跳至內容
部分或全部頁面已經過機器翻譯。
查找我們如何支持MDR

從命令行界面生成NDR檢測

您可以生成測試檢測以檢查Sophos NDR是否正確設定和工作。

測試不是惡意的。它通過類比具有典型攻擊特徵的事件來觸發檢測。事件是客戶端從具有可疑域和證書詳細資訊的伺服器下載文件。

您可以從命令行界面(CLI)執行測試。

需求

Sophos NDR測試下載NDR EICAR客戶端文件

配置防火牆以允許TCP流量到達您要連接的區域中的域和IP地址。

網域名稱 IP 位址 TCP 連接埠 AWS 區域
plrqkxqwvmtkm.xyz 13.56.99.184 2222 us-west-2(美國俄勒岡州)
erqcmuydfkzzw.org 16.62.124.9 2222 歐盟中部-2號廳(瑞士蘇黎世)
lypwmxbnctosa.net 18.142.20.211 2222 ap-southeast-1(新加坡)
xbmwsfgbphzvn.com 18.167.138.38 2222 AP-EAST-1 (中國香港)
qwpoklsdvxbmy.com 177.71.144.35 2222 SA-EAST-1 (São聖保羅)

確保您已將網路流量包含在當前埠鏡像設定中。有關幫助,請參閱 Sophos 整合功能中的NDR設定頁面。

生成檢測

注意

您必須在與Sophos NDR相同的網路上的設備上執行該命令。

在以下示例中,我們將向您展示如何使用Windows命令提示符(帶有預設選項)生成檢測。

  1. 以系統管理員身分開啟命令提示字元。
  2. 輸入以下指令:NdrEicarClient.exe

    命令提示符下的NDR測試。

    注意

    如果使用預設選項生成檢測,客戶端將連接到us-west-1伺服器並執行一次文件下載。

    將生成檢測。

  3. 在 Sophos Central 中,移至威脅分析中心 > 偵測

  4. 在" 檢測" 頁面上,您應該會看到 NDR-DET-TEST-IDS-SCORE 列表中列出的最近的高風險檢測。

    偵測頁面。

  5. NDR-DET-TEST-IDS-SCORE 擊以打開其詳細資訊。

    說明 顯示埠2222上通過TCP和TLS進行通信的源IP和目標IP。它還顯示IDS (入侵檢測系統)是檢測的主要因素。ID是阻止的證書列表。

    偵測詳細資料。

  6. 單擊 原始數據 選項卡。flow_risk摘要顯示以下詳細資訊。

    • 非標準埠上的已知協議
    • 下載自我簽署的憑證
    • 不常見的應用層協議協商(ALPN)
    • 已封鎖的憑證
    • 伺服器域很可能是由算法(DGA)生成的
    • 有跡象表明,友好的查梅倫家族面臨威脅。

    檢測原始數據。

EICAR測試命令行選項

您可以在 NdrEicarClient.exe 命令後輸入各種命令行選項。

以下是一些命令行選項:

  • 鍵入 --help 以顯示可用選項。
  • 鍵入 --region 要連接到的區域的名稱。
  • 鍵入 --extra 以生成檢測周圍的流量。

    在命令輸出中使用額外流量進行NDR測試。

    測試文件包括用於生成流量的Web爬網功能。預設情況下,Web爬網程序從 news.sophos.com 網站開始,並分析 *.sophos.com 從該網站可訪問的所有網頁。如果防火牆或Web代理不允許這樣做,您可以指定一個不同的網站以開始。Web爬行程序的預設執行時間是EICAR流量前一分鐘,之後是30秒。您可以使用 --runtime CLI選項更改此選項。您提供的時間(以秒爲單位)將在EICAR通信之前執行,然後在之後執行一半時間。

    注意

    我們在網頁之間添加了暫停,因此此工具不能用於網站上的拒絕服務(DoS)攻擊。

有關通過設備管理器生成NDR檢測的資訊,請參閱 生成檢測(NDR)