Validasi pemberitahuan di Microsoft Defender untuk Cloud

  • Artikel

Dokumen ini membantu Anda mempelajari cara memverifikasi apakah sistem Anda dikonfigurasi dengan benar untuk pemberitahuan Microsoft Defender for Cloud.

Apa yang dimaksud dengan pemberitahuan keamanan?

Pemberitahuan adalah pemberitahuan yang dihasilkan Defender for Cloud saat mendeteksi ancaman pada sumber daya Anda. Security Center memprioritaskan dan mencantumkan pemberitahuan, beserta informasi yang diperlukan agar Anda dapat menyelidiki masalah dengan cepat. Defender for Cloud juga memberikan rekomendasi tentang bagaimana Anda dapat meremediasi serangan.

Untuk informasi selengkapnya, lihat Pemberitahuan keamanan di Defender untuk Cloud dan Mengelola serta merespons pemberitahuan keamanan.

Prasyarat

Untuk menerima semua pemberitahuan, komputer Anda dan ruang kerja Analitik Log yang terhubung harus berada di penyewa yang sama.

Buat contoh peringatan keamanan

Jika Anda menggunakan pengalaman pemberitahuan pratinjau baru seperti yang dijelaskan dalam Mengelola dan merespons pemberitahuan keamanan di Microsoft Defender untuk Cloud, Anda dapat membuat contoh pemberitahuan dari halaman pemberitahuan keamanan di portal Azure.

Gunakan pemberitahuan sampel untuk:

  • mengevaluasi nilai dan kemampuan paket Pertahanan Microsoft Anda.
  • validasi konfigurasi apa pun yang telah Anda buat untuk pemberitahuan keamanan Anda (seperti integrasi SIEM, otomatisasi alur kerja, dan pemberitahuan email).

Untuk membuat pemberitahuan sampel:

  1. Sebagai pengguna dengan peran Kontributor Langganan, dari toolbar di halaman pemberitahuan keamanan, pilih Contoh pemberitahuan.

  2. Pilih langganan.

  3. Pilih paket Microsoft Defender yang relevan yang ingin Anda lihat pemberitahuannya.

  4. Pilih Buat pemberitahuan sampel.

    Cuplikan layar memperlihatkan langkah-langkah untuk membuat contoh pemberitahuan di Microsoft Defender untuk Cloud.

    Pemberitahuan muncul yang memberi tahu Anda bahwa pemberitahuan sampel sedang dibuat:

    Cuplikan layar memperlihatkan pemberitahuan bahwa contoh pemberitahuan sedang dibuat.

    Setelah beberapa menit, pemberitahuan muncul di halaman pemberitahuan keamanan. Mereka juga muncul di tempat lain yang telah Anda konfigurasi untuk menerima pemberitahuan keamanan Microsoft Defender untuk Cloud Anda (SIEM yang terhubung, pemberitahuan email, dan sebagainya).

    Cuplikan layar memperlihatkan contoh pemberitahuan dalam daftar pemberitahuan keamanan.

    Tip

    Pemberitahuan tersebut adalah untuk sumber daya yang disimulasikan.

Menyimulasikan pemberitahuan di Azure VM (Windows) Anda

Setelah agen Microsoft Defender untuk Titik Akhir diinstal pada komputer Anda, sebagai bagian dari integrasi Defender for Servers, ikuti langkah-langkah ini dari komputer tempat Anda ingin menjadi sumber daya pemberitahuan yang diserang:

  1. Buka prompt baris perintah yang ditingkatkan pada perangkat dan jalankan skrip:

    1. Buka Mulai dan ketik cmd.

    2. Pilih kanan Prompt Perintah dan pilih Jalankan sebagai administrator

    Cuplikan layar memperlihatkan tempat untuk memilih Jalankan sebagai Administrator.

  2. Pada perintah , salin dan jalankan perintah berikut: powershell.exe -NoExit -ExecutionPolicy Bypass -WindowStyle Hidden $ErrorActionPreference = 'silentlycontinue';(New-Object System.Net.WebClient).DownloadFile('http://127.0.0.1/1.exe', 'C:\\test-MDATP-test\\invoice.exe');Start-Process 'C:\\test-MDATP-test\\invoice.exe'

  3. Jendela Prompt Perintah ditutup secara otomatis. Jika berhasil, pemberitahuan baru akan muncul di bilah Pemberitahuan Defender untuk Cloud dalam 10 menit.

  4. Baris pesan dalam kotak PowerShell akan muncul mirip dengan bagaimana baris pesan disajikan di sini:

    Cuplikan layar memperlihatkan baris pesan PowerShell.

Secara bergantian, Anda juga dapat menggunakan string uji EICAR untuk melakukan pengujian ini: Membuat file teks, menempelkan baris EICAR, dan menyimpan file sebagai file yang dapat dieksekusi ke drive lokal komputer Anda.

Catatan

Saat meninjau pemberitahuan pengujian untuk Windows, pastikan Anda mengaktifkan Pertahanan untuk Titik Akhir dengan perlindungan Real Time. Pelajari cara memvalidasi konfigurasi ini.

Menyimulasikan pemberitahuan di Azure VM (Linux) Anda

Setelah agen Microsoft Defender untuk Titik Akhir diinstal pada komputer Anda, sebagai bagian dari integrasi Defender for Servers, ikuti langkah-langkah ini dari komputer tempat Anda ingin menjadi sumber daya pemberitahuan yang diserang:

  1. Buka jendela Terminal, salin dan jalankan perintah berikut: curl -O https://secure.eicar.org/eicar.com.txt

  2. Jendela Prompt Perintah ditutup secara otomatis. Jika berhasil, pemberitahuan baru akan muncul di bilah Pemberitahuan Defender untuk Cloud dalam 10 menit.

Catatan

Saat meninjau pemberitahuan pengujian untuk Linux, pastikan Anda mengaktifkan Pertahanan untuk Titik Akhir dengan perlindungan Real Time. Pelajari cara memvalidasi konfigurasi ini.

Menyimulasikan pemberitahuan di Kube

Defender untuk Kontainer menyediakan pemberitahuan keamanan untuk kluster Anda dan node kluster yang mendasar. Defender untuk Kontainer menyelesaikan tugas ini dengan memantau sarana kontrol (server API) dan beban kerja kontainer.

Anda dapat mengetahui apakah pemberitahuan Anda terkait dengan rencana kontrol atau beban kerja kontainer berdasarkan awalannya. Pemberitahuan keamanan sarana kontrol memiliki awalan K8S_, sementara pemberitahuan keamanan untuk beban kerja runtime dalam kluster memiliki awalan K8S.NODE_.

Anda dapat mensimulasikan pemberitahuan untuk sarana kontrol, dan pemberitahuan beban kerja dengan langkah-langkah berikut.

Simulasikan pemberitahuan sarana kontrol (K8S_ prefix)

Prasyarat

  • Pastikan paket Defender untuk Kontainer diaktifkan.
  • Hanya Arc - Pastikan sensor Defender diinstal.
  • EKS atau GKE saja - Pastikan opsi provisi otomatis pengumpulan log audit default diaktifkan.

Untuk menyimulasikan pemberitahuan keamanan sarana kontrol Kubernetes:

  1. Jalankan perintah berikut dalam kluster:

    kubectl get pods --namespace=asc-alerttest-662jfi039n

    Anda mendapatkan respons berikut: No resource found.

  2. Tunggu 30 menit.

  3. Di portal Azure, navigasikan ke halaman pemberitahuan keamanan Defender untuk Cloud.

  4. Pada kluster Kubernetes yang relevan, temukan pemberitahuan berikut Microsoft Defender for Cloud test alert for K8S (not a threat)

Simulasikan pemberitahuan beban kerja (K8S.NODE_ prefix)

Prasyarat

  • Pastikan paket Defender untuk Kontainer diaktifkan.
  • Pastikan sensor Defender diinstal.

Untuk mensimulasikan pemberitahuan keamanan beban kerja Kube:

  1. Buat pod untuk menjalankan perintah pengujian. Pod ini dapat berupa salah satu pod yang ada di kluster, atau pod baru. Anda dapat membuat menggunakan contoh konfigurasi yaml ini:

    apiVersion: v1
kind: Pod
metadata:
    name: mdc-test
spec:
    containers:
        - name: mdc-test
          image: ubuntu:18.04
          command: ["/bin/sh"]
          args: ["-c", "while true; do echo sleeping; sleep 3600;done"]

    Untuk membuat pod yang dijalankan:

    kubectl apply -f <path_to_the_yaml_file>

  2. Jalankan perintah berikut dalam kluster:

    kubectl exec -it mdc-test -- bash

  3. Salin executable ke lokasi terpisah dan ganti namanya menjadi ./asc_alerttest_662jfi039n dengan perintah cp /bin/echo ./asc_alerttest_662jfi039nberikut.

  4. Jalankan file ./asc_alerttest_662jfi039n testing eicar pipe.

  5. Tunggu 10 menit.

  6. Di portal Azure, navigasikan ke halaman pemberitahuan keamanan Defender untuk Cloud.

  7. Pada kluster AKS yang relevan, temukan pemberitahuan berikut Microsoft Defender for Cloud test alert (not a threat).

Anda juga dapat mempelajari lebih lanjut tentang mempertahankan node dan kluster Kubernetes dengan Microsoft Defender untuk Kontainer.

Mensimulasikan pemberitahuan untuk App Service

Anda dapat mensimulasikan pemberitahuan untuk sumber daya yang berjalan di App Service.

  1. Buat situs web baru dan tunggu 24 jam agar terdaftar di Defender untuk Cloud, atau gunakan situs web yang sudah ada.

  2. Setelah situs web dibuat, akses menggunakan URL berikut:

    1. Buka panel sumber daya layanan aplikasi dan salin domain untuk URL dari bidang domain default.

      Cuplikan layar memperlihatkan tempat menyalin domain default.

    2. Salin nama situs web ke dalam URL: https://<website name>.azurewebsites.net/This_Will_Generate_ASC_Alert.

  3. Pemberitahuan dihasilkan dalam waktu sekitar 1-2 jam.

Mensimulasikan pemberitahuan untuk Storage ATP (Perlindungan Ancaman Tingkat Lanjut)

  1. Navigasi ke akun penyimpanan yang mengaktifkan Azure Defender for Storage.

  2. Pilih tab Kontainer di bar samping.

    Cuplikan layar memperlihatkan tempat menavigasi untuk memilih kontainer.

  3. Navigasikan ke kontainer yang sudah ada atau buat kontainer baru.

  4. Unggah berkas ke kontainer itu. Hindari mengunggah file apa pun yang mungkin berisi data sensitif.

    Cuplikan layar memperlihatkan tempat mengunggah file ke kontainer.

  5. Pilih kanan file yang diunggah dan pilih Buat SAS.

  6. Pilih tombol Buat token SAS dan URL (tidak perlu mengubah opsi apa pun).

  7. Salin URL SAS yang telah dibuat.

  8. Buka browser Tor, yang dapat Anda unduh di sini.

  9. Di browser Tor, buka URL SAS. Anda sekarang akan melihat dan dapat mengunduh file yang diunggah.

Menguji pemberitahuan AppServices

Untuk mensimulasikan pemberitahuan EICAR layanan aplikasi:

  1. Temukan titik akhir HTTP situs web baik dengan masuk ke bilah portal Azure untuk situs web App Services atau menggunakan entri DNS kustom yang terkait dengan situs web ini. (Titik akhir URL default untuk situs web Azure App Services memiliki akhiran https://XXXXXXX.azurewebsites.net). Situs web harus berupa situs web yang ada dan bukan situs web yang dibuat sebelum simulasi pemberitahuan.
  2. Telusuri ke URL situs web dan tambahkan akhiran tetap berikut: /This_Will_Generate_ASC_Alert. URL akan terlihat seperti ini: https://XXXXXXX.azurewebsites.net/This_Will_Generate_ASC_Alert. Mungkin perlu beberapa waktu agar pemberitahuan dihasilkan (~1,5 jam).

Memvalidasi Deteksi Ancaman Azure Key Vault

  1. Jika Anda belum membuat Key Vault, pastikan untuk membuatnya.
  2. Setelah selesai membuat Key Vault dan rahasia, buka VM yang memiliki akses Internet dan unduh Tor Browser.
  3. Instal Browser TOR di VM Anda.
  4. Setelah Anda menyelesaikan penginstalan, buka browser reguler Anda, masuk ke portal Azure, dan akses halaman Key Vault. Pilih URL yang disorot dan salin alamat.
  5. Buka TOR dan tempelKAN URL ini (Anda perlu mengautentikasi lagi untuk mengakses portal Azure).
  6. Setelah menyelesaikan akses, Anda juga dapat memilih opsi Rahasia di panel kiri.
  7. Di Browser TOR, keluar dari portal Azure dan tutup browser.
  8. Setelah beberapa waktu, Defender untuk Key Vault akan memicu pemberitahuan dengan informasi terperinci tentang aktivitas mencurigakan ini.

Langkah berikutnya

Artikel ini memperkenalkan Anda pada proses validasi pemberitahuan. Setelah Anda terbiasa dengan validasi ini, jelajahi artikel berikut: