威胁模拟主要用于快速生成XDR平台内置样例事件，产生安全告警以及安全事件，体验XDR平台安全分析能力以及研判模拟。威胁模拟一共有两种模式，分为样例事件体验以及下载测试样本。

场景一：通过样例事件体验

• 平台直接生成样例安全告警、安全事件。
• 使用说明：点击安全事件处理->功能说明（右上角隐藏说明的位置）->威胁模拟，在弹出窗口中点击立即体验。XDR平台在几秒之内生成样例数据，事件名称以样例事件开头，比如样例事件-Shiro反序列化攻击，可以通过条件快速进行过滤展示。

体验完成之后，可以勾选所有样例事件在标记状态中选择忽略，下次体验时重新通过上述方式生成样例事件。

场景二：通过下载测试脚本体验

• 本脚本主要用于在主机上模拟已失陷的场景，在主机上触发失陷主机恶意行为，上报至XDR之后进行关联分析，产生安全事件。
• 在威胁模拟页面下载，在深信服社区中下载对应的测试脚本 XDR_POC_Script_V1.5.zip。将下载的样本在已安装了EDR或者CWPP的agent终端（推荐Windows10）上进行执行。为了真实模拟已失陷的场景下攻击绕过场景，需要在执行脚本前进行一些EDR(CWPP不需要)初始化操作。

EDR侧配置：EDR服务端(MGR)策略中心病毒查杀设置仅上报不处置，实时防护设置仅上报不处置。

最后需要到安装agent的终端（推荐Windows10）上取消告警弹窗。

完成初始化操作之后，在安装agent的终端（推荐Windows10）上双击运行样本，详细执行过程可参考弹出窗口中的视频。