1. Kiểm tra cấu hình Behavior Monitoring và Sensor
1.1. Behavior Monitoring
Sử dụng tính năng Behavior Monitoring và Predictive Machine Learning thì Endpoint cần kết nối internet trực tiếp hoặc qua proxy. Phần này mình sẽ không đi vào chi tiết.
B1: Kiểm tra đảm bảo đã cấu hình bật tính năng Behavior Monitoring trong cấu hình Anti-Malware
1.2. Sensor
B1: Kiểm tra sensor đã được enable trên endpoint
2. Thực hiện kiểm thử
Bạn có thể tham khảo bài viết về file mã độc tại link này để thực hiện kiểm thử tình huống này
B1: Trên Endpoint để thực hiện kiểm thử mình đã chuẩn bị một số file office (ít nhất là 3 file trở lên) co đường dẫn tại C:\syvtit-testing (vì mã độc này mình chỉ mã hóa một số file word-excel tại đường dẫn này)
B2: Tải file mã độc từ 1 link nào đó ngoài internet (trong bài viết này mình sẽ dựng 1 fileserver bằng python, phần này mình sẽ không đi vào chi tiết)
B3: Thử thi chạy file mã độc trên endpoint
B4: Kiểm tra log trên Endpoint phát hiện hành vi mã hóa
B5: Kiểm tra log trên Server & Workload Protection
B6: Kiểm tra log trên Vision One
B7: Search tất cả activity liên quan đến file mã độc này
B8: Check Execute Profile để xem chi tiết về tình huống này
