Generazione di rilevamenti di NDR dall’interfaccia della riga di comando
È possibile generare rilevamenti di test per verificare che Sophos NDR sia stato configurato correttamente e che funzioni come previsto.
Il test non è pericoloso. Attiva un rilevamento simulando un evento con le caratteristiche tipiche di un attacco. L’evento consiste in un client che scarica un file da un server che presenta un dominio e dettagli del certificato sospetti.
È possibile eseguire il test dall’interfaccia della riga di comando (CLI).
Requisiti
Scaricare il file di test di NDR dalla pagina dei test di Sophos NDR.
Configurare il proprio firewall in modo che autorizzi il traffico TCP verso il dominio e l’indirizzo IP nell’area geografica alla quale si desidera connettersi.
Nome dominio | Indirizzo IP | Porta TCP | Area geografica AWS |
---|---|---|---|
plrqkxqwvmtkm.xyz | 13.56.99.184 | 2222 | us-west-2 (California, Stati Uniti) |
erqcmuydfkzzw.org | 16.62.124.9 | 2222 | eu-central-2 (Zurigo, Svizzera) |
lypwmxbnctosa.net | 18.142.20.211 | 2222 | ap-southeast-1 (Singapore) |
xbmwsfgbphzvn.com | 18.167.138.38 | 2222 | ap-east-1 (Hong Kong, Cina) |
qwpoklsdvxbmy.com | 177.71.144.35 | 2222 | sa-east-1 (San Paolo, Sud America) |
Assicurarsi di avere incluso il proprio traffico di rete nella configurazione attuale del mirroring delle porte. Per maggiori informazioni, vedere le pagine dedicate alla configurazione di NDR su Integrazioni Sophos.
Generazione di un rilevamento
Nota
È necessario eseguire il comando su un dispositivo che si trova nella stessa rete di Sophos NDR.
Nell’esempio seguente viene indicato come generare un rilevamento utilizzando il prompt dei comandi di Windows, con le opzioni predefinite.
- Eseguire il Prompt dei comandi come amministratore.
-
Digitare i seguente comandi:
NdrEicarClient.exe
.Nota
Se viene generato un rilevamento utilizzando le opzioni predefinite, il client si connetterà al server us-west-1 ed eseguirà il download del file una volta.
Verrà generato un rilevamento.
-
In Sophos Central, aprire Centro di analisi delle minacce > Rilevamenti.
-
Nella pagina Rilevamenti, l’elenco dovrebbe includere un rilevamento ad alto rischio recente chiamato
NDR-DET-TEST-IDS-SCORE
. -
Cliccare su
NDR-DET-TEST-IDS-SCORE
per aprirne i dettagli.La Descrizione mostrerà un IP di origine e di destinazione che comunica su TCP e TLS, attraverso la porta 2222. Indicherà anche IDS (Intrusion Detection System) come elemento principale che ha contribuito al rilevamento. IDS è un elenco di certificati bloccati.
-
Cliccare sulla scheda Dati non elaborati. La sezione
flow_risk
mostrerà i seguenti dettagli:- Protocollo noto su una porta non-standard
- Certificato autofirmato
- Application-Layer Protocol Negotiation (ALPN) non comune
- Certificato inserito nell’elenco di blocco
- Probabilità elevata che il dominio del server sia stato generato da un algoritmo (DGA)
- Segni di una minaccia appartenente alla famiglia Friendly Chameleon.
Opzioni della riga di comando per il test EICAR
È possibile specificare diverse opzioni della riga di comando dopo il comando NdrEicarClient.exe
.
Ecco alcune delle opzioni della riga di comando:
- Digitare
--help
per visualizzare le opzioni disponibili. - Digitare
--region
, seguito dal nome dell’area geografica a cui si desidera connettersi. -
Digitare
--extra
per generare traffico extra insieme al rilevamento.Il file di test include una funzionalità di web crawling che serve a generare traffico. Per impostazione predefinita, il web crawler inizia dal sito
news.sophos.com
e analizza tutte le pagine web di*.sophos.com
raggiungibili da questa posizione. Se il firewall o il proxy web non lo permette, è possibile specificare un sito web diverso da cui iniziare. Il tempo di esecuzione predefinito per il web crawler è un minuto prima del traffico EICAR e 30 secondi dopo. È possibile utilizzare l’opzione della CLI--runtime
per modificare questa impostazione. Prima del traffico EICAR verrà eseguito il tempo specificato, in secondi, e dopo verrà eseguita la metà di quell’intervallo di tempo.Nota
Abbiamo incluso una pausa tra le pagine web, quindi questo strumento non può essere utilizzato per un attacco DoS (Denial-of-Service) su un sito web.
Per informazioni su come generare un rilevamento di NDR con la Gestione dell’appliance, vedere Generazione di rilevamenti (NDR).