Ověřování upozornění v Microsoft Defenderu for Cloud

  • Článek

Tento dokument vám pomůže zjistit, jak ověřit, jestli je váš systém správně nakonfigurovaný pro upozornění Microsoft Defenderu pro cloud.

Co jsou výstrahy zabezpečení?

Upozornění jsou oznámení, která Defender for Cloud generuje, když detekuje hrozby u vašich prostředků. Určuje prioritu a uvádí výstrahy spolu s informacemi potřebnými k rychlému prozkoumání problému. Defender for Cloud také poskytuje doporučení pro nápravu útoku.

Další informace najdete v tématu Výstrahy zabezpečení v defenderu pro cloud a správu a reagování na výstrahy zabezpečení.

Požadavky

Pokud chcete dostávat všechna upozornění, musí být vaše počítače a připojené pracovní prostory služby Log Analytics ve stejném tenantovi.

Generování ukázkových výstrah zabezpečení

Pokud používáte nové prostředí upozornění ve verzi Preview, jak je popsáno v tématu Správa a reakce na výstrahy zabezpečení v Programu Microsoft Defender pro cloud, můžete na webu Azure Portal vytvořit ukázková upozornění.

Pomocí ukázkových upozornění můžete:

  • vyhodnoťte hodnotu a možnosti vašich plánů v programu Microsoft Defender.
  • ověřte všechny konfigurace, které jste provedli pro výstrahy zabezpečení (například integrace SIEM, automatizace pracovních postupů a e-mailová oznámení).

Vytvoření ukázkových upozornění:

  1. Jako uživatel s rolí Přispěvatel předplatného vyberte na panelu nástrojů na stránce Výstrahy zabezpečení ukázková upozornění.

  2. Vyberte předplatné.

  3. Vyberte příslušný plán nebo plány Programu Microsoft Defender, pro které chcete zobrazit výstrahy.

  4. Vyberte Vytvořit ukázková upozornění.

    Snímek obrazovky znázorňující postup vytvoření ukázkových upozornění v programu Microsoft Defender for Cloud

    Zobrazí se oznámení s oznámením, že se vytvářejí ukázková upozornění:

    Snímek obrazovky s oznámením, že se generují ukázková upozornění

    Po několika minutách se výstrahy zobrazí na stránce výstrah zabezpečení. Zobrazí se také kdekoli jinde, kde jste nakonfigurovali příjem výstrah zabezpečení v programu Microsoft Defender for Cloud (připojené SIEM, e-mailová oznámení atd.).

    Snímek obrazovky znázorňující ukázkové výstrahy v seznamu výstrah zabezpečení

    Tip

    Výstrahy jsou určené pro simulované prostředky.

Simulace výstrah na virtuálních počítačích Azure (Windows)

Po instalaci agenta Microsoft Defenderu for Endpoint na vašem počítači v rámci integrace Defenderu pro servery postupujte podle těchto kroků z počítače, na kterém chcete být napadeným prostředkem výstrahy:

  1. Na zařízení otevřete příkazový řádek se zvýšenými oprávněními a spusťte skript:

    1. Přejděte na Start a zadejte cmd.

    2. Vyberte příkazový řádek pravým tlačítkem a vyberte Spustit jako správce.

    Snímek obrazovky znázorňující, kde vybrat Spustit jako Správa istrator

  2. Na příkazovém řádku zkopírujte a spusťte následující příkaz: powershell.exe -NoExit -ExecutionPolicy Bypass -WindowStyle Hidden $ErrorActionPreference = 'silentlycontinue';(New-Object System.Net.WebClient).DownloadFile('http://127.0.0.1/1.exe', 'C:\\test-MDATP-test\\invoice.exe');Start-Process 'C:\\test-MDATP-test\\invoice.exe'

  3. Okno příkazového řádku se automaticky zavře. V případě úspěchu by se nové upozornění mělo zobrazit v okně Upozornění v programu Defender for Cloud za 10 minut.

  4. Řádek zprávy v poli PowerShellu by se měl podobat tomu, jak se tady zobrazuje:

    Snímek obrazovky s řádkem zpráv PowerShellu

Můžete také použít testovací řetězec EICAR k provedení tohoto testu: Vytvoření textového souboru, vložení řádku EICAR a uložení souboru jako spustitelného souboru na místní disk vašeho počítače.

Poznámka:

Při kontrole testovacích upozornění pro Windows se ujistěte, že je povolený defender pro koncový bod s povolenou ochranou v reálném čase. Zjistěte, jak tuto konfiguraci ověřit.

Simulace upozornění na virtuálních počítačích Azure (Linux)

Po instalaci agenta Microsoft Defenderu for Endpoint na vašem počítači v rámci integrace Defenderu pro servery postupujte podle těchto kroků z počítače, na kterém chcete být napadeným prostředkem výstrahy:

  1. Otevřete okno terminálu, zkopírujte a spusťte následující příkaz: curl -O https://secure.eicar.org/eicar.com.txt

  2. Okno příkazového řádku se automaticky zavře. V případě úspěchu by se nové upozornění mělo zobrazit v okně Upozornění v programu Defender for Cloud za 10 minut.

Poznámka:

Při kontrole testovacích výstrah pro Linux se ujistěte, že je povolený defender pro koncový bod s povolenou ochranou v reálném čase. Zjistěte, jak tuto konfiguraci ověřit.

Simulace upozornění v Kubernetes

Defender for Containers poskytuje výstrahy zabezpečení pro clustery i základní uzly clusteru. Defender for Containers toho dosahuje monitorováním řídicí roviny (serveru API) i kontejnerizované úlohy.

Na základě jeho předpony můžete zjistit, jestli vaše výstraha souvisí s plánem řízení nebo kontejnerizovanou úlohou. Výstrahy zabezpečení roviny řízení mají předponu K8S_, zatímco výstrahy zabezpečení pro úlohy runtime v clusterech mají předponu K8S.NODE_.

Výstrahy pro řídicí rovinu a výstrahy úloh můžete simulovat pomocí následujícího postupu.

Simulace výstrah řídicí roviny (předpona K8S_)

Požadavky

  • Ujistěte se, že je povolený plán Defenderu pro kontejnery.
  • Jenom Arc – Zajistěte, aby byl senzor Defenderu nainstalovaný.
  • Jenom EKS nebo GKE – Ujistěte se, že jsou povolené výchozí možnosti automatického zřizování shromažďování protokolů auditu.

Simulace výstrahy zabezpečení řídicí roviny Kubernetes:

  1. Z clusteru spusťte následující příkaz:

    kubectl get pods --namespace=asc-alerttest-662jfi039n

    Zobrazí se následující odpověď: No resource found.

  2. Počkejte 30 minut.

  3. Na webu Azure Portal přejděte na stránku Výstrahy zabezpečení v programu Defender for Cloud.

  4. V příslušném clusteru Kubernetes vyhledejte následující výstrahu. Microsoft Defender for Cloud test alert for K8S (not a threat)

Simulace výstrah úloh (K8S) NODE_ předpona)

Požadavky

  • Ujistěte se, že je povolený plán Defenderu pro kontejnery.
  • Ujistěte se, že je nainstalovaný senzor Defenderu.

Simulace výstrahy zabezpečení úloh Kubernetes:

  1. Vytvořte pod pro spuštění testovacího příkazu. Tento pod může být libovolný z existujících podů v clusteru nebo nový pod. Můžete vytvořit pomocí této ukázkové konfigurace yaml:

    apiVersion: v1
kind: Pod
metadata:
    name: mdc-test
spec:
    containers:
        - name: mdc-test
          image: ubuntu:18.04
          command: ["/bin/sh"]
          args: ["-c", "while true; do echo sleeping; sleep 3600;done"]

    Postup vytvoření spuštění podu:

    kubectl apply -f <path_to_the_yaml_file>

  2. Z clusteru spusťte následující příkaz:

    kubectl exec -it mdc-test -- bash

  3. Zkopírujte spustitelný soubor do samostatného umístění a přejmenujte ./asc_alerttest_662jfi039n ho pomocí následujícího příkazu cp /bin/echo ./asc_alerttest_662jfi039n.

  4. Spusťte soubor ./asc_alerttest_662jfi039n testing eicar pipe.

  5. Počkejte 10 minut.

  6. Na webu Azure Portal přejděte na stránku Výstrahy zabezpečení v programu Defender for Cloud.

  7. V příslušném clusteru AKS vyhledejte následující výstrahu Microsoft Defender for Cloud test alert (not a threat).

Další informace o ochraně uzlů a clusterů Kubernetes pomocí Microsoft Defenderu pro kontejnery můžete také získat další informace.

Simulace výstrah pro Službu App Service

Můžete simulovat výstrahy pro prostředky spuštěné ve službě App Service.

  1. Vytvořte nový web a počkejte 24 hodin, než se zaregistruje v programu Defender for Cloud, nebo použijte existující web.

  2. Po vytvoření webu k němu použijte následující adresu URL:

    1. Otevřete podokno prostředků služby App Service a zkopírujte doménu adresy URL z výchozího pole domény.

      Snímek obrazovky znázorňující, kam se má zkopírovat výchozí doména

    2. Zkopírujte název webu do adresy URL: https://<website name>.azurewebsites.net/This_Will_Generate_ASC_Alert.

  3. Výstraha se vygeneruje do 1 až 2 hodin.

Simulace výstrah pro ochranu ATP úložiště (Advanced Threat Protection)

  1. Přejděte k účtu úložiště, který má povolený Azure Defender for Storage.

  2. Na bočním panelu vyberte kartu Kontejnery .

    Snímek obrazovky znázorňující, kam se má přejít a vybrat kontejner

  3. Přejděte do existujícího kontejneru nebo vytvořte nový.

  4. Nahrajte do tohoto kontejneru nějaký soubor. Vyhněte se nahrávání jakéhokoli souboru, který může obsahovat citlivá data.

    Snímek obrazovky znázorňující, kde nahrát soubor do kontejneru

  5. Pravým tlačítkem myši vyberte nahraný soubor a vyberte Vygenerovat SAS.

  6. Vyberte tlačítko Generovat token SAS a adresu URL (nemusíte měnit žádné možnosti).

  7. Zkopírujte vygenerovanou adresu URL SAS.

  8. Otevřete prohlížeč Tor, který si můžete stáhnout zde.

  9. V prohlížeči Tor přejděte na adresu URL SAS. Teď byste měli vidět soubor, který jste nahráli, a můžete si ho stáhnout.

Testování upozornění služby AppServices

Simulace upozornění služby App Services EICAR:

  1. Vyhledejte koncový bod HTTP webu tak, že přejdete do okna webu Azure Portal pro web App Services nebo použijete vlastní položku DNS přidruženou k tomuto webu. (Výchozí koncový bod adresy URL pro web služby Aplikace Azure Services má příponu https://XXXXXXX.azurewebsites.net). Web by měl být existující web, nikoli web vytvořený před simulací výstrahy.
  2. Přejděte na adresu URL webu a přidejte následující pevnou příponu: /This_Will_Generate_ASC_Alert. Adresa URL by měla vypadat takto: https://XXXXXXX.azurewebsites.net/This_Will_Generate_ASC_Alert. Vygenerování výstrahy může nějakou dobu trvat (přibližně 1,5 hodiny).

Ověření detekce hrozeb ve službě Azure Key Vault

  1. Pokud ještě nemáte službu Key Vault vytvořenou, nezapomeňte ji vytvořit.
  2. Po dokončení vytváření služby Key Vault a tajného kódu přejděte na virtuální počítač, který má přístup k internetu, a stáhněte prohlížeč TOR.
  3. Nainstalujte prohlížeč TOR na virtuální počítač.
  4. Po dokončení instalace otevřete běžný prohlížeč, přihlaste se k webu Azure Portal a přejděte na stránku Služby Key Vault. Vyberte zvýrazněnou adresu URL a zkopírujte adresu.
  5. Otevřete TOR a vložte tuto adresu URL (pro přístup k webu Azure Portal je potřeba se znovu ověřit).
  6. Po dokončení přístupu můžete také vybrat možnost Tajné kódy v levém podokně.
  7. V prohlížeči TOR se odhlaste z webu Azure Portal a zavřete prohlížeč.
  8. Po nějaké době aktivuje Defender for Key Vault upozornění s podrobnými informacemi o této podezřelé aktivitě.

Další kroky

V tomto článku jste se seznámili s procesem ověřování výstrah. Teď, když jste obeznámeni s tímto ověřením, projděte si následující články: