abhinavkishor9/microsoft-defender-lab-01-malware-detection

# microsoft-defender-lab-01-malware-detection ## 概述 本实验演示了 Microsoft Defender Antivirus 如何使用行业标准 **EICAR Antivirus Test File** 来检测和响应恶意软件。 目标是通过生成一次安全的恶意软件检测事件并调查由此产生的警报和事件日志，来了解 Microsoft 的内置端点保护工作流程。 ## 实验目标 - 验证 Microsoft Defender Antivirus 的状态 - 使用 EICAR 测试文件生成一次安全的恶意软件检测事件 - 观察 Microsoft Defender 的响应 - 查阅保护历史记录 - 调查 Windows Defender 操作日志 - 从 SOC 分析师的角度记录发现 ## 实验环境 | 组件 | 详情 | |-----------|---------| | 操作系统 | Windows 10/11 虚拟机 | | 杀毒软件 | Microsoft Defender Antivirus | | SIEM | 无（独立的 Defender 调查） | | 其他工具 | Event Viewer, PowerShell | ## 攻击模拟 创建了一个无害的 **EICAR Antivirus Test File** 来模拟恶意软件检测。 EICAR 文件被防病毒产品识别为测试签名，不会构成实际的安全风险。 工作流程： ``` EICAR Test File ↓ Microsoft Defender Detection ↓ Threat Quarantine ↓ Protection History Updated ↓ Windows Defender Operational Event Generated ``` ## 调查步骤 1. 验证 Defender 服务状态 2. 创建 EICAR 测试文件 3. 观察 Defender 恶意软件检测 4. 查阅保护历史记录 5. 调查 Windows Defender 操作日志 6. 检查事件详情 7. 记录调查结果 ## 收集的证据 - Defender 状态 - 威胁通知 - 保护历史记录 - Windows Defender 操作日志 - 事件详情 ## 展示的技能 - Microsoft Defender 管理 - 恶意软件检测 - Windows 安全调查 - 端点保护 - Windows 事件分析 - 事件记录 - SOC 调查方法论 ## MITRE ATT&CK 映射 | 技术 | 描述 | |-----------|-------------| | T1204 | 用户执行 | | T1566 | 钓鱼模拟（安全测试文件） | | T1083 | 文件发现（调查阶段） | ## 关键学习成果 - 了解 Microsoft Defender 检测工作流程 - 保护历史记录调查 - Windows Defender 操作日志 - 恶意软件警报分析 - 端点安全基础 ## 结论 本实验通过使用 EICAR 测试文件模拟恶意软件检测，提供了 Microsoft Defender Antivirus 的实践经验。调查的重点是了解 Defender 的响应、查阅保护历史记录、分析 Windows Defender 操作日志，以及在 SOC 分析师工作流程中记录发现。

标签：AI合规, 安全实验, 安全运营, 微软Defender, 扫描框架, 端点防护