Vai al contenuto

Link permanente della pagina

Utilizza sempre il seguente link permanente quando fai riferimento a questa pagina. Rimarrà invariato nelle versioni future della guida.

https://docs.sophos.com/central/ndr/help/it-it/index.html?contextId=ndr-test

Generazione di rilevamenti (NDR)

È possibile generare rilevamenti di test per verificare che Sophos NDR sia stato configurato correttamente e che funzioni come previsto.

Il test non è pericoloso. Attiva un rilevamento simulando un evento con le caratteristiche tipiche di un attacco. L’evento consiste in un client che scarica un file da un server che presenta un dominio e dettagli del certificato sospetti.

Il test può essere eseguito dalla Gestione dell’appliance.

Requisiti

Assicurarsi che la Gestione dell’appliance sia in grado di accedere al nostro server di test. Configurare il firewall in modo che autorizzi il traffico TCP verso questo dominio e indirizzo IP:

  • Dominio: plrqkxqwvmtkm.xyz
  • Indirizzo IP: 13.56.99.184
  • Porta: 2222

Assicurarsi di avere incluso il proprio traffico di rete nella configurazione attuale del mirroring delle porte. Per maggiori informazioni, vedere le pagine dedicate alla configurazione di NDR in Integrazioni Sophos.

Generazione di un rilevamento

Nota

È necessario accedere alla Gestione dell’appliance da un dispositivo che si trova nella stessa rete di Sophos NDR.

  1. In Sophos Central, selezionare Centro di analisi delle minacce > Integrazioni > Configurato.

  2. Aprire la scheda Appliance di integrazione.

    Elenco di Appliance di integrazione.

  3. Trovare l’appliance. Nella prima colonna a destra, cliccare sui tre puntini e selezionare Apri la Gestione dell’appliance.

    Menu azioni, che mostra “Apri la Gestione dell’appliance”.

  4. Nella finestra di dialogo di conferma, cliccare su Apri.

    Finestra di dialogo di conferma per l’apertura della Gestione dell’appliance.

  5. Nella schermata di accesso, inserire il nome utente zadmin e la propria password.

    Schermata di accesso della Gestione dell’appliance.

  6. Nella Gestione dell’appliance, selezionare *Generate Detections* (Genera rilevamenti).

  7. Nella pagina *Generate NDR Detections (Genera rilevamenti di NDR), cliccare su Generate Detections*.

    Pagina Generate NDR Detections.

  8. Quando viene visualizzato un messaggio che conferma che è in corso la generazione di un rilevamento, cliccare su OK e attendere dieci minuti.

  9. Tornare a Sophos Central.

  10. Selezionare Centro di analisi delle minacce > Rilevamenti.

  11. Nella pagina Rilevamenti, l’elenco dovrebbe includere un rilevamento ad alto rischio recente chiamato NDR-DET-TEST-IDS-SCORE.

    Pagina Rilevamenti.

  12. Cliccare su NDR-DET-TEST-IDS-SCORE per aprirne i dettagli.

    La Descrizione mostrerà un IP di origine e di destinazione che comunica su TCP e TLS, attraverso la porta 2222. Indicherà anche IDS (Intrusion Detection System) come elemento principale che ha contribuito al rilevamento. IDS è un elenco di certificati bloccati.

    Dettagli dei rilevamenti.

  13. Cliccare sulla scheda Dati non elaborati. La sezione flow_risk mostrerà i seguenti dettagli:

    • Protocollo noto su una porta non-standard
    • Certificato autofirmato
    • Application-Layer Protocol Negotiation (ALPN) non comune
    • Certificato inserito nell’elenco di blocco
    • Probabilità elevata che il dominio del server sia stato generato da un algoritmo (DGA)
    • Segni di una minaccia appartenente alla famiglia Friendly Chameleon.

    Rilevamento dei dati non elaborati.

Per informazioni sulla generazione di un rilevamento di NDR dall’interfaccia della riga di comando, vedere Generazione di rilevamenti di NDR dall’interfaccia della riga di comando.