NDR-Erkennungen über die Befehlszeilenschnittstelle generieren
Sie können Test-Erkennungen generieren, um zu überprüfen, ob Sophos NDR richtig eingerichtet und funktioniert.
Der Test ist nicht schädlich. Er löst eine Erkennung aus, indem ein Ereignis simuliert wird, das typische Merkmale eines Angriffs aufweist. Das Ereignis ist ein Client, der eine Datei von einem Server mit verdächtigen Domänen- und Zertifikatdetails herunterlädt.
Sie können den Test über die Befehlszeilenschnittstelle (CLI) ausführen.
Voraussetzungen
Laden Sie die NDR EICAR Client-Datei von Sophos-NDR-Test herunter.
Konfigurieren Sie Ihre Firewall so, dass TCP-Datenverkehr an die Domäne und die IP-Adresse in der Region, zu der Sie eine Verbindung herstellen möchten, zugelassen wird.
Domänenname | IP-Adresse | TCP-Port | AWS-Region |
---|---|---|---|
plrqkxqwvmtkm.xyz | 13.56.99.184 | 2222 | us-west-2 (Kalifornien, USA) |
erqcmuydfkzzw.org | 16.62.124.9 | 2222 | eu-central-2 (Zürich, Schweiz) |
lypwmxbnctosa.net | 18.142.20.211 | 2222 | ap-southeast-1 (Singapur) |
xbmwsfgbphzvn.com | 18.167.138.38 | 2222 | ap-east-1 (Hongkong, China) |
qwpoklsdvxbmy.com | 177.71.144.35 | 2222 | sa-east-1 (São Paulo, Südamerika) |
Stellen Sie sicher, dass Sie den Netzwerkverkehr in die aktuelle Konfiguration der Portspiegelung einbezogen haben. Hilfe finden Sie auf den NDR-Einrichtungsseiten unter Sophos-Integrationen.
Erkennung generieren
Hinweis
Sie müssen den Befehl auf einem Gerät ausführen, das sich im selben Netzwerk wie Sophos NDR befindet.
Im folgenden Beispiel wird gezeigt, wie Sie eine Erkennung mithilfe der Windows-Eingabeaufforderung mit den Standardoptionen generieren.
- Öffnen Sie die Eingabeaufforderung als Administrator.
-
Geben Sie den folgenden Befehl ein:
NdrEicarClient.exe
.Hinweis
Wenn Sie eine Erkennung mithilfe der Standardoptionen generieren, stellt der Client eine Verbindung zum us-west-1-Server her und führt den Dateidownload einmal durch.
Eine Erkennung wird generiert.
-
Gehen Sie in Sophos Central zu Bedrohungsanalyse-Center > Erkennungen.
-
Auf der Seite Erkennungen sollte eine aktuelle Erkennung mit hohem Risiko
NDR-DET-TEST-IDS-SCORE
in der Liste angezeigt werden. -
Klicken Sie auf
NDR-DET-TEST-IDS-SCORE
, um die zugehörigen Details zu öffnen.Die Beschreibung zeigt eine Quell- und Ziel-IP, die über TCP und TLS auf Port 2222 kommunizieren. Außerdem wird IDS (Intrusion Detection System) als Hauptverantwortlicher für die Erkennung angezeigt. IDS ist eine Liste blockierter Zertifikate.
-
Klicken Sie auf den Tab Rohdaten. Der Abschnitt
flow_risk
zeigt folgende Details:- Bekanntes Protokoll auf einem nicht standardmäßigen Port
- Selbstsigniertes Zertifikat
- Ungewöhnliche Application Layer Protocol Negotiation (ALPN)
- Zertifikat auf Blockliste
- Hohe Wahrscheinlichkeit, dass die Serverdomäne durch Algorithmus (DGA) generiert wird
- Hinweise auf eine Bedrohung der Familie „Friendly Chameleon“.
EICAR-Test-Befehlszeilenparameter
Sie können verschiedene Befehlszeilenparameter nach dem NdrEicarClient.exe
-Befehl eingeben.
Hier sind einige der Befehlszeilenparameter:
- Geben Sie
--help
ein, um die verfügbaren Parameter anzuzeigen. - Geben Sie
--region
gefolgt vom Namen der Region ein, zu der Sie eine Verbindung herstellen möchten. -
Geben Sie
--extra
ein, um Datenverkehr um die Erkennung herum zu generieren.Die Testdatei enthält eine Web-Crawling-Funktion zur Generierung von Datenverkehr. Standardmäßig startet der Web Crawler mit der Website
news.sophos.com
und analysiert alle*.sophos.com
-Webseiten, die von dort aus erreichbar sind. Wenn Ihre Firewall oder Ihr Web-Proxy dies nicht zulässt, können Sie eine andere Website angeben, mit der Sie beginnen möchten. Die Standardlaufzeit für den Web Crawler beträgt eine Minute vor dem EICAR-Datenverkehr und 30 Sekunden danach. Sie können dies mit der CLI-Option--runtime
ändern. Die Zeit, die Sie in Sekunden angeben, wird vor dem EICAR-Datenverkehr ausgeführt und danach die Hälfte der Zeit.Hinweis
Wir haben eine Pause zwischen Webseiten eingefügt, damit das Tool nicht für einen Denial-of-Service (DoS)-Angriff auf eine Website verwendet werden kann.
Informationen zum Generieren einer NDR-Erkennung über Appliance Manager finden Sie unter Generieren von Erkennungen (NDR).