如何生成首次检测

介绍

这是一个功能测试，用于评估行为检测引擎的有效性。它演示了生成警报的安全方法。它还允许用户评估 Endpoint Central的下一代杀毒功能，并提供检测操作的概述，而不会影响系统上的实际文件。

前提条件

第一步：启用用户设备通知

继续之前，请确保 Endpoint Central agent 已安装且启用了 NGAV 插件。要检查 NGAV 软件是否正常工作，请按照以下步骤操作：

导航至设置 -> 通知设置 -> 点击修改 -> 确保启用了用户设备警报通知。

第二步：验证 NGAV 服务状态

• 按 Win + R，输入 cmd，按回车打开命令提示符。
• Run the command

  sc query mearwservice

状态显示为 运行中，表示 NGAV 软件正在运行。

生成首次检测

请按照以下步骤运行 .exe 进程并生成首次恶意软件检测：

• 按 Win + R，输入 cmd，按回车打开命令提示符。
• Run the command

  choice.exe /m me_edr_sample_detection

• 输入 Y 启动进程，当出现命令提示时输入 me_edr_sample_detection [Y,N]?

会显示该进程的通知，该进程将被标记为恶意事件。它会在控制台的事件标签下列出。

在事件标签中，会出现由行为检测引擎检测的新警报。

点击该事件以展开检测详情。 概览 标签提供可疑进程的概述。

警报 标签包含完整的取证数据，包括该事件的进程树。 在 设备 标签中，可以查看受事件影响的终端。