der Web Crawler mit der Website news.sophos.com und analysiert alle *.sophos.com-Webseiten, die von dort aus erreichbar sind. Wenn Ihre Firewall oder Ihr Web-Proxy dies nicht zulässt, können Sie eine andere Website angeben, mit der Sie beginnen möchten. Die Standardlaufzeit für den Web Crawler beträgt eine Minute vor dem EICAR-Datenverkehr und 30 Sekunden danach. Sie können dies mit der CLI-Option --runtime ändern. Die Zeit, die Sie in Sekunden angeben, wird vor dem EICAR-Datenverkehr ausgeführt und danach die Hälfte der Zeit.

    Hinweis

    Wir haben eine Pause zwischen Webseiten eingefügt, damit das Tool nicht für einen Denial-of-Service (DoS)-Angriff auf eine Website verwendet werden kann.

Informationen zum Generieren einer NDR-Erkennung über Appliance Manager finden Sie unter Generieren von Erkennungen (NDR).