Gerar detecções NDR a partir da interface de linha de comando
Você pode gerar detecções de teste para verificar se o Sophos NDR está corretamente configurado e funcionando.
O teste não é malicioso. Ele dispara uma detecção simulando um evento com caraterísticas típicas de um ataque. O evento é um cliente que faz download de um arquivo de um servidor com detalhes de domínio e certificado suspeitos.
Você pode executar o teste a partir da interface de linha de comando (CLI).
Requisitos
Baixe o arquivo de teste NDR do Sophos NDR Testing.
Configure seu firewall para permitir o tráfego TCP para o domínio e o endereço IP na região à qual você deseja se conectar.
| Nome de Domínio | Endereço IP | Porta TCP | Região AWS |
|---|---|---|---|
| plrqkxqwvmtkm.xyz | 13.56.99.184 | 2222 | us-west-2 (Califórnia, EUA) |
| erqcmuydfkzzw.org | 16.62.124.9 | 2222 | eu-central-2 (Zurique, Suíça) |
| lypwmxbnctosa.net | 18.142.20.211 | 2222 | ap-southeast-1 (Singapura) |
| xbmwsfgbphzvn.com | 18.167.138.38 | 2222 | ap-east-1 (Hong Kong, China) |
| qwpoklsdvxbmy.com | 177.71.144.35 | 2222 | sa-east-1 (São Paulo, América do Sul) |
Certifique-se de que incluiu o seu tráfego de rede na configuração de espelhamento da porta atual. Para obter ajuda, consulte as páginas de configuração do NDR em Integrações da Sophos.
Gerar uma detecção
Nota
Você deve executar o comando em um dispositivo na mesma rede que o Sophos NDR.
No exemplo a seguir, mostraremos como gerar uma detecção usando o prompt de comando do Windows, com as opções padrão.
- Execute o Prompt de comando como administrador.
-
Digite o seguinte comando:
NdrEicarClient.exe.
Nota
Se você gerar uma detecção usando as opções padrão, o cliente se conectará ao servidor us-west-1 e executará o download do arquivo uma vez.
Será gerada uma detecção.
-
No Sophos Central, vá para Centro de Análise de Ameaças > Detecções.
-
Na página Detecções, você deve ver uma detecção recente de alto risco chamada
NDR-DET-TEST-IDS-SCOREna lista.
-
Clique em
NDR-DET-TEST-IDS-SCOREpara abrir os seus detalhes.A Descrição mostra um IP de origem e destino que se comunicam por TCP e TLS na porta 2222. Também mostra o IDS (Intrusion Detection System) como o principal contribuinte para a detecção. IDS é uma lista de certificados bloqueados.
-
Clique na guia Dados brutos. A seção
flow_riskmostra os seguintes detalhes:- Protocolo conhecido em uma porta não padrão
- Certificado autoassinado
- ALPN (Application-Layer Protocol Negotiation) incomum
- Certificado na lista de bloqueio
- Alta probabilidade de que o domínio do servidor seja gerado por algoritmo (DGA)
- Indicações de uma ameaça pertencente à família Friendly Chameleon.
Opções de linha de comando de teste Eicar
Você pode inserir várias opções de linha de comando após o comando NdrEicarClient.exe.
Aqui estão algumas das opções de linha de comando:
- Digite
--helppara mostrar as opções disponíveis. - Digite
--regionseguido do nome da região à qual você deseja se conectar. -
Digite
--extrapara gerar tráfego em torno da detecção.
O arquivo de teste inclui um recurso de rastreamento da Web para gerar tráfego. Por padrão, o rastreador da web começa com o site
news.sophos.come analisa todas as páginas da web*.sophos.comacessíveis a partir daí. Se o seu firewall ou proxy da Web não permitir isso, você pode especificar um site diferente para começar. O tempo de execução padrão do rastreador da web é um minuto antes do tráfego EICAR e 30 segundos depois. Você pode usar a opção CLI--runtimepara alterar isso. O tempo que você fornecer em segundos será executado antes do tráfego EICAR, e, depois, ele será executado por metade desse tempo.Nota
Incluímos uma pausa entre páginas da web, portanto, a ferramenta não pode ser usada em um ataque de negação de serviço (DoS) em um site.
Para obter informações sobre como gerar uma detecção de NDR por meio do Appliance Manager, consulte Gerar detecções (NDR).