Vai al contenuto
Il supporto che offriamo per MDR.

Generazione di rilevamenti di NDR dall’interfaccia della riga di comando

È possibile generare rilevamenti di test per verificare che Sophos NDR sia stato configurato correttamente e che funzioni come previsto.

Il test non è pericoloso. Attiva un rilevamento simulando un evento con le caratteristiche tipiche di un attacco. L’evento consiste in un client che scarica un file da un server che presenta un dominio e dettagli del certificato sospetti.

È possibile eseguire il test dall’interfaccia della riga di comando (CLI).

Requisiti

Scaricare il file EICAR del client per NDR dalla pagina dei test di Sophos NDR.

Configurare il proprio firewall in modo che autorizzi il traffico TCP verso il dominio e l’indirizzo IP nell’area geografica alla quale si desidera connettersi.

Nome dominio Indirizzo IP Porta TCP Area geografica AWS
plrqkxqwvmtkm.xyz 13.56.99.184 2222 us-west-2 (California, Stati Uniti)
erqcmuydfkzzw.org 16.62.124.9 2222 eu-central-2 (Zurigo, Svizzera)
lypwmxbnctosa.net 18.142.20.211 2222 ap-southeast-1 (Singapore)
xbmwsfgbphzvn.com 18.167.138.38 2222 ap-east-1 (Hong Kong, Cina)
qwpoklsdvxbmy.com 177.71.144.35 2222 sa-east-1 (San Paolo, Sud America)

Assicurarsi di avere incluso il proprio traffico di rete nella configurazione attuale del mirroring delle porte. Per maggiori informazioni, vedere le pagine dedicate alla configurazione di NDR su Integrazioni Sophos.

Generazione di un rilevamento

Nota

È necessario eseguire il comando su un dispositivo che si trova nella stessa rete di Sophos NDR.

Nell’esempio seguente viene indicato come generare un rilevamento utilizzando il prompt dei comandi di Windows, con le opzioni predefinite.

  1. Eseguire il Prompt dei comandi come amministratore.
  2. Digitare i seguente comandi: NdrEicarClient.exe.

    Test di NDR nel prompt dei comandi.

    Nota

    Se viene generato un rilevamento utilizzando le opzioni predefinite, il client si connetterà al server us-west-1 ed eseguirà il download del file una volta.

    Verrà generato un rilevamento.

  3. In Sophos Central, aprire Centro di analisi delle minacce > Rilevamenti.

  4. Nella pagina Rilevamenti, l’elenco dovrebbe includere un rilevamento ad alto rischio recente chiamato NDR-DET-TEST-IDS-SCORE.

    Pagina Rilevamenti.

  5. Cliccare su NDR-DET-TEST-IDS-SCORE per aprirne i dettagli.

    La Descrizione mostrerà un IP di origine e di destinazione che comunica su TCP e TLS, attraverso la porta 2222. Indicherà anche IDS (Intrusion Detection System) come elemento principale che ha contribuito al rilevamento. IDS è un elenco di certificati bloccati.

    Dettagli dei rilevamenti.

  6. Cliccare sulla scheda Dati non elaborati. La sezione flow_risk mostrerà i seguenti dettagli:

    • Protocollo noto su una porta non-standard
    • Certificato autofirmato
    • Application-Layer Protocol Negotiation (ALPN) non comune
    • Certificato inserito nell’elenco di blocco
    • Probabilità elevata che il dominio del server sia stato generato da un algoritmo (DGA)
    • Segni di una minaccia appartenente alla famiglia Friendly Chameleon.

    Rilevamento dei dati non elaborati.

Opzioni della riga di comando per il test EICAR

È possibile specificare diverse opzioni della riga di comando dopo il comando NdrEicarClient.exe.

Ecco alcune delle opzioni della riga di comando:

  • Digitare --help per visualizzare le opzioni disponibili.
  • Digitare --region, seguito dal nome dell’area geografica a cui si desidera connettersi.
  • Digitare --extra per generare traffico extra insieme al rilevamento.

    Test di NDR con traffico extra nell’output del comando.

    Il file di test include una funzionalità di web crawling che serve a generare traffico. Per impostazione predefinita, il web crawler inizia dal sito news.sophos.com e analizza tutte le pagine web di *.sophos.com raggiungibili da questa posizione. Se il firewall o il proxy web non lo permette, è possibile specificare un sito web diverso da cui iniziare. Il tempo di esecuzione predefinito per il web crawler è un minuto prima del traffico EICAR e 30 secondi dopo. È possibile utilizzare l’opzione della CLI --runtime per modificare questa impostazione. Prima del traffico EICAR verrà eseguito il tempo specificato, in secondi, e dopo verrà eseguita la metà di quell’intervallo di tempo.

    Nota

    Abbiamo incluso una pausa tra le pagine web, quindi questo strumento non può essere utilizzato per un attacco DoS (Denial-of-Service) su un sito web.

Per informazioni su come generare un rilevamento di NDR con la Gestione dell’appliance, vedere Generazione di rilevamenti (NDR).