MS Defender - Test de fonctionnement et dépannage
Test de fonctionnement
Alarmes
Les commandes ci-dessous génère un événement d’alarme pour valider la communication avec le système MS Defender du poste ou du serveur.
L’alarme peut mettre 5-10 minutes à remonter dans l’interface.
Windows
powershell.exe -NoExit -ExecutionPolicy Bypass -WindowStyle Hidden $ErrorActionPreference= 'silentlycontinue';(New-Object System.Net.WebClient).DownloadFile('http://127.0.0.1/1.exe', 'C:\\test-WDATP-test\\invoice.exe');Start-Process 'C:\\test-WDATP-test\\invoice.exe'
MacOS
curl -o ~/Downloads/eicar.com.txt https://www.eicar.org/download/eicar.com.txt
Linux
curl -o ~/Downloads/eicar.com.txt https://www.eicar.org/download/eicar.com.txt
EDR test : Clean Windows Event logs
Les commandes ci-dessous permettent de tester le comportement EDR pour une activité malicieuse (clean des Windows Event Logs). Lancer en Administrateur !
EDR test : Create scheduled task
Pour tester MITRE T1053, créer une tâche planifiée. Si le fonctionnement est correct, Defender doit générer une alerte pour une tâche masquée (masqueraded task or service).
Lancer la commande suivante en administrateur :
EDR test : use of living off the land binary to run malicious code
Tester exécution de charge actives LOLBAS.
Lancer la commande suivante en administrateur :
AV+EDR test : Encode Certutil and decode
Renommer certutil.exe et décoder des fichiers, Si le fonctionnement est correct, Defender doit bloquer le processus.
AV test : Dump LSASS.exe memory using comsvcs.dll
Lancer la commande ci-dessous en administrateur pour simuler le dump du processus LSASS.exe. Dans toutes les situations, le lsassdump hack doit être bloqué.
AV test : Block at First Sight
“Block at First Sight” est une fonctionnalité de MS Defender qui détecte et bloque en quelques secondes les nouveaux malwares. Utiliser le site de test suivant pour générer un nouveau faux malware et tester la détection.
AV test : Cloud-delivered protection
Quand la protection “cloud delivery” est activée et correctement configurée, le fichier doit être bloqué. Télécharger le fichier de test via le lien suivant : https://aka.ms/ioavtest
Pour plus d’information : Microsoft Defender for Endpoint Cloud-delivered protection demonstration | Microsoft Learn
AV test : Network Protection
La protection réseau est critique et fait partie de MS Defender. SmartScreen doit être activé sur Edge et tous les navigateurs tiers en mode bloquant.
Il est possible de tester le statut via le site suivant :
Résultat attendu dans Chrome :
Résultat attendu dans Edge :
AV test : Network Protection Command and Control
Pour tester un “Command and Control (C2)” dans Defender for Endpoint, l’url de test C2 peut être utilisée :
Ouvrir un PowerShell et lancer la commande ci-dessous
Vérification des prérequis
Le Client Analyzer peut être utilisé pour valider les conditions préalables. Le Client Analyzer peut être exécuté avec ou sans Defender for Endpoint installé.
Téléchargez directement le Client Analyzer : https://aka.ms/mdeanalyzer
· Décompressez le téléchargement
· Exécutez MDEClientAnalyzer.cmd en tant qu'administrateur.
· Ouvrez le dossier MDEClientAnalyzerResult.
Affichez le fichier MDEClientAnalyzer.HTM. la page de résultats affiche des informations plus détaillées, notamment l'ID de l'organisation, l'ID du dispositif, l'ID SENSE et les informations EDR.
Contrôle de la connexion vers Microsoft
Il faut ouvrir une cmd en mode Administrateur et lancer la commande ci-dessous. Cela permet de valider que la connexion vers les services Microsoft de configuration fonctionne bien.
Etat de la protection
Il faut ouvrir une fenêtre PowerShell (en mode administrateur pour tout le détail) et passer les commandes suivantes.
Détail des paramètres pertinents :
AMRunningMode : doit être à normal pour un defender actif
AMProductVersion : Doit être une des dernières versions
AMServiceEnabled : Doit être à vrai
AntiSpywareEnabled : Doit être à vrai
BehaviorMonitorEnabled : Doit être à vrai
RealTimeProtectionEnabled : Doit être à vrai
IoavProtectionEnabled : Doit être à vrai
Détail des paramètres de la configuration:
ComputerID
EnableNetworkProtection
ExclusionExtension, ExclusionIpAddress, ExclusionPath, ExclusionProcess
Etat du service
Ouvrir une commande Windows et exécuter la commande suivante. Elle indique l'état du service Defender.
Le service de données de diagnostic Windows doit être activé et configuré dans start_type : AUTO_START. La validation est possible en utilisant :
Dépannage
Forcer la mise à jour des éléments de sécurité (indicateur, …)
Lancer le script en mode admin localement sur le poste
Forcer la synchronisation des polices de configuration
Aller dans les paramètres de Windows, sous comptes et choisir les comptes professionnelles
Sélectionner le compte et le bouton Info.
Cliquer sur le bouton Sync
Problème lors de l'enrôlement (onboarding)
Lorsque les dispositifs ne sont pas visibles dans le portail, un dépannage plus approfondi est éventuellement nécessaire. Lorsque vous rencontrez des problèmes, il est toujours recommandé de valider les exigences MDE.
Les informations d'embarquement sont visibles dans le registre : Ordinateur\HKEY_LOCAL_MACHINE\SOFTWARE\Politiques\Microsoft\Windows Advanced Threat Protection
Two recommended steps:
Use MDEClientAnalyzer after onboarding to view connectivity/ sensor health/ service issues
View the SENSE event log: Applications and Services Logs > Microsoft > Windows > SENSE
Voir tous les événements ID faisant partie du service SENSE. View agent onboarding errors in the device event | Microsoft Doc
Correction de problème de démarrage des services Defender
Dans certains cas, le déploiement de Defender (Onboarding) fonctionne mais le programme ne démarre pas (diagnostiquer via le MDE Analyzer).
Une solution consiste à supprimer les clés de registres suivantes et à redémarrer le poste.
Récupérer des informations sur le poste
Lorsque SENSE ne fonctionne pas, il est conseillé de se plonger davantage dans les journaux et de commencer par les codes d'erreur initiaux de Microsoft Intune.
Pour les étapes de dépannage de Microsoft Intune, voir : Dépannage des problèmes d'intégration à l'aide de Microsofthttps://docs.microsoft.com/en-us/microsoft-365/security/defender-endpoint/troubleshoot-onboarding?view=o365-worldwide#troubleshoot-onboarding-issues-using-microsoft-intune
Journal des événements locaux
Les journaux d'événements SENSE dans Applications and Services Logs > Microsoft > Windows > SENSE contiennent des informations plus détaillées. Dans les cas où le service Defender for Endpoint ne peut être atteint, il est conseillé de faire correspondre l'eventID. Lorsque SENSE est en cours d'exécution, attendez un certain temps avant la première synchronisation initiale.
Il est important de s'assurer que toutes les conditions requises sont remplies avant de procéder à la mise en service initiale. Pour Defender for Endpoint, le service de données de diagnostic doit être activé pour un rapport correct des données.
La liste complète avec l'ID de l'événement est disponible ici View agent onboarding errors in the device event log | Microsoft Docs
Registre
Dans le registre, le chemin suivant est intéressant : Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Advanced Threat Protection.
Ce chemin contient les informations d'accueil et des paramètres supplémentaires. OnboardingInfo contient l'ID de l'organisation, la géolocalisation et la valeur du blob.
Extraction de logs
Fichier de logs Defender Antivirus
Des logs supplémentaires peuvent être récupéré via la commande ci-dessous :
Le fichier CAB se trouve ici par défaut :
C:\ProgramData\Microsoft\Windows Defender\Support\MpSupportFiles.cab