MS Defender - Test de fonctionnement et dépannage

Owned by Yan Pardo
Last updated: 05 Jan 2024
5 min read

Test de fonctionnement

Alarmes

Les commandes ci-dessous génère un événement d’alarme pour valider la communication avec le système MS Defender du poste ou du serveur.

L’alarme peut mettre 5-10 minutes à remonter dans l’interface.

Windows

powershell.exe -NoExit -ExecutionPolicy Bypass -WindowStyle Hidden $ErrorActionPreference= 'silentlycontinue';(New-Object System.Net.WebClient).DownloadFile('http://127.0.0.1/1.exe', 'C:\\test-WDATP-test\\invoice.exe');Start-Process 'C:\\test-WDATP-test\\invoice.exe'

MacOS

curl -o ~/Downloads/eicar.com.txt https://www.eicar.org/download/eicar.com.txt

Linux

curl -o ~/Downloads/eicar.com.txt https://www.eicar.org/download/eicar.com.txt

EDR test : Clean Windows Event logs

Les commandes ci-dessous permettent de tester le comportement EDR pour une activité malicieuse (clean des Windows Event Logs). Lancer en Administrateur !

EDR test : Create scheduled task

Pour tester MITRE T1053, créer une tâche planifiée. Si le fonctionnement est correct, Defender doit générer une alerte pour une tâche masquée (masqueraded task or service).

Lancer la commande suivante en administrateur :

EDR test : use of living off the land binary to run malicious code

Tester exécution de charge actives LOLBAS.

Lancer la commande suivante en administrateur :

AV+EDR test : Encode Certutil and decode

Renommer certutil.exe et décoder des fichiers, Si le fonctionnement est correct, Defender doit bloquer le processus.

AV test : Dump LSASS.exe memory using comsvcs.dll

Lancer la commande ci-dessous en administrateur pour simuler le dump du processus LSASS.exe. Dans toutes les situations, le lsassdump hack doit être bloqué.

AV test : Block at First Sight

“Block at First Sight” est une fonctionnalité de MS Defender qui détecte et bloque en quelques secondes les nouveaux malwares. Utiliser le site de test suivant pour générer un nouveau faux malware et tester la détection.

AV test : Cloud-delivered protection

Quand la protection “cloud delivery” est activée et correctement configurée, le fichier doit être bloqué. Télécharger le fichier de test via le lien suivant : https://aka.ms/ioavtest

Pour plus d’information : Microsoft Defender for Endpoint Cloud-delivered protection demonstration | Microsoft Learn

AV test : Network Protection

La protection réseau est critique et fait partie de MS Defender. SmartScreen doit être activé sur Edge et tous les navigateurs tiers en mode bloquant.

Il est possible de tester le statut via le site suivant :

Résultat attendu dans Chrome :

Résultat attendu dans Edge :

AV test : Network Protection Command and Control

Pour tester un “Command and Control (C2)” dans Defender for Endpoint, l’url de test C2 peut être utilisée :

Ouvrir un PowerShell et lancer la commande ci-dessous

Vérification des prérequis

Le Client Analyzer peut être utilisé pour valider les conditions préalables. Le Client Analyzer peut être exécuté avec ou sans Defender for Endpoint installé.

Téléchargez directement le Client Analyzer : https://aka.ms/mdeanalyzer

·         Décompressez le téléchargement

·         Exécutez MDEClientAnalyzer.cmd en tant qu'administrateur.

·         Ouvrez le dossier MDEClientAnalyzerResult.

Affichez le fichier MDEClientAnalyzer.HTM. la page de résultats affiche des informations plus détaillées, notamment l'ID de l'organisation, l'ID du dispositif, l'ID SENSE et les informations EDR.

Contrôle de la connexion vers Microsoft

Il faut ouvrir une cmd en mode Administrateur et lancer la commande ci-dessous. Cela permet de valider que la connexion vers les services Microsoft de configuration fonctionne bien.

Etat de la protection

Il faut ouvrir une fenêtre PowerShell (en mode administrateur pour tout le détail) et passer les commandes suivantes.

Détail des paramètres pertinents :

  • AMRunningMode : doit être à normal pour un defender actif

  • AMProductVersion : Doit être une des dernières versions

  • AMServiceEnabled : Doit être à vrai

  • AntiSpywareEnabled : Doit être à vrai

  • BehaviorMonitorEnabled : Doit être à vrai

  • RealTimeProtectionEnabled : Doit être à vrai

  • IoavProtectionEnabled : Doit être à vrai

 

Détail des paramètres de la configuration:

  • ComputerID

  • EnableNetworkProtection

  • ExclusionExtension, ExclusionIpAddress, ExclusionPath, ExclusionProcess

Etat du service

Ouvrir une commande Windows et exécuter la commande suivante. Elle indique l'état du service Defender.

Le service de données de diagnostic Windows doit être activé et configuré dans start_type : AUTO_START. La validation est possible en utilisant :

Dépannage

Forcer la synchronisation des polices de configuration

Aller dans les paramètres de Windows, sous comptes et choisir les comptes profesionnelles

Sélectionner le compte et le bouton Info.

Cliquer sur le bouton Sync

Problème lors de l'enrôlement (onboarding)

Lorsque les dispositifs ne sont pas visibles dans le portail, un dépannage plus approfondi est éventuellement nécessaire. Lorsque vous rencontrez des problèmes, il est toujours recommandé de valider les exigences MDE.

Les informations d'embarquement sont visibles dans le registre : Ordinateur\HKEY_LOCAL_MACHINE\SOFTWARE\Politiques\Microsoft\Windows Advanced Threat Protection

Two recommended steps:

Use MDEClientAnalyzer after onboarding to view connectivity/ sensor health/ service issues

View the SENSE event log: Applications and Services Logs > Microsoft > Windows > SENSE

Voir tous les événements ID faisant partie du service SENSE.  View agent onboarding errors in the device event | Microsoft Doc

Correction de problème de démarrage des services Defender

Dans certains cas, le déploiement de Defender (Onboarding) fonctionne mais le programme ne démarre pas (diagnostiquer via le MDE Analyzer).

Une solution consiste à supprimer les clés de registres suivantes et à redémarrer le poste.

Récupérer des informations sur le poste

Lorsque SENSE ne fonctionne pas, il est conseillé de se plonger davantage dans les journaux et de commencer par les codes d'erreur initiaux de Microsoft Intune.

Pour les étapes de dépannage de Microsoft Intune, voir : Dépannage des problèmes d'intégration à l'aide de Microsofthttps://docs.microsoft.com/en-us/microsoft-365/security/defender-endpoint/troubleshoot-onboarding?view=o365-worldwide#troubleshoot-onboarding-issues-using-microsoft-intune

Journal des événements locaux

Les journaux d'événements SENSE dans Applications and Services Logs > Microsoft > Windows > SENSE contiennent des informations plus détaillées. Dans les cas où le service Defender for Endpoint ne peut être atteint, il est conseillé de faire correspondre l'eventID. Lorsque SENSE est en cours d'exécution, attendez un certain temps avant la première synchronisation initiale.

 

Il est important de s'assurer que toutes les conditions requises sont remplies avant de procéder à la mise en service initiale. Pour Defender for Endpoint, le service de données de diagnostic doit être activé pour un rapport correct des données.

La liste complète avec l'ID de l'événement est disponible ici  View agent onboarding errors in the device event log | Microsoft Docs

Registre

Dans le registre, le chemin suivant est intéressant : Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Advanced Threat Protection.

Ce chemin contient les informations d'accueil et des paramètres supplémentaires. OnboardingInfo contient l'ID de l'organisation, la géolocalisation et la valeur du blob.

Extraction de logs

Fichier de logs Defender Antivirus

Des logs supplémentaires peuvent être récupéré via la commande ci-dessous :

Le fichier CAB se trouve ici par défaut :
C:\ProgramData\Microsoft\Windows Defender\Support\MpSupportFiles.cab