從命令行界面生成NDR檢測
您可以產生測試偵測,以檢查 Sophos NDR 是否正確設定和正常工作。
測試並非惡意。它透過類比具有攻擊典型特徵的事件來觸發偵測。該事件是用戶端從具有可疑網域和認證詳細資料的伺服器下載檔案。
您可以從命令行界面(CLI)執行測試。
要求
從 “Network Security Tests(網絡安全測試)”下載NDR測試文件。
配置防火牆以允許TCP通信流到您要連接的區域中的域和IP地址。
| 網域名稱 | IP 位址 | TCP 連接埠 | AWS 區域 |
|---|---|---|---|
| plrqkxqwvmtkm.xyz | 13.56.99.184 | 2222 | us-west-2(美國加利福尼亞州) |
| erqcmuydfkzzw.org | 16.62.124.9 | 2222 | eu-central-2 (瑞士蘇黎世) |
| lypwmxbnctosa.net | 18.142.20.211 | 2222 | ap-southeast-1(新加坡) |
| xbmwsfgbphzvn.com | 18.167.138.38 | 2222 | ap-east-1(中國香港) |
| qwpoklsdvxbmy.com | 177.71.144.35 | 2222 | sa-east-1 (São,南美洲) |
確保您已在目前的連接埠鏡像設定中包含網路流量。如需說明,請參閱 Sophos 整合功能中的 NDR 設定頁面。
產生偵測
注意
您必須從與 Sophos NDR 位於同一網路的裝置存取 Appliance Manager。
在以下示例中,我們將向您展示如何使用Windows命令提示符(帶有預設選項)生成檢測。
- 以管理員身份執行命令提示符。
-
輸入以下指令:
NdrEicarClient.exe。
注意
如果您使用預設選項生成檢測,客戶端將連接到us-west-1伺服器並執行一次文件下載。
將生成檢測。
-
在 Sophos Central 中,移至威脅分析中心 > 偵測。
-
在偵測頁面上,您應該會看到清單中命名為
NDR-DET-TEST-IDS-SCORE的最近高風險偵測。
-
按一下
NDR-DET-TEST-IDS-SCORE以開啟其詳細資料。說明顯示了透過 TCP 和 TLS 在連接埠 2222 上通訊的來源 IP 和目的地 IP。它還顯示 IDS (入侵偵測系統) 是偵測的主要因素。IDS 是封鎖認證的清單。
-
按一下原始資料索引標簽。
flow_risk部分顯示以下詳細資料:- 非標準連接埠上的已知通訊協定
- 自我簽署的認證
- 不常見的應用層通訊協定協商 (ALPN)
- 已封鎖的認證清單
- 伺服器網域很可能是由演算法 (DGA) 產生的
- 表明威脅來自 Friendly Chameleon 系列的跡象。
EICAR測試命令行選項
您需要在 NdrEicarClient.exe 命令後輸入命令行選項。
以下是一些命令行選項:
- 鍵入
--help以顯示可用選項。 - 鍵入
--region,後跟要連接的區域的名稱。 -
輸入
--extra以產生偵測周圍的流量。
測試文件包括用於生成流量的Web爬網功能。預設情況下,Web爬網程序從
news.sophos.com網站開始,並分析*.sophos.com可從該網站訪問的所有網頁。如果您的防火牆或Web代理不允許這樣做,您可以指定其他網站開始。web爬行程序的默認運行時間是EICAR通信之前1分鐘,之後30秒。您可以使用--runtimeCLI選項更改此設定。您提供的時間(以秒為單位)將在EICAR流量之前執行,然後在之後執行一半時間。注意
我們在網頁之間加入了暫停,因此此工具無法用於網站的拒絕服務(DoS)攻擊。
有關通過Appliance Manager生成NDR檢測的信息,請參閱 生成檢測(NDR)。