WithSecure Elements
2024-05-30
【唯思安全 WithSecure】簡單測試 WithSecure Elements Endpoint Detection and Response 的功能
上次更新時間:2024-05-30 | Author:Victor
本文適用於以下產品 WithSecure Elements
功能說明
當成功安裝了 WithSecure Elements Endpoint Detection and Response 後,可用以下方式進行功能驗證。
-
在有安裝 WithSecure Elements Endpoint Detection and Response 的主機上,用最高權限開啟命令提示字元 (CMD)。
-
輸入指令: whoami 及 exit。
-
登入 WithSecure Elements 平台並到【寬泛內容偵測】,裡面將會出現一筆風險為 ”資訊”、類型為 “偵查活動” 的偵測事件。
-
點擊該事件的 ID,進入該事件的寬泛內容偵測。
-
可在摘要、處理序樹狀結構、處理序詳情查看到當在該主機上開啟命令提示字元 (CMD) 並執行指令 whoami 的程序動作。
-
在 [處理序樹狀結構] 裡可以看到 cmd.exe 建立了子處理序 whoami.exe。
-
頁面往下滑會看到子處理序 whoami.exe 被建立的原因是因為使用了命令提示字元 (CMD) 執行了 whoami 指令。
※ 通常一般使用者很少會去執行 whoami 指令
聯絡資訊
如需更多資訊,請與湛揚技術服務中心聯繫,我們將竭誠為您服務!
服務信箱:support@t-tech.com.tw
客服專線:(02)2515-1599
週一至週五 (不含國定假日) 09:00~12:30;13:30~18:00