Validação de alerta no Microsoft Defender para Nuvem

  • Artigo

Este documento ensina você a verificar se o sistema está configurado corretamente para os alertas do Microsoft Defender para Nuvem.

O que são alertas de segurança?

Alertas são as notificações que o Defender para Nuvem gera quando detecta ameaças em seus recursos. Ela prioriza e lista os alertas, juntamente com as informações necessárias para se investigar rapidamente o problema. O Defender para Nuvem também faz recomendações sobre como corrigir um ataque.

Para saber mais, confira Alertas de segurança no Defender para Nuvem e Gerenciar e responder a alertas de segurança.

Pré-requisitos

Para receber todos os alertas, seus computadores e os workspaces do Log Analytics conectados precisam estar no mesmo locatário.

Gerar alertas de segurança de exemplo

Se estiver usando a nova experiência de alertas em versão prévia, conforme descrito em Gerenciar e responder a alertas de segurança no Microsoft Defender para Nuvem, você poderá criar alertas de exemplo na página de alertas de segurança no portal do Azure.

Use alertas de exemplo para:

  • avaliar o valor e os recursos de seus planos do Microsoft Defender.
  • validar as configurações feitas para seus alertas de segurança (como integrações SIEM, automação de fluxo de trabalho e notificações por email)

Para criar alertas de exemplo:

  1. Como um usuário com a função Colaborador de Assinatura, na barra de ferramentas da página de alertas de segurança, selecione Alertas de exemplo.

  2. Selecione a assinatura.

  3. Selecione os planos do Microsoft Defender relevantes para os quais você deseja ver alertas.

  4. Selecione Criar alertas de exemplo.

    Captura de tela mostrando as etapas para criar alertas de exemplo no Microsoft Defender para Nuvem.

    Uma notificação é exibida, indicando que os alertas de exemplo estão sendo criados:

    Captura de tela mostrando a notificação de que os alertas de exemplo estão sendo gerados.

    Após alguns minutos, os alertas aparecem na página de alertas de segurança. Eles também aparecem em qualquer outro lugar que você tenha configurado para receber alertas de segurança do Microsoft Defender para Nuvem (SIEMs conectados, notificações por email, e assim por diante).

    Captura de tela mostrando os alertas de exemplo na lista de alertas de segurança.

    Dica

    Os alertas são para recursos simulados.

Simular alertas em suas VMs do Azure (Windows)

Depois que o agente do Microsoft Defender para Ponto de Extremidade for instalado em seu computador, como parte da integração do Defender para Servidores, siga estas etapas do computador em que você deseja ser o recurso atacado do alerta:

  1. Abra um prompt de linha de comando com privilégios elevados no ponto de extremidade e execute o script:

    1. Vá para Iniciar e digite cmd.

    2. Clique com o botão direito do mouse no Prompt de Comando e selecione Executar como administrador

    Captura de tela mostrando onde selecionar Executar como Administrador.

  2. No prompt, copie e execute o comando a seguir: powershell.exe -NoExit -ExecutionPolicy Bypass -WindowStyle Hidden $ErrorActionPreference = 'silentlycontinue';(New-Object System.Net.WebClient).DownloadFile('http://127.0.0.1/1.exe', 'C:\\test-MDATP-test\\invoice.exe');Start-Process 'C:\\test-MDATP-test\\invoice.exe'

  3. A janela do prompt de comando fechará automaticamente. Se tiver êxito, um novo alerta deverá aparecer na folha Alertas do Defender para Nuvem em 10 minutos.

  4. A linha da mensagem na caixa do PowerShell deve ser semelhante à forma como ela é apresentada aqui:

    Captura de tela mostrando a linha de mensagem do PowerShell.

Como alternativa, você também pode usar a cadeia de caracteres de teste EICAR para executar esse teste: criar um arquivo de texto, colar a linha EICAR e salvar o arquivo como um arquivo executável na unidade local do computador.

Observação

Ao revisar os alertas de teste para Windows, verifique se você tem o Defender para Ponto de Extremidade em execução com a proteção Real-Time habilitada. Saiba como validar essa configuração.

Simular alertas em suas VMs do Azure (Linux)

Depois que o agente do Microsoft Defender para Ponto de Extremidade for instalado em seu computador, como parte da integração do Defender para Servidores, siga estas etapas do computador em que você deseja ser o recurso atacado do alerta:

  1. Abra uma janela do Terminal, copie e execute o seguinte comando: curl -O https://secure.eicar.org/eicar.com.txt

  2. A janela do prompt de comando fechará automaticamente. Se tiver êxito, um novo alerta deverá aparecer na folha Alertas do Defender para Nuvem em 10 minutos.

Observação

Ao revisar alertas de teste para Linux, verifique se você tem o Defender para Ponto de Extremidade em execução com a proteção Real-Time habilitada. Saiba como validar essa configuração.

Simular alertas no Kubernetes

O Defender para contêineres fornece alertas de segurança para seus clusters e os nós de cluster subjacentes. Ele faz isso monitorando o painel de controle (servidor de API) e a carga de trabalho em contêineres.

Você pode diferenciar se o alerta está relacionado ao plano de controle ou à carga de trabalho em contêineres com base no prefixo. Os alertas de segurança do painel de controle têm um prefixo de K8S_, enquanto os alertas de segurança para a carga de trabalho de runtime nos clusters têm um prefixo de K8S.NODE_.

Você pode simular alertas para o painel de controle e alertas de carga de trabalho com as etapas a seguir.

Simular alertas do painel de controle (prefixo K8S_)

Pré-requisitos

  • Verifique se o plano Defender para contêineres está habilitado.
  • Somente Arc - Certifique-se de que o sensor Defender esteja instalado.
  • Somente EKS ou GKE – verifique se as opções padrão de provisionamento automático da coleta de logs auditoria estão habilitadas.

Para simular um alerta de segurança do painel de controle do Kubernetes:

  1. Execute o seguinte comando no cluster:

    kubectl get pods --namespace=asc-alerttest-662jfi039n

    Você recebe a seguinte resposta: No resource found.

  2. Espere 30 minutos.

  3. No portal do Azure, navegue até a página de alertas de segurança do Defender para Nuvem.

  4. No cluster do Kubernetes relevante, localize o alerta a seguir Microsoft Defender for Cloud test alert for K8S (not a threat)

Simular alertas de carga de trabalho (prefixo K8S.NODE_)

Pré-requisitos

  • Verifique se o plano Defender para contêineres está habilitado.
  • Certifique-se de que o sensor Defender esteja instalado.

Para simular um alerta de segurança de carga de trabalho do Kubernetes:

  1. Crie um pod para executar um comando de teste. Esse pod pode ser qualquer um dos pods existentes no cluster ou um novo pod. Você pode criar usando esta configuração yaml de exemplo:

    apiVersion: v1
kind: Pod
metadata:
    name: mdc-test
spec:
    containers:
        - name: mdc-test
          image: ubuntu:18.04
          command: ["/bin/sh"]
          args: ["-c", "while true; do echo sleeping; sleep 3600;done"]

    Para criar a execução do pod:

    kubectl apply -f <path_to_the_yaml_file>

  2. Execute o seguinte comando no cluster:

    kubectl exec -it mdc-test -- bash

  3. Copie o executável para um local separado e renomeie-o ./asc_alerttest_662jfi039n com o comando cp /bin/echo ./asc_alerttest_662jfi039na seguir.

  4. Execute o arquivo ./asc_alerttest_662jfi039n testing eicar pipe.

  5. Esperar 10 minutos.

  6. No portal do Azure, navegue até a página de alertas de segurança do Defender para Nuvem.

  7. No cluster do AKS relevante, localize o alerta a seguir Microsoft Defender for Cloud test alert (not a threat).

Você também pode saber mais sobre como defender seus nós e clusters do Kubernetes com o Microsoft Defender para contêineres.

Simular alertas para o Serviço de Aplicativo

Você pode simular alertas para recursos em execução no Serviço de Aplicativo.

  1. Crie um site e aguarde 24 horas para que ele seja registrado no Defender para Nuvem ou use um site existente.

  2. Após criar o site, acesse-o usando a seguinte URL:

    1. Abra o painel de recursos do serviço de aplicativo e copie o domínio para a URL a partir do campo de domínio padrão.

      Captura de tela mostrando onde copiar o domínio padrão.

    2. Copie o nome do site para a URL: https://<website name>.azurewebsites.net/This_Will_Generate_ASC_Alert.

  3. Um alerta é gerado em aproximadamente 1 à 2 horas.

Simular alertas para a ATP (Proteção Avançada contra Ameaças) de Armazenamento

  1. Procure uma conta de armazenamento que tenha o Azure Defender para Armazenamento habilitado.

  2. Selecione a guia Contêineres na barra lateral.

    Captura de tela mostrando onde acessar para selecionar um contêiner.

  3. Procure um contêiner existente ou crie um.

  4. Carregue um arquivo nesse contêiner. Evite carregar qualquer arquivo que possa conter dados confidenciais.

    Captura de tela mostrando onde fazer upload de um arquivo no contêiner.

  5. Selecione com o botão direito do mouse o arquivo carregado e selecione Gerar SAS.

  6. Selecione o botão Gerar token SAS e URL (não é necessário alterar as opções).

  7. Copie a URL SAS gerada.

  8. Abra o navegador Tor, que você pode baixar aqui.

  9. No navegador Tor, navegue até a URL SAS. Agora você deve ver e pode baixar o arquivo que foi carregado.

Testando alertas do AppServices

Para simular um alerta EICAR dos serviços de aplicativo:

  1. Localize o ponto de extremidade HTTP do site acessando a folha do portal do Azure referente ao site de Serviços de Aplicativos ou usando a entrada DNS personalizada associada a este site. (O ponto de extremidade de URL padrão para o site de Serviços de Aplicativos do Azure tem o sufixo https://XXXXXXX.azurewebsites.net). O site deve ser um site existente e não um que foi criado antes da simulação de alerta.
  2. Navegue até a URL do site e adicione o seguinte sufixo fixo: /This_Will_Generate_ASC_Alert. A URL deve ficar assim: https://XXXXXXX.azurewebsites.net/This_Will_Generate_ASC_Alert. Pode levar algum tempo para que o alerta seja gerado (aproximadamente 1,5 horas).

Validar a detecção de ameaças do Azure Key Vault

  1. Se você ainda não tiver um Key Vault criado, crie um.
  2. Depois de terminar de criar o Key Vault e o segredo, vá para uma VM que tenha acesso à Internet e baixe o Navegador TOR.
  3. Instale o TOR Browser em sua VM.
  4. Depois de concluir a instalação, abra o seu navegador de preferência, entre no portal do Azure e acesse a página do Key Vault. Selecione a URL realçada e copie o endereço.
  5. Abra o TOR e cole essa URL (você precisa se autenticar novamente para acessar o portal do Azure).
  6. Depois de concluir o acesso, você também pode selecionar a opção Segredos no painel esquerdo.
  7. No TOR Browser, saia do portal do Azure e feche o navegador.
  8. Após algum tempo, o Defender para Key Vault disparará um alerta com informações detalhadas sobre essa atividade suspeita.

Próximas etapas

Este artigo apresentou a você o processo de validação de alertas. Agora que você já conhece esse tipo de validação, explore os seguintes artigos: