Aller au contenu
Découvrez comment nous prenons en charge MDR.

Permalien de la page

Utilisez toujours le permalien suivant lorsque vous faites référence à cette page. Il restera inchangé dans les futures versions de l’aide.

https://docs.sophos.com/central/customer/help/fr-fr/index.html?contextId=NDR-test-CLI

Générer des détections NDR à partir de l'interface de ligne de commande

Vous pouvez générer des tests de détection pour vérifier que Sophos NDR est correctement configuré et fonctionne bien.

Le test n’est pas malveillant. Il déclenche une détection en simulant un événement comportant les caractéristiques typiques d'une attaque. L’événement est un client qui télécharge un fichier à partir d’un serveur comportant des détails de domaine et de certificat suspects.

Vous pouvez exécuter le test à partir de l'interface de ligne de commande (CLI).

Conditions requises

Téléchargez le fichier client NDR EICAR à partir de Sophos NDR Testing.

Configurez votre pare-feu pour autoriser le trafic TCP vers le domaine et l'adresse IP de la région à laquelle vous souhaitez vous connecter.

Nom de domaine Adresse IP Port TCP Pays AWS
plrqkxqwvmtkm.xyz 13.56.99.184 2222 us-west-2 (Californie, États-Unis)
erqcmuydfkzzw.org 16.62.124.9 2222 eu-central-2 (Zurich, Suisse)
lypwmxbnctosa.net 18.142.20.211 2222 ap-southeast-1 (Singapour)
xbmwsfgbphzvn.com 18.167.138.38 2222 ap-east-1 (Hong Kong, Chine)
qwpoklsdvxbmy.com 177.71.144.35 2222 sa-east-1 (São Paulo, Amérique du Sud)

Assurez-vous d'avoir inclus le trafic réseau dans la configuration actuelle de miroir de ports. Retrouvez plus d’aide dans les pages de configuration de NDR dans Intégrations Sophos.

Générer une détection

Remarque

Vous devez exécuter la commande sur un appareil se trouvant sur le même réseau que Sophos NDR.

Dans l'exemple suivant, nous allons vous montrer comment générer une détection à l'aide de l'invite de commande Windows, avec les options par défaut.

  1. Exécutez l’invite de commande en tant qu’administrateur.

  2. Saisissez la commande suivante : NdrEicarClient.exe.

    Test NDR dans l'invite de commande.

    Remarque

    Si vous générez une détection en utilisant les options par défaut, le client se connectera au serveur us-west-1 et téléchargera le fichier une seule fois.

    Une détection sera générée.

  3. Dans Sophos Central, allez dans Centre d’analyse des menaces > Détections.

  4. Sur la page Détections, vous devriez voir une détection récente à haut risque nommée NDR-DET-TEST-IDS-SCORE dans la liste.

    Page Détections.

  5. Cliquez sur NDR-DET-TEST-IDS-SCORE pour ouvrir les détails le concernant.

    La Description indique une adresse IP source et une de destination communiquant via TCP et TLS sur le port 2222. Il montre également IDS (Intrusion Detection System) comme contributeur principal à la détection. IDS est une liste de certificats bloqués.

    Détails de détection.

  6. Cliquez sur l'onglet Données brutes. La section flow_risk affiche les informations suivantes :

    • Protocole connu sur un port non standard
    • Certificat auto-signé
    • Négociation de protocole de couche applicative peu commune (ALPN)
    • Certificat répertorié en bloc
    • Forte probabilité que le domaine du serveur soit généré par algorithme (DGA)
    • Indications d'une menace appartenant à la famille Friendly Chameleon.

    Données brutes de détection.

Options de ligne de commande de test EICAR

Vous pouvez saisir des options de ligne de commande après la commande NdrEicarClient.exe.

Voici certaines des options de ligne de commande :

  • Saisissez --help pour afficher les options disponibles.
  • Saisissez --region suivi du nom de la région à laquelle vous souhaitez vous connecter.

  • Saisissez --extra pour générer du trafic autour de la détection.

    Test NDR avec trafic supplémentaire dans la sortie de la commande.

    Le fichier de test inclut une fonction d'analyse Web pour générer du trafic. Par défaut, le crawler web commence par le site web news.sophos.com et analyse toutes les pages web *.sophos.com accessibles à partir de là. Si votre pare-feu ou proxy Web ne le permet pas, vous pouvez spécifier un autre site Web pour commencer. La durée d'exécution par défaut du robot d'indexation Web est d'une minute avant le trafic EICAR et de 30 secondes après. Vous pouvez utiliser l'option CLI --runtime pour modifier ce paramètre. Le temps que vous indiquez en secondes s'exécute avant le trafic EICAR, puis pendant la moitié de ce temps par la suite.

    Remarque

    Nous avons inclus une pause entre les pages Web, de sorte que cet outil ne peut pas être utilisé pour une attaque par déni de service (dos) sur un site Web.

Pour plus d’informations concernant la generation d’une détection NDR via Appliance Manager, reportez-vous à la section Générer des détections (NDR).