本文適用於以下產品:WithSecure Elements Endpoint Protection (EPP)
說明:
當成功安裝了 WithSecure Elements Endpoint Detection and Response 後,可用以下方式進行功能驗證。
- 在有安裝 WithSecure Elements Endpoint Detection and Response 的主機上,用最
高權限開啟命令提示字元 (CMD) - 輸入指令: whoami 及 exit
- 登入 WithSecure Elements 平台並到【寬泛內容偵測】,裡面將會出現一筆
風險為 ”資訊”、類型為 “偵查活動” 的偵測事件
- 點擊該事件的 ID,進入該事件的寬泛內容偵測
- 可在摘要、處理序樹狀結構、處理序詳情查看到當在該主機上開啟命令提示
字元 (CMD) 並執行指令 whoami 的程序動作
- 在 [處理序樹狀結構] 裡可以看到 cmd.exe 建立了子處理序 whoami.exe
- 頁面往下滑會看到子處理序 whoami.exe 被建立的原因是因為使用了命令提示
字元 (CMD) 執行了 whoami 指令
※ 通常一般使用者很少會去執行 whoami 指令