Saltar al contenido
Descubra cómo respaldamos el servicio MDR.

Enlace permanente de la página

Utilice siempre el siguiente enlace permanente cuando haga referencia a esta página. No se modificará en futuras versiones de la ayuda.

https://docs.sophos.com/central/customer/help/es-es/index.html?contextId=NDR-test-CLI

Generar detecciones NDR desde la interfaz de la línea de comandos

Puede generar detecciones de prueba para comprobar que Sophos NDR está bien configurado y que funciona correctamente.

La prueba no es maliciosa. Activa una detección simulando un evento con características típicas de un ataque. El evento es un cliente que descarga un archivo desde un servidor con datos de dominio y certificado sospechosos.

Puede ejecutar la prueba desde la interfaz de la línea de comandos (CLI).

Requisitos

Descargue el archivo de prueba de NDR desde la página Pruebas de Sophos NDR.

Configure su firewall para permitir el tráfico TCP al dominio y la dirección IP en la región a la que quiera conectarse.

Nombre de dominio Dirección IP Puerto TCP Región de AWS
plrqkxqwvmtkm.xyz 13.56.99.184 2222 us-west-2 (California, EE. UU.)
erqcmuydfkzzw.org 16.62.124.9 2222 eu-central-2 (Zúrich, Suiza)
lypwmxbnctosa.net 18.142.20.211 2222 ap-southeast-1 (Singapur)
xbmwsfgbphzvn.com 18.167.138.38 2222 ap-east-1 (Hong Kong, China)
qwpoklsdvxbmy.com 177.71.144.35 2222 sa-east-1 (São Paulo, Sudamérica)

Asegúrese de incluir su tráfico de red en la configuración de reflejo de puertos actual. Para obtener ayuda, consulte las páginas de configuración de NDR en Integraciones de Sophos.

Generar una detección

Nota

Debe ejecutar el comando en un dispositivo en la misma red que Sophos NDR.

En el siguiente ejemplo, le mostraremos cómo generar una detección usando el símbolo del sistema de Windows, con las opciones predeterminadas.

  1. Abra el símbolo del sistema como administrador.

  2. Escriba el siguiente comando: NdrEicarClient.exe.

    Prueba NDR en el símbolo del sistema.

    Nota

    Si genera una detección utilizando las opciones predeterminadas, el cliente se conectará al servidor us-west-1 y realizará la descarga del archivo una vez.

    Se generará una detección.

  3. En Sophos Central, vaya al Centro de análisis de amenazas > Detecciones.

  4. En la página Detecciones, debería ver una detección reciente de alto riesgo llamada NDR-DET-TEST-IDS-SCORE en la lista.

    Página Detecciones.

  5. Haga clic en NDR-DET-TEST-IDS-SCORE para abrir los detalles.

    La Descripción muestra una IP de origen y destino que se comunica a través de TCP y TLS en el puerto 2222. También muestra IDS (sistema de detección de intrusiones) como el principal contribuyente a la detección. IDS es una lista de certificados bloqueados.

    Detalles de las detecciones.

  6. Haga clic en la pestaña Datos sin procesar. La sección flow_risk muestra los datos siguientes:

    • Protocolo conocido en un puerto no estándar
    • Certificado autofirmado
    • Negociación de protocolo de capa de aplicación (ALPN) inusual
    • Certificado en lista de bloqueo
    • Alta probabilidad de que el dominio del servidor sea generado por algoritmo (DGA)
    • Indicaciones de una amenaza perteneciente a la familia Friendly Chameleon

    Datos sin procesar de la detección.

Opciones de línea de comandos de la prueba EICAR

Puede introducir varias opciones de línea de comandos después del comando NdrEicarClient.exe.

Estas son algunas de las opciones de línea de comandos:

  • Escriba --help para mostrar las opciones disponibles.
  • Escriba --region seguido del nombre de la región a la que quiera conectarse.

  • Escriba --extra para generar tráfico relacionado con la detección.

    Prueba NDR con tráfico adicional en la salida del comando.

    El archivo de prueba incluye una funcionalidad de rastreo web para generar tráfico. Por defecto, el rastreador web comienza por el sitio web news.sophos.com y analiza todas las páginas web *.sophos.com accesibles desde allí. Si su firewall o proxy web no lo permiten, puede especificar un sitio web diferente para comenzar. El tiempo de ejecución predeterminado para el rastreador web es de un minuto antes del tráfico EICAR y 30 segundos después. Puede utilizar la opción de la CLI --runtime para cambiar esto. El tiempo que proporcione en segundos se ejecutará antes del tráfico EICAR, y después se ejecutará durante la mitad de ese tiempo.

    Nota

    Hemos incluido una pausa entre las páginas web, por lo que esta herramienta no puede usarse para un ataque de denegación de servicio (DOS) en un sitio web.

Para obtener información sobre cómo generar una detección de NDR a través de Appliance Manager, consulte Generar detecciones (NDR).