從命令行界面生成NDR檢測
您可以生成測試檢測,以檢查Sophos NDR是否正確設定和正常工作。
測試不是惡意的。它通過類比具有典型攻擊功能的事件來觸發檢測。該事件是客戶端從具有可疑域和證書詳細資訊的伺服器下載文件。
您可以從命令行界面(CLI)執行測試。
需求
配置防火牆以允許TCP通信流到您要連接的區域中的域和IP地址。
| 網域名稱 | IP 位址 | TCP 連接埠 | AWS 區域 |
|---|---|---|---|
| plrqkxqwvmtkm.xyz | 13.56.99.184 | 2222 | us-west-2(美國俄勒岡州) |
| erqcmuydfkzzw.org | 16.62.124.9 | 2222 | 歐盟中部2國(瑞士蘇黎世) |
| lypwmxbnctosa.net | 18.142.20.211 | 2222 | ap-southeast-1(新加坡) |
| xbmwsfgbphzvn.com | 18.167.138.38 | 2222 | AP-EAST-1 (中國香港) |
| qwpoklsdvxbmy.com | 177.71.144.35 | 2222 | SA-EAST-1 (São,南美洲) |
確保您已在當前埠鏡像設定中包含網路流量。有關幫助,請參閱 PlaceholderTextDoNotTranslate中的NDR設定頁。
生成檢測
注意
您必須在與Sophos NDR位於同一網路的設備上執行命令。
在以下示例中,我們將向您展示如何使用Windows命令提示符(帶有預設選項)生成檢測。
- 以系統管理員身分開啟命令提示字元。
-
輸入以下指令:
NdrEicarClient.exe。
注意
如果您使用預設選項生成檢測,客戶端將連接到us-west-1伺服器並執行一次文件下載。
將生成檢測。
-
在 Sophos Central 中,移至威脅分析中心 > 偵測。
-
在 偵測 頁面上,您應該會看到
NDR-DET-TEST-IDS-SCORE清單中命名的最近高風險偵測。
-
按一下
NDR-DET-TEST-IDS-SCORE以開啟其詳細資料。說明 顯示了通過TCP和TLS在埠2222上通信的源IP和目標IP。它還顯示IDS (入侵檢測系統)是檢測的主要因素。IDS是被阻止的證書的列表。
-
單擊 原始數據 選項卡。摘要顯示以下詳細資訊。
- 非標準埠上的已知協議
- 下載自我簽署的憑證
- 不常見的應用層協議協商(ALPN)
- 已封鎖的憑證
- 伺服器域很可能是由算法(DGA)生成的
- 表明屬於友好的Chameleon家族的威脅。
EICAR測試命令行選項
您可以在 NdrEicarClient.exe 命令後輸入各種命令行選項。
以下是一些命令行選項:
- 鍵入
--help以顯示可用選項。 - 鍵入
--region,後跟要連接的區域的名稱。 -
輸入
--extra以產生偵測周圍的流量。
測試文件包括用於生成流量的Web爬網功能。預設情況下,Web爬網程序從
news.sophos.com網站開始,並分析*.sophos.com可從該網站訪問的所有網頁。如果您的防火牆或Web代理不允許這樣做,您可以指定其他網站開始。web爬行程序的默認運行時間是EICAR通信之前1分鐘,之後30秒。您可以使用--runtimeCLI選項更改此設定。您提供的時間(以秒為單位)將在EICAR流量之前執行,然後在之後執行一半時間。注意
我們在網頁之間加入了暫停,因此此工具無法用於網站的拒絕服務(DoS)攻擊。
有關通過Appliance Manager生成NDR檢測的信息,請參閱 生成檢測(NDR)。