مشاركة عبر

التحقق من صحة التنبيه في Microsoft Defender for Cloud

  • مقالة

يساعدك هذا المستند في معرفة كيفية التحقق مما إذا كان نظامك قد تم تكوينه بشكل صحيح لتنبيهات Microsoft Defender for Cloud.

ما التنبيهات الأمنية؟

التنبيهات هي الإشعارات التي ينشئها Defender for Cloud عندما يكتشف تهديدات على مواردك. فهو يعطي الأولوية للتنبيهات ويسردها بالإضافة إلى المعلومات اللازمة للتحقيق في المشكلة بسرعة. توفر Defender for Cloud أيضاً توصيات حول كيفية معالجة أي هجوم.

لمزيد من المعلومات، راجع تنبيهات الأمان في Defender for Cloud وإدارة تنبيهات الأمان والاستجابة لها.

المتطلبات الأساسية

لتلقي جميع التنبيهات، يجب أن تكون أجهزتك ومساحات عمل Log Analytics المتصلة في نفس المستأجر.

توليد عينة من التنبيهات الأمنية

إذا كنت تستخدم تجربة تنبيهات المعاينة الجديدة كما هو موضح في إدارة تنبيهات الأمان والاستجابة لها في Microsoft Defender for Cloud، يمكنك إنشاء نماذج تنبيهات من صفحة تنبيهات الأمان في مدخل Microsoft Azure.

استخدم نماذج التنبيهات من أجل:

  • تقييم قيمة خطط Microsoft Defender وقدراتها.
  • تحقق من صحة أي تكوينات قمت بها لتنبيهات الأمان (مثل تكامل SIEM وأتمتة سير العمل وإعلامات البريد الإلكتروني).

لإنشاء نماذج التنبيهات:

  1. كمستخدم مع دور مساهم الاشتراك، من شريط الأدوات في صفحة تنبيهات الأمان، حدد Sample alerts.

  2. اختر الاشتراك.

  3. حدد خطة/خطط Microsoft Defender ذات الصلة التي تريد رؤية التنبيهات الخاصة بها.

  4. حدد Create sample alerts.

    لقطة شاشة تعرض خطوات إنشاء تنبيهات نموذجية في Microsoft Defender for Cloud.

    يظهر إشعار يخبرك بأنه يتم إنشاء نماذج التنبيهات:

    لقطة شاشة تعرض إعلاما بأنه يتم إنشاء نماذج التنبيهات.

    بعد بضع دقائق، تظهر التنبيهات في صفحة تنبيهات الأمان. كما تظهر في أي مكان آخر قمت بتكوينه لتلقي تنبيهات أمان Microsoft Defender for Cloud (SIEMs المتصلة وإعلامات البريد الإلكتروني وما إلى ذلك).

    لقطة شاشة تعرض نماذج التنبيهات في قائمة تنبيهات الأمان.

    تلميح

    التنبيهات لمصادر تمت محاكاتها.

محاكاة التنبيهات على Azure VMs (Windows)

بعد تثبيت عامل Microsoft Defender لنقطة النهاية على جهازك، كجزء من تكامل Defender for Servers، اتبع هذه الخطوات من الجهاز حيث تريد أن تكون المورد الذي تمت مهاجمته للتنبيه:

  1. افتح موجه سطر أوامر غير مقيد على الجهاز وقم بتشغيل البرنامج النصي:

    1. انتقل إلى البدء واكتب cmd.

    2. حدد موجه الأوامر بزر الماوس الأيمن وحدد تشغيل كمسؤول

    لقطة شاشة توضح مكان تحديد Run as مسؤول istrator.

  2. في المطالبة، انسخ الأمر التالي وقم بتشغيله: powershell.exe -NoExit -ExecutionPolicy Bypass -WindowStyle Hidden $ErrorActionPreference = 'silentlycontinue';(New-Object System.Net.WebClient).DownloadFile('http://127.0.0.1/1.exe', 'C:\\test-MDATP-test\\invoice.exe');Start-Process 'C:\\test-MDATP-test\\invoice.exe'

  3. يتم إغلاق نافذة موجه الأوامر تلقائيا. إذا نجحت، يجب أن يظهر تنبيه جديد في شفرة Defender for Cloud Alerts في 10 دقائق.

  4. يجب أن يظهر سطر الرسالة في مربع PowerShell مشابها لكيفية تقديمه هنا:

    لقطة شاشة تعرض سطر رسالة PowerShell.

بدلا من ذلك، يمكنك أيضا استخدام سلسلة اختبار EICAR لإجراء هذا الاختبار: إنشاء ملف نصي، ولصق سطر EICAR، وحفظ الملف كملف قابل للتنفيذ إلى محرك الأقراص المحلي لجهازك.

إشعار

عند مراجعة تنبيهات الاختبار لنظام التشغيل Windows، تأكد من تمكين Defender لنقطة النهاية مع تمكين الحماية في الوقت الحقيقي. تعرف على كيفية التحقق من صحة هذا التكوين.

محاكاة التنبيهات على Azure VMs (Linux)

بعد تثبيت عامل Microsoft Defender لنقطة النهاية على جهازك، كجزء من تكامل Defender for Servers، اتبع هذه الخطوات من الجهاز حيث تريد أن تكون المورد الذي تمت مهاجمته للتنبيه:

  1. افتح نافذة Terminal، وانسخ الأمر التالي وقم بتشغيله: curl -O https://secure.eicar.org/eicar.com.txt

  2. يتم إغلاق نافذة موجه الأوامر تلقائيا. إذا نجحت، يجب أن يظهر تنبيه جديد في شفرة Defender for Cloud Alerts في 10 دقائق.

إشعار

عند مراجعة تنبيهات الاختبار لنظام Linux، تأكد من تمكين Defender لنقطة النهاية مع تمكين الحماية في الوقت الحقيقي. تعرف على كيفية التحقق من صحة هذا التكوين.

محاكاة التنبيهات على Kubernetes

يوفر Defender for Containers تنبيهات أمان لكل من نظام المجموعات الخاصة بك وعقد المجموعة الأساسية. ينجز Defender for Containers هذا من خلال مراقبة كل من مستوى التحكم (خادم API) وحِمل العمل المعبأ بالحاويات.

يمكنك معرفة ما إذا كان التنبيه الخاص بك مرتبطاً بخطة التحكم أو حِمل العمل المعبأ بالحاويات بناءً على بادئته. تنبيهات أمان مستوى التحكم لها بادئة من K8S_، بينما تنبيهات الأمان لحِمل العمل في وقت التشغيل في نظام المجموعات لها بادئة من K8S.NODE_.

يمكنك محاكاة التنبيهات لكل من مستوى التحكم وتنبيهات حِمل العمل بالخطوات التالية.

محاكاة تنبيهات مستوى التحكم (K8S_ بادئة)

المتطلبات المسبقه

  • تأكد من تمكين خطة Defender for Container.
  • Arc فقط - تأكد من تثبيت مستشعر Defender.
  • EKS أو GKE فقط - تأكد من تمكين خيارات التوفير التلقائي لمجموعة سجلات التدقيق الافتراضية.

لمحاكاة تنبيه أمان وحدة التحكم Kubernetes:

  1. قم بتشغيل الأمر التالي من نظام المجموعة:

    kubectl get pods --namespace=asc-alerttest-662jfi039n

    تحصل على الاستجابة التالية: No resource found.

  2. انتظر 30 دقيقة.

  3. في مدخل Microsoft Azure، انتقل إلى صفحة تنبيهات الأمان في Defender for Cloud.

  4. في مجموعة Kubernetes ذات الصلة، حدد التنبيه التالي Microsoft Defender for Cloud test alert for K8S (not a threat)

محاكاة تنبيهات حجم العمل (بادئة K8S.NODE_)

المتطلبات المسبقه

  • تأكد من تمكين خطة Defender for Container.
  • تأكد من تثبيت مستشعر Defender.

لمحاكاة تنبيه أمان حمل عمل Kubernetes:

  1. إنشاء جراب لتشغيل أمر اختبار عليه. يمكن أن يكون هذا الجراب أي من الجرابات الموجودة في نظام المجموعة، أو جراب جديد. يمكنك إنشاء باستخدام نموذج تكوين yaml هذا:

    apiVersion: v1
kind: Pod
metadata:
    name: mdc-test
spec:
    containers:
        - name: mdc-test
          image: ubuntu:18.04
          command: ["/bin/sh"]
          args: ["-c", "while true; do echo sleeping; sleep 3600;done"]

    لإنشاء تشغيل الجراب:

    kubectl apply -f <path_to_the_yaml_file>

  2. قم بتشغيل الأمر التالي من نظام المجموعة:

    kubectl exec -it mdc-test -- bash

  3. انسخ الملف القابل للتنفيذ إلى موقع منفصل وأعد تسميته باستخدام ./asc_alerttest_662jfi039n الأمر cp /bin/echo ./asc_alerttest_662jfi039nالتالي.

  4. قم بتنفيذ الملف ./asc_alerttest_662jfi039n testing eicar pipe.

  5. انتظر 10 دقائق.

  6. في مدخل Microsoft Azure، انتقل إلى صفحة تنبيهات الأمان في Defender for Cloud.

  7. في مجموعة AKS ذات الصلة، حدد التنبيه التالي Microsoft Defender for Cloud test alert (not a threat).

يمكنك أيضاً معرفة المزيد حول الدفاع عن عُقد ومجموعات Kubernetes باستخدام Microsoft Defender for Containers.

محاكاة التنبيهات لخدمة التطبيقات

يمكنك محاكاة التنبيهات للموارد التي تعمل على App Service.

  1. قم بإنشاء موقع ويب جديد وانتظر 24 ساعة ليتم تسجيله مع Defender for Cloud، أو استخدم موقع ويب موجود.

  2. بمجرد إنشاء موقع ويب، قم بالوصول إليه باستخدام عنوان URL التالي:

    1. افتح جزء موارد خدمة التطبيق وانسخ المجال الخاص بعنوان URL من حقل المجال الافتراضي.

      لقطة شاشة توضح مكان نسخ المجال الافتراضي.

    2. انسخ اسم موقع الويب إلى عنوان URL: https://<website name>.azurewebsites.net/This_Will_Generate_ASC_Alert.

  3. يتم إنشاء تنبيه في غضون ساعة إلى ساعتين تقريبا.

محاكاة التنبيهات ل Storage ATP (الحماية المتقدمة من التهديدات)

  1. انتقل إلى حساب تخزين تم تمكين Azure Defender for Storage فيه.

  2. حدد علامة التبويب Containers في الشريط الجانبي.

    لقطة شاشة توضح مكان التنقل لتحديد حاوية.

  3. انتقل إلى حاوية موجودة أو أنشئ حاوية جديدة.

  4. تحميل ملف إلى تلك الحاوية. تجنب تحميل أي ملف قد يحتوي على بيانات حساسة.

    لقطة شاشة توضح مكان تحميل ملف إلى الحاوية.

  5. حدد الملف الذي تم تحميله بزر الماوس الأيمن وحدد Generate SAS.

  6. حدد زر إنشاء رمز SAS المميز وعنوان URL (لا حاجة لتغيير أي خيارات).

  7. نسخ عنوان URL الذي أنشئ لـ SAS.

  8. افتح متصفح Tor، الذي يمكنك تنزيله هنا.

  9. في مستعرض Tor، الانتقال إلى SAS URL. يجب أن تشاهد الآن الملف الذي تم تحميله ويمكنك تنزيله.

اختبار تنبيهات AppServices

لمحاكاة تنبيه EICAR لخدمات التطبيقات:

  1. ابحث عن نقطة نهاية HTTP لموقع الويب إما عن طريق الانتقال إلى شفرة مدخل Microsoft Azure لموقع App Services على الويب أو باستخدام إدخال DNS المخصص المقترن بموقع الويب هذا. (تحتوي نقطة نهاية URL الافتراضية لموقع Azure App Services على اللاحقة https://XXXXXXX.azurewebsites.net). يجب أن يكون موقع الويب موقعا موجودا وليس موقعا تم إنشاؤه قبل محاكاة التنبيه.
  2. استعرض للوصول إلى عنوان URL لموقع الويب وأضف اللاحقة الثابتة التالية: /This_Will_Generate_ASC_Alert. يجب أن يبدو عنوان URL كما يلي: https://XXXXXXX.azurewebsites.net/This_Will_Generate_ASC_Alert. قد يستغرق إنشاء التنبيه بعض الوقت (~1.5 ساعة).

التحقق من صحة Azure Key Vault Threat Detection

  1. إذا لم يكن لديك Key Vault تم إنشاؤه بعد، فتأكد من إنشاء واحد.
  2. بعد الانتهاء من إنشاء Key Vault والسر، انتقل إلى جهاز ظاهري لديه حق الوصول إلى الإنترنت وقم بتنزيل متصفح TOR.
  3. تثبيت متصفح TOR على الجهاز الظاهري الخاص بك.
  4. بمجرد الانتهاء من التثبيت، افتح المستعرض العادي، وسجل الدخول إلى مدخل Microsoft Azure، وادخل إلى صفحة Key Vault. حدد عنوان URL المميز وانسخ العنوان.
  5. افتح TOR والصق عنوان URL هذا (تحتاج إلى المصادقة مرة أخرى للوصول إلى مدخل Microsoft Azure).
  6. بعد الانتهاء من الوصول، يمكنك أيضا تحديد خيار Secrets في الجزء الأيمن.
  7. في متصفح TOR، سجل الخروج من مدخل Microsoft Azure وأغلق المستعرض.
  8. بعد مرور بعض الوقت، سيقوم Defender for Key Vault بتشغيل تنبيه بمعلومات مفصلة حول هذا النشاط المشبوه.

الخطوات التالية

قدمت لك هذه المقالة عملية التحقق من صحة التنبيهات. الآن بعد أن أصبحت على دراية بهذا التحقق من الصحة، استكشف المقالات التالية: