Gerar detecções NDR a partir da interface de linha de comando
Você pode gerar detecções de teste para verificar se o Sophos NDR está corretamente configurado e funcionando.
O teste não é malicioso. Ele dispara uma detecção simulando um evento com caraterísticas típicas de um ataque. O evento é um cliente que faz download de um arquivo de um servidor com detalhes de domínio e certificado suspeitos.
Você pode executar o teste a partir da interface de linha de comando (CLI).
Requisitos
Baixe o arquivo de teste NDR do Sophos NDR Testing.
Configure seu firewall para permitir o tráfego TCP para o domínio e o endereço IP na região à qual você deseja se conectar.
Nome de Domínio | Endereço IP | Porta TCP | Região AWS |
---|---|---|---|
plrqkxqwvmtkm.xyz | 13.56.99.184 | 2222 | us-west-2 (Califórnia, EUA) |
erqcmuydfkzzw.org | 16.62.124.9 | 2222 | eu-central-2 (Zurique, Suíça) |
lypwmxbnctosa.net | 18.142.20.211 | 2222 | ap-southeast-1 (Singapura) |
xbmwsfgbphzvn.com | 18.167.138.38 | 2222 | ap-east-1 (Hong Kong, China) |
qwpoklsdvxbmy.com | 177.71.144.35 | 2222 | sa-east-1 (São Paulo, América do Sul) |
Certifique-se de que incluiu o seu tráfego de rede na configuração de espelhamento da porta atual. Para obter ajuda, consulte as páginas de configuração do NDR em Integrações da Sophos.
Gerar uma detecção
Nota
Você deve executar o comando em um dispositivo na mesma rede que o Sophos NDR.
No exemplo a seguir, mostraremos como gerar uma detecção usando o prompt de comando do Windows, com as opções padrão.
- Execute o Prompt de comando como administrador.
-
Digite o seguinte comando:
NdrEicarClient.exe
.Nota
Se você gerar uma detecção usando as opções padrão, o cliente se conectará ao servidor us-west-1 e executará o download do arquivo uma vez.
Será gerada uma detecção.
-
No Sophos Central, vá para Centro de Análise de Ameaças > Detecções.
-
Na página Detecções, você deve ver uma detecção recente de alto risco chamada
NDR-DET-TEST-IDS-SCORE
na lista. -
Clique em
NDR-DET-TEST-IDS-SCORE
para abrir os seus detalhes.A Descrição mostra um IP de origem e destino que se comunicam por TCP e TLS na porta 2222. Também mostra o IDS (Intrusion Detection System) como o principal contribuinte para a detecção. IDS é uma lista de certificados bloqueados.
-
Clique na guia Dados brutos. A seção
flow_risk
mostra os seguintes detalhes:- Protocolo conhecido em uma porta não padrão
- Certificado autoassinado
- ALPN (Application-Layer Protocol Negotiation) incomum
- Certificado na lista de bloqueio
- Alta probabilidade de que o domínio do servidor seja gerado por algoritmo (DGA)
- Indicações de uma ameaça pertencente à família Friendly Chameleon.
Opções de linha de comando de teste Eicar
Você pode inserir várias opções de linha de comando após o comando NdrEicarClient.exe
.
Aqui estão algumas das opções de linha de comando:
- Digite
--help
para mostrar as opções disponíveis. - Digite
--region
seguido do nome da região à qual você deseja se conectar. -
Digite
--extra
para gerar tráfego em torno da detecção.O arquivo de teste inclui um recurso de rastreamento da Web para gerar tráfego. Por padrão, o rastreador da web começa com o site
news.sophos.com
e analisa todas as páginas da web*.sophos.com
acessíveis a partir daí. Se o seu firewall ou proxy da Web não permitir isso, você pode especificar um site diferente para começar. O tempo de execução padrão do rastreador da web é um minuto antes do tráfego EICAR e 30 segundos depois. Você pode usar a opção CLI--runtime
para alterar isso. O tempo que você fornecer em segundos será executado antes do tráfego EICAR, e, depois, ele será executado por metade desse tempo.Nota
Incluímos uma pausa entre páginas da web, portanto, a ferramenta não pode ser usada em um ataque de negação de serviço (DoS) em um site.
Para obter informações sobre como gerar uma detecção de NDR por meio do Appliance Manager, consulte Gerar detecções (NDR).