Ověřování upozornění v Microsoft Defenderu for Cloud
Tento dokument vám pomůže zjistit, jak ověřit, jestli je váš systém správně nakonfigurovaný pro upozornění Microsoft Defenderu pro cloud.
Co jsou výstrahy zabezpečení?
Upozornění jsou oznámení, která Defender for Cloud generuje, když detekuje hrozby u vašich prostředků. Určuje prioritu a uvádí výstrahy spolu s informacemi potřebnými k rychlému prozkoumání problému. Defender for Cloud také poskytuje doporučení pro nápravu útoku.
Další informace najdete v tématu Výstrahy zabezpečení v defenderu pro cloud a správu a reagování na výstrahy zabezpečení.
Požadavky
Pokud chcete dostávat všechna upozornění, musí být vaše počítače a připojené pracovní prostory služby Log Analytics ve stejném tenantovi.
Generování ukázkových výstrah zabezpečení
Pokud používáte nové prostředí upozornění ve verzi Preview, jak je popsáno v tématu Správa a reakce na výstrahy zabezpečení v Programu Microsoft Defender pro cloud, můžete na webu Azure Portal vytvořit ukázková upozornění.
Pomocí ukázkových upozornění můžete:
- vyhodnoťte hodnotu a možnosti vašich plánů v programu Microsoft Defender.
- ověřte všechny konfigurace, které jste provedli pro výstrahy zabezpečení (například integrace SIEM, automatizace pracovních postupů a e-mailová oznámení).
Vytvoření ukázkových upozornění:
Jako uživatel s rolí Přispěvatel předplatného vyberte na panelu nástrojů na stránce Výstrahy zabezpečení ukázková upozornění.
Vyberte předplatné.
Vyberte příslušný plán nebo plány Programu Microsoft Defender, pro které chcete zobrazit výstrahy.
Vyberte Vytvořit ukázková upozornění.
Zobrazí se oznámení s oznámením, že se vytvářejí ukázková upozornění:
Po několika minutách se výstrahy zobrazí na stránce výstrah zabezpečení. Zobrazí se také kdekoli jinde, kde jste nakonfigurovali příjem výstrah zabezpečení v programu Microsoft Defender for Cloud (připojené SIEM, e-mailová oznámení atd.).
Tip
Výstrahy jsou určené pro simulované prostředky.
Simulace výstrah na virtuálních počítačích Azure (Windows)
Po instalaci agenta Microsoft Defenderu for Endpoint na vašem počítači v rámci integrace Defenderu pro servery postupujte podle těchto kroků z počítače, na kterém chcete být napadeným prostředkem výstrahy:
Na zařízení otevřete příkazový řádek se zvýšenými oprávněními a spusťte skript:
Přejděte na Start a zadejte
cmd
.Vyberte příkazový řádek pravým tlačítkem a vyberte Spustit jako správce.
Na příkazovém řádku zkopírujte a spusťte následující příkaz:
powershell.exe -NoExit -ExecutionPolicy Bypass -WindowStyle Hidden $ErrorActionPreference = 'silentlycontinue';(New-Object System.Net.WebClient).DownloadFile('http://127.0.0.1/1.exe', 'C:\\test-MDATP-test\\invoice.exe');Start-Process 'C:\\test-MDATP-test\\invoice.exe'
Okno příkazového řádku se automaticky zavře. V případě úspěchu by se nové upozornění mělo zobrazit v okně Upozornění v programu Defender for Cloud za 10 minut.
Řádek zprávy v poli PowerShellu by se měl podobat tomu, jak se tady zobrazuje:
Můžete také použít testovací řetězec EICAR k provedení tohoto testu: Vytvoření textového souboru, vložení řádku EICAR a uložení souboru jako spustitelného souboru na místní disk vašeho počítače.
Poznámka:
Při kontrole testovacích upozornění pro Windows se ujistěte, že je povolený defender pro koncový bod s povolenou ochranou v reálném čase. Zjistěte, jak tuto konfiguraci ověřit.
Simulace upozornění na virtuálních počítačích Azure (Linux)
Po instalaci agenta Microsoft Defenderu for Endpoint na vašem počítači v rámci integrace Defenderu pro servery postupujte podle těchto kroků z počítače, na kterém chcete být napadeným prostředkem výstrahy:
Otevřete okno terminálu, zkopírujte a spusťte následující příkaz:
curl -O https://secure.eicar.org/eicar.com.txt
Okno příkazového řádku se automaticky zavře. V případě úspěchu by se nové upozornění mělo zobrazit v okně Upozornění v programu Defender for Cloud za 10 minut.
Poznámka:
Při kontrole testovacích výstrah pro Linux se ujistěte, že je povolený defender pro koncový bod s povolenou ochranou v reálném čase. Zjistěte, jak tuto konfiguraci ověřit.
Simulace upozornění v Kubernetes
Defender for Containers poskytuje výstrahy zabezpečení pro clustery i základní uzly clusteru. Defender for Containers toho dosahuje monitorováním řídicí roviny (serveru API) i kontejnerizované úlohy.
Na základě jeho předpony můžete zjistit, jestli vaše výstraha souvisí s plánem řízení nebo kontejnerizovanou úlohou. Výstrahy zabezpečení roviny řízení mají předponu K8S_
, zatímco výstrahy zabezpečení pro úlohy runtime v clusterech mají předponu K8S.NODE_
.
Výstrahy pro řídicí rovinu a výstrahy úloh můžete simulovat pomocí následujícího postupu.
Simulace výstrah řídicí roviny (předpona K8S_)
Požadavky
- Ujistěte se, že je povolený plán Defenderu pro kontejnery.
- Jenom Arc – Zajistěte, aby byl senzor Defenderu nainstalovaný.
- Jenom EKS nebo GKE – Ujistěte se, že jsou povolené výchozí možnosti automatického zřizování shromažďování protokolů auditu.
Simulace výstrahy zabezpečení řídicí roviny Kubernetes:
Z clusteru spusťte následující příkaz:
kubectl get pods --namespace=asc-alerttest-662jfi039n
Zobrazí se následující odpověď:
No resource found
.Počkejte 30 minut.
Na webu Azure Portal přejděte na stránku Výstrahy zabezpečení v programu Defender for Cloud.
V příslušném clusteru Kubernetes vyhledejte následující výstrahu.
Microsoft Defender for Cloud test alert for K8S (not a threat)
Simulace výstrah úloh (K8S) NODE_ předpona)
Požadavky
- Ujistěte se, že je povolený plán Defenderu pro kontejnery.
- Ujistěte se, že je nainstalovaný senzor Defenderu.
Simulace výstrahy zabezpečení úloh Kubernetes:
Vytvořte pod pro spuštění testovacího příkazu. Tento pod může být libovolný z existujících podů v clusteru nebo nový pod. Můžete vytvořit pomocí této ukázkové konfigurace yaml:
apiVersion: v1 kind: Pod metadata: name: mdc-test spec: containers: - name: mdc-test image: ubuntu:18.04 command: ["/bin/sh"] args: ["-c", "while true; do echo sleeping; sleep 3600;done"]
Postup vytvoření spuštění podu:
kubectl apply -f <path_to_the_yaml_file>
Z clusteru spusťte následující příkaz:
kubectl exec -it mdc-test -- bash
Zkopírujte spustitelný soubor do samostatného umístění a přejmenujte
./asc_alerttest_662jfi039n
ho pomocí následujícího příkazucp /bin/echo ./asc_alerttest_662jfi039n
.Spusťte soubor
./asc_alerttest_662jfi039n testing eicar pipe
.Počkejte 10 minut.
Na webu Azure Portal přejděte na stránku Výstrahy zabezpečení v programu Defender for Cloud.
V příslušném clusteru AKS vyhledejte následující výstrahu
Microsoft Defender for Cloud test alert (not a threat)
.
Další informace o ochraně uzlů a clusterů Kubernetes pomocí Microsoft Defenderu pro kontejnery můžete také získat další informace.
Simulace výstrah pro Službu App Service
Můžete simulovat výstrahy pro prostředky spuštěné ve službě App Service.
Vytvořte nový web a počkejte 24 hodin, než se zaregistruje v programu Defender for Cloud, nebo použijte existující web.
Po vytvoření webu k němu použijte následující adresu URL:
Výstraha se vygeneruje do 1 až 2 hodin.
Simulace výstrah pro ochranu ATP úložiště (Advanced Threat Protection)
Přejděte k účtu úložiště, který má povolený Azure Defender for Storage.
Na bočním panelu vyberte kartu Kontejnery .
Přejděte do existujícího kontejneru nebo vytvořte nový.
Nahrajte do tohoto kontejneru nějaký soubor. Vyhněte se nahrávání jakéhokoli souboru, který může obsahovat citlivá data.
Pravým tlačítkem myši vyberte nahraný soubor a vyberte Vygenerovat SAS.
Vyberte tlačítko Generovat token SAS a adresu URL (nemusíte měnit žádné možnosti).
Zkopírujte vygenerovanou adresu URL SAS.
Otevřete prohlížeč Tor, který si můžete stáhnout zde.
V prohlížeči Tor přejděte na adresu URL SAS. Teď byste měli vidět soubor, který jste nahráli, a můžete si ho stáhnout.
Testování upozornění služby AppServices
Simulace upozornění služby App Services EICAR:
- Vyhledejte koncový bod HTTP webu tak, že přejdete do okna webu Azure Portal pro web App Services nebo použijete vlastní položku DNS přidruženou k tomuto webu. (Výchozí koncový bod adresy URL pro web služby Aplikace Azure Services má příponu
https://XXXXXXX.azurewebsites.net
). Web by měl být existující web, nikoli web vytvořený před simulací výstrahy. - Přejděte na adresu URL webu a přidejte následující pevnou příponu:
/This_Will_Generate_ASC_Alert
. Adresa URL by měla vypadat takto:https://XXXXXXX.azurewebsites.net/This_Will_Generate_ASC_Alert
. Vygenerování výstrahy může nějakou dobu trvat (přibližně 1,5 hodiny).
Ověření detekce hrozeb ve službě Azure Key Vault
- Pokud ještě nemáte službu Key Vault vytvořenou, nezapomeňte ji vytvořit.
- Po dokončení vytváření služby Key Vault a tajného kódu přejděte na virtuální počítač, který má přístup k internetu, a stáhněte prohlížeč TOR.
- Nainstalujte prohlížeč TOR na virtuální počítač.
- Po dokončení instalace otevřete běžný prohlížeč, přihlaste se k webu Azure Portal a přejděte na stránku Služby Key Vault. Vyberte zvýrazněnou adresu URL a zkopírujte adresu.
- Otevřete TOR a vložte tuto adresu URL (pro přístup k webu Azure Portal je potřeba se znovu ověřit).
- Po dokončení přístupu můžete také vybrat možnost Tajné kódy v levém podokně.
- V prohlížeči TOR se odhlaste z webu Azure Portal a zavřete prohlížeč.
- Po nějaké době aktivuje Defender for Key Vault upozornění s podrobnými informacemi o této podezřelé aktivitě.
Další kroky
V tomto článku jste se seznámili s procesem ověřování výstrah. Teď, když jste obeznámeni s tímto ověřením, projděte si následující články:
- Ověřování detekce hrozeb ve službě Azure Key Vault v Microsoft Defenderu pro cloud
- Správa a reakce na výstrahy zabezpečení v Programu Microsoft Defender for Cloud – Zjistěte, jak spravovat výstrahy a reagovat na incidenty zabezpečení v defenderu pro cloud.
- Principy výstrah zabezpečení v Microsoft Defenderu pro cloud