Pular para o conteúdo
Saiba como oferecemos suporte ao MDR.

Gerar detecções NDR a partir da interface de linha de comando

Você pode gerar detecções de teste para verificar se o Sophos NDR está corretamente configurado e funcionando.

O teste não é malicioso. Ele dispara uma detecção simulando um evento com caraterísticas típicas de um ataque. O evento é um cliente que faz download de um arquivo de um servidor com detalhes de domínio e certificado suspeitos.

Você pode executar o teste a partir da interface de linha de comando (CLI).

Requisitos

Baixe o arquivo de cliente NDR EICAR do Sophos NDR Testing.

Configure seu firewall para permitir o tráfego TCP para o domínio e o endereço IP na região à qual você deseja se conectar.

Nome de Domínio Endereço IP Porta TCP Região AWS
plrqkxqwvmtkm.xyz 13.56.99.184 2222 us-west-2 (Califórnia, EUA)
erqcmuydfkzzw.org 16.62.124.9 2222 eu-central-2 (Zurique, Suíça)
lypwmxbnctosa.net 18.142.20.211 2222 ap-southeast-1 (Singapura)
xbmwsfgbphzvn.com 18.167.138.38 2222 ap-east-1 (Hong Kong, China)
qwpoklsdvxbmy.com 177.71.144.35 2222 sa-east-1 (São Paulo, América do Sul)

Certifique-se de que incluiu o seu tráfego de rede na configuração de espelhamento da porta atual. Para obter ajuda, consulte as páginas de configuração do NDR em Integrações da Sophos.

Gerar uma detecção

Nota

Você deve executar o comando em um dispositivo na mesma rede que o Sophos NDR.

No exemplo a seguir, mostraremos como gerar uma detecção usando o prompt de comando do Windows, com as opções padrão.

  1. Execute o Prompt de comando como administrador.
  2. Digite o seguinte comando: NdrEicarClient.exe.

    Teste NDR no prompt de comando.

    Nota

    Se você gerar uma detecção usando as opções padrão, o cliente se conectará ao servidor us-west-1 e executará o download do arquivo uma vez.

    Será gerada uma detecção.

  3. No Sophos Central, vá para Centro de Análise de Ameaças > Detecções.

  4. Na página Detecções, você deve ver uma detecção recente de alto risco chamada NDR-DET-TEST-IDS-SCORE na lista.

    Página Detecções.

  5. Clique em NDR-DET-TEST-IDS-SCORE para abrir os seus detalhes.

    A Descrição mostra um IP de origem e destino que se comunicam por TCP e TLS na porta 2222. Também mostra o IDS (Intrusion Detection System) como o principal contribuinte para a detecção. IDS é uma lista de certificados bloqueados.

    Detalhes da detecção.

  6. Clique na guia Dados brutos. A seção flow_risk mostra os seguintes detalhes:

    • Protocolo conhecido em uma porta não padrão
    • Certificado autoassinado
    • ALPN (Application-Layer Protocol Negotiation) incomum
    • Certificado na lista de bloqueio
    • Alta probabilidade de que o domínio do servidor seja gerado por algoritmo (DGA)
    • Indicações de uma ameaça pertencente à família Friendly Chameleon.

    Detecção de dados brutos.

Opções de linha de comando de teste Eicar

Você pode inserir várias opções de linha de comando após o comando NdrEicarClient.exe.

Aqui estão algumas das opções de linha de comando:

  • Digite --help para mostrar as opções disponíveis.
  • Digite --region seguido do nome da região à qual você deseja se conectar.
  • Digite --extra para gerar tráfego em torno da detecção.

    Teste NDR com tráfego extra na saída do comando.

    O arquivo de teste inclui um recurso de rastreamento da Web para gerar tráfego. Por padrão, o rastreador da web começa com o site news.sophos.com e analisa todas as páginas da web *.sophos.com acessíveis a partir daí. Se o seu firewall ou proxy da Web não permitir isso, você pode especificar um site diferente para começar. O tempo de execução padrão do rastreador da web é um minuto antes do tráfego EICAR e 30 segundos depois. Você pode usar a opção CLI --runtime para alterar isso. O tempo que você fornecer em segundos será executado antes do tráfego EICAR, e, depois, ele será executado por metade desse tempo.

    Nota

    Incluímos uma pausa entre páginas da web, portanto, a ferramenta não pode ser usada em um ataque de negação de serviço (DoS) em um site.

Para obter informações sobre como gerar uma detecção de NDR por meio do Appliance Manager, consulte Gerar detecções (NDR).