Megosztás a következőn keresztül:

Riasztás érvényesítése a Felhőhöz készült Microsoft Defenderben

  • Cikk

Ez a dokumentum segít annak ellenőrzésében, hogy a rendszer megfelelően van-e konfigurálva Felhőhöz készült Microsoft Defender riasztásokhoz.

Mik azok a biztonsági riasztások?

A riasztások azok az értesítések, amelyeket a Felhőhöz készült Defender küld, amikor fenyegetést észlel az erőforrásokon. Rangsorolja és listázza a riasztásokat, valamint a probléma gyors kivizsgálásához szükséges információkat. Felhőhöz készült Defender a támadások elhárítására vonatkozó javaslatokat is tartalmaz.

További információ: Biztonsági riasztások Felhőhöz készült Defender és a biztonsági riasztások kezelése és megválaszolása.

Előfeltételek

Az összes riasztás fogadásához a gépeknek és a csatlakoztatott Log Analytics-munkaterületeknek ugyanabban a bérlőben kell lenniük.

Biztonsági riasztások mintájának létrehozása

Ha az új előzetes verziójú riasztási felületet használja az Felhőhöz készült Microsoft Defender biztonsági riasztásainak kezelése és megválaszolása című cikkben leírtak szerint, az Azure Portal biztonsági riasztások oldaláról hozhat létre mintariasztásokat.

Mintariasztások használata a következőhöz:

  • értékelje ki a Microsoft Defender-csomagok értékét és képességeit.
  • ellenőrizze a biztonsági riasztásokhoz (például SIEM-integrációkhoz, munkafolyamat-automatizáláshoz és e-mail-értesítésekhez) készített konfigurációkat.

Mintariasztások létrehozása:

  1. Az Előfizetés közreműködője szerepkörrel rendelkező felhasználóként a biztonsági riasztások lap eszköztárán válassza a Mintariasztások lehetőséget.

  2. Válassza ki az előfizetést.

  3. Válassza ki a megfelelő Microsoft Defender-csomagot/csomagokat, amelyekhez riasztásokat szeretne látni.

  4. Válassza a Mintariasztások létrehozása lehetőséget.

    Képernyőkép a Felhőhöz készült Microsoft Defender mintariasztások létrehozásának lépéseiről.

    Megjelenik egy értesítés, amely tájékoztatja, hogy a mintariasztások létre lettek hozva:

    Képernyőkép a mintariasztások létrehozásának értesítéséről.

    Néhány perc elteltével a riasztások megjelennek a biztonsági riasztások oldalán. A Felhőhöz készült Microsoft Defender biztonsági riasztások (csatlakoztatott SIEM-ek, e-mail-értesítések stb.) fogadásához konfigurált bárhol máshol is megjelennek.

    Képernyőkép a biztonsági riasztások listájában szereplő mintariasztásokról.

    Tipp.

    A riasztások szimulált erőforrásokhoz tartoznak.

Riasztások szimulálása Azure-beli virtuális gépeken (Windows)

Miután telepítette a Végponthoz készült Microsoft Defender ügynököt a számítógépre, a Defender for Servers integrációjának részeként kövesse az alábbi lépéseket attól a géptől, ahol a riasztás támadott erőforrásának szeretne lenni:

  1. Nyisson meg egy emelt szintű parancssort az eszközön, és futtassa a szkriptet:

    1. Nyissa meg a Start menüt , és írja be a kívánt szöveget cmd.

    2. Válassza a jobb gombbal a parancssort , és válassza a Futtatás rendszergazdaként lehetőséget

    Képernyőkép arról, hogy hol válassza a Futtatás Rendszergazda istratorként lehetőséget.

  2. A parancssorban másolja és futtassa a következő parancsot: powershell.exe -NoExit -ExecutionPolicy Bypass -WindowStyle Hidden $ErrorActionPreference = 'silentlycontinue';(New-Object System.Net.WebClient).DownloadFile('http://127.0.0.1/1.exe', 'C:\\test-MDATP-test\\invoice.exe');Start-Process 'C:\\test-MDATP-test\\invoice.exe'

  3. A Parancssor ablak automatikusan bezárul. Ha sikeres, 10 percen belül meg kell jelennie egy új riasztásnak Felhőhöz készült Defender Riasztások panelen.

  4. A PowerShell-párbeszédpanel üzenetsorának az itt bemutatotthoz hasonlóan kell megjelennie:

    Képernyőkép a PowerShell üzenetsorról.

Másik lehetőségként az EICAR tesztsztring használatával is elvégezheti ezt a tesztet: Hozzon létre egy szövegfájlt, illessze be az EICAR sort, és mentse a fájlt végrehajtható fájlként a gép helyi meghajtójára.

Feljegyzés

A Windows tesztriasztásainak áttekintésekor győződjön meg arról, hogy engedélyezve van a Defender for Endpoint valós idejű védelemmel való futtatása. Ebből a cikkből megtudhatja, hogyan érvényesítheti ezt a konfigurációt.

Riasztások szimulálása Azure-beli virtuális gépeken (Linux)

Miután telepítette a Végponthoz készült Microsoft Defender ügynököt a számítógépre, a Defender for Servers integrációjának részeként kövesse az alábbi lépéseket attól a géptől, ahol a riasztás támadott erőforrásának szeretne lenni:

  1. Nyisson meg egy terminálablakot, másolja ki és futtassa a következő parancsot: curl -O https://secure.eicar.org/eicar.com.txt

  2. A Parancssor ablak automatikusan bezárul. Ha sikeres, 10 percen belül meg kell jelennie egy új riasztásnak Felhőhöz készült Defender Riasztások panelen.

Feljegyzés

A Linux tesztriasztásainak áttekintésekor győződjön meg arról, hogy engedélyezve van a Defender for Endpoint valós idejű védelemmel való futtatása. Ebből a cikkből megtudhatja, hogyan érvényesítheti ezt a konfigurációt.

Riasztások szimulálása a Kubernetesen

A Defender for Containers biztonsági riasztásokat biztosít mind a fürtök, mind a mögöttes fürtcsomópontok számára. A Defender for Containers ezt úgy hajtja végre, hogy figyeli a vezérlősíkot (API-kiszolgálót) és a tárolóalapú számítási feladatot is.

Megállapíthatja, hogy a riasztás a vezérlőtervhez vagy a tárolóalapú számítási feladathoz kapcsolódik-e az előtagja alapján. A vezérlősík biztonsági riasztásai előtaggal K8S_rendelkeznek, míg a fürtök futtatókörnyezeti számítási feladataira vonatkozó biztonsági riasztások előtagja K8S.NODE_.

A következő lépésekkel szimulálhatja a riasztásokat mind a vezérlősíkhoz, mind a számítási feladatokra vonatkozó riasztásokat.

Vezérlősík-riasztások szimulálása (K8S_ előtag)

Előfeltételek

  • Győződjön meg arról, hogy a Defender for Containers csomag engedélyezve van.
  • Csak ív – Győződjön meg arról, hogy a Defender-érzékelő telepítve van.
  • Csak EKS vagy GKE – Győződjön meg arról, hogy az alapértelmezett naplózási naplógyűjtemény automatikus kiépítési beállításai engedélyezve vannak.

Kubernetes vezérlősík biztonsági riasztásának szimulálása:

  1. Futtassa a következő parancsot a fürtből:

    kubectl get pods --namespace=asc-alerttest-662jfi039n

    A következő választ kapja: No resource found.

  2. Várjon 30 percet.

  3. Az Azure Portalon lépjen a Felhőhöz készült Defender biztonsági riasztások lapjára.

  4. A megfelelő Kubernetes-fürtön keresse meg a következő riasztást Microsoft Defender for Cloud test alert for K8S (not a threat)

Számítási feladatokra vonatkozó riasztások szimulálása (K8S. NODE_ előtag)

Előfeltételek

  • Győződjön meg arról, hogy a Defender for Containers csomag engedélyezve van.
  • Győződjön meg arról, hogy a Defender érzékelő telepítve van.

Kubernetes számítási feladatok biztonsági riasztásának szimulálása:

  1. Hozzon létre egy podot egy tesztparancs futtatásához. Ez a pod lehet a fürt bármelyik meglévő podja, vagy egy új pod. Ezt a yaml-konfigurációmintát használhatja:

    apiVersion: v1
kind: Pod
metadata:
    name: mdc-test
spec:
    containers:
        - name: mdc-test
          image: ubuntu:18.04
          command: ["/bin/sh"]
          args: ["-c", "while true; do echo sleeping; sleep 3600;done"]

    A podfuttatás létrehozása:

    kubectl apply -f <path_to_the_yaml_file>

  2. Futtassa a következő parancsot a fürtből:

    kubectl exec -it mdc-test -- bash

  3. Másolja a végrehajtható fájlt egy másik helyre, ./asc_alerttest_662jfi039n és nevezze át a következő paranccsal cp /bin/echo ./asc_alerttest_662jfi039n.

  4. Hajtsa végre a fájlt ./asc_alerttest_662jfi039n testing eicar pipe.

  5. Várjon 10 percet.

  6. Az Azure Portalon lépjen a Felhőhöz készült Defender biztonsági riasztások lapjára.

  7. A megfelelő AKS-fürtön keresse meg a következő riasztást Microsoft Defender for Cloud test alert (not a threat).

További információ a Kubernetes-csomópontok és -fürtök védelméről a Microsoft Defender for Containers használatával.

Riasztások szimulálása az App Service-hez

Riasztásokat szimulálhat az App Service-ben futó erőforrásokhoz.

  1. Hozzon létre egy új webhelyet, és várjon 24 órát, amíg regisztrálja a Felhőhöz készült Defender, vagy használjon egy meglévő webhelyet.

  2. A webhely létrehozása után a következő URL-cím használatával érheti el:

    1. Nyissa meg az App Service-erőforráspanelt, és másolja ki az URL-címet az alapértelmezett tartománymezőből.

      Képernyőkép az alapértelmezett tartomány másolásának helyével.

    2. Másolja a webhely nevét az URL-címre: https://<website name>.azurewebsites.net/This_Will_Generate_ASC_Alert.

  3. A rendszer körülbelül 1–2 órán belül létrehoz egy riasztást.

Riasztások szimulálása a Storage ATP-hez (Advanced Threat Protection)

  1. Lépjen egy olyan tárfiókra, amelyben engedélyezve van az Azure Defender for Storage.

  2. Válassza a Tárolók lapot az oldalsávon.

    Képernyőkép arról, hogy hol kell navigálni egy tároló kiválasztásához.

  3. Lépjen egy meglévő tárolóra, vagy hozzon létre egy újat.

  4. Töltsön fel egy fájlt a tárolóba. Ne töltsön fel bizalmas adatokat tartalmazó fájlokat.

    Képernyőkép a fájl tárolóba való feltöltésének helyével.

  5. Válassza a jobb gombbal a feltöltött fájlt, és válassza az SAS létrehozása lehetőséget.

  6. Válassza az SAS-jogkivonat és az URL-cím létrehozása gombot (nincs szükség a beállítások módosítására).

  7. Másolja ki a létrehozott SAS URL-címet.

  8. Nyissa meg a Tor böngészőt, amelyet itt tölthet le.

  9. A Tor böngészőben keresse meg az SAS URL-címet. Most már látnia kell és le kell töltenie a feltöltött fájlt.

AppServices riasztások tesztelése

App Services EICAR-riasztás szimulálása:

  1. Keresse meg a webhely HTTP-végpontját az App Services-webhely Azure Portal paneljén vagy a webhelyhez társított egyéni DNS-bejegyzés használatával. (A Azure-alkalmazás Services-webhely alapértelmezett URL-végpontja utótagot https://XXXXXXX.azurewebsites.nettartalmaz. A webhelynek egy meglévő webhelynek kell lennie, nem pedig a riasztásszimuláció előtt létrehozott webhelynek.
  2. Keresse meg a webhely URL-címét, és adja hozzá a következő rögzített utótagot: /This_Will_Generate_ASC_Alert. Az URL-címnek így kell kinéznie: https://XXXXXXX.azurewebsites.net/This_Will_Generate_ASC_Alert. A riasztás létrehozása eltarthat egy ideig (kb. 1,5 óra).

Az Azure Key Vault fenyegetésészlelésének ellenőrzése

  1. Ha még nem hozott létre Key Vaultot, mindenképpen hozzon létre egyet.
  2. A Key Vault és a titkos kulcs létrehozása után lépjen egy olyan virtuális gépre, amely rendelkezik internet-hozzáféréssel, és töltse le a TOR Böngészőt.
  3. Telepítse a TOR Browsert a virtuális gépen.
  4. A telepítés befejezése után nyissa meg a normál böngészőt, jelentkezzen be az Azure Portalra, és nyissa meg a Key Vault oldalát. Jelölje ki a kiemelt URL-címet, és másolja ki a címet.
  5. Nyissa meg a TOR-t, és illessze be ezt az URL-címet (az Azure Portal eléréséhez újra hitelesítenie kell magát).
  6. A hozzáférés befejezése után a bal oldali panelen a Titkos kulcsok lehetőséget is választhatja.
  7. A TOR Böngészőben jelentkezzen ki az Azure Portalról, és zárja be a böngészőt.
  8. Egy idő után a Key Vaulthoz készült Defender riasztást indít el, amely részletes információkat tartalmaz erről a gyanús tevékenységről.

Következő lépések

Ez a cikk a riasztások érvényesítési folyamatát mutatta be. Most, hogy már ismeri ezt az ellenőrzést, tekintse át a következő cikkeket: