Проверка оповещений в Microsoft Defender для облака

В этом документе объясняется, как убедиться, что ваша система правильно настроена для оповещений Microsoft Defender для облака.

Что такое оповещения системы безопасности?

Оповещения — это уведомления, которые Defender для облака создает при обнаружении угроз для ресурсов. Он определяет приоритеты и отображает оповещения, а также сведения, необходимые для быстрого изучения проблемы. Кроме того, Defender для облака предоставляет рекомендации по устранению атак.

Дополнительные сведения см. в разделе "Оповещения системы безопасности" в Defender для облака и управлении оповещениями системы безопасности и реагировании на них.

Необходимые компоненты

Для получения всех оповещений компьютеры и подключенные рабочие области Log Analytics должны находиться в одном клиенте.

Создание примеров оповещений системы безопасности

Если вы используете новый интерфейс предварительной версии оповещений, как описано в разделе "Управление оповещениями системы безопасности и реагирование на них в Microsoft Defender для облака", можно создать примеры оповещений на странице оповещений системы безопасности в портал Azure.

Используйте эти примеры оповещений для:

• оцените значение и возможности планов Microsoft Defender.
• проверьте все конфигурации, сделанные для оповещений системы безопасности (например, интеграции SIEM, автоматизации рабочих процессов и Уведомления по электронной почте).

Создание примеров оповещений:

1. В качестве пользователя с участником подписки роли на панели инструментов на странице оповещений системы безопасности выберите примеры оповещений.

2. Выберите подписку.

3. Выберите соответствующие планы Microsoft Defender, для которых требуется просмотреть оповещения.

4. Выберите Создать примеры оповещений.

   

   Появится уведомление о том, что создаются примеры оповещений:

   

   Через несколько минут оповещения появятся на странице оповещений системы безопасности. Они также отображаются в любом месте, где вы настроили для получения оповещений системы безопасности Microsoft Defender для облака (подключенных SIEMs, Уведомления по электронной почте и т. д.).

   

   Совет

   Эти оповещения предназначены для моделируемых ресурсов.

Моделирование оповещений на виртуальных машинах Azure (Windows)

После установки агента Microsoft Defender для конечной точки на компьютере в рамках интеграции Defender для серверов выполните следующие действия с компьютера, на котором вы хотите быть атакованным ресурсом оповещения:

1. Откройте командную строку с повышенными привилегиями на устройстве и запустите сценарий:

   1. Перейдите в раздел "Пуск " и введите cmd.

   2. Выберите правой кнопкой мыши командную строку и выберите "Запуск от имени администратора"

   

2. В командной строке скопируйте и выполните следующую команду: powershell.exe -NoExit -ExecutionPolicy Bypass -WindowStyle Hidden $ErrorActionPreference = 'silentlycontinue';(New-Object System.Net.WebClient).DownloadFile('http://127.0.0.1/1.exe', 'C:\\test-MDATP-test\\invoice.exe');Start-Process 'C:\\test-MDATP-test\\invoice.exe'

3. Окно командной строки закрывается автоматически. В случае успешного выполнения новое оповещение должно отображаться в колонке "Оповещения Defender для облака" в течение 10 минут.

4. Строка сообщения в поле PowerShell должна выглядеть примерно так:

   

Кроме того, можно использовать строку теста EICAR для выполнения этого теста: создайте текстовый файл, вставьте строку EICAR и сохраните файл в виде исполняемого файла на локальный диск компьютера.

Примечание.

При проверке тестовых оповещений для Windows убедитесь, что у вас есть Defender для конечной точки с включенной защитой в режиме реального времени. Узнайте, как проверить эту конфигурацию.

Моделирование оповещений на виртуальных машинах Azure (Linux)

После установки агента Microsoft Defender для конечной точки на компьютере в рамках интеграции Defender для серверов выполните следующие действия с компьютера, на котором вы хотите быть атакованным ресурсом оповещения:

1. Откройте окно терминала, скопируйте и выполните следующую команду: curl -O https://secure.eicar.org/eicar.com.txt

2. Окно командной строки закрывается автоматически. В случае успешного выполнения новое оповещение должно отображаться в колонке "Оповещения Defender для облака" в течение 10 минут.

Примечание.

При проверке тестовых оповещений для Linux убедитесь, что у вас есть Defender для конечной точки с включенной защитой в режиме реального времени. Узнайте, как проверить эту конфигурацию.

Моделирование оповещений в Kubernetes

Defender для контейнеров генерирует оповещения системы безопасности как для кластеров, так и для базовых узлов кластера. Для этого Defender для контейнеров отслеживает как уровень управления (сервер API), так и контейнерную рабочую нагрузку.

Определить, связано ли оповещение с уровнем управления или контейнерной рабочей нагрузкой, можно по его префиксу. Оповещения системы безопасности уровня управления имеют префикс K8S_, а оповещения системы безопасности для рабочей нагрузки среды выполнения в кластерах — K8S.NODE_.

Для моделирования как оповещений уровня управления, так и оповещений рабочей нагрузки выполните следующие действия.

Моделирование оповещений уровня управления (префикс K8S_)

Необходимые условия

• Убедитесь, что включен план Defender для контейнеров.
• Только Arc— убедитесь, что установлен датчик Defender.
• Только EKS или GKE . Убедитесь, что включены параметры автоматической подготовки журналов аудита по умолчанию.

Чтобы смоделировать оповещение системы безопасности уровня управления Kubernetes, выполните следующие действия.

1. Выполните следующую команду в кластере:

   kubectl get pods --namespace=asc-alerttest-662jfi039n
   

   Вы получите следующий ответ: No resource found

2. Подождите 30 минут.

3. В портал Azure перейдите на страницу оповещений системы безопасности Defender для облака.

4. В соответствующем кластере Kubernetes найдите следующее оповещение: Microsoft Defender for Cloud test alert for K8S (not a threat).

Моделирование оповещений рабочей нагрузки (префикс K8S.NODE_)

Необходимые условия

• Убедитесь, что включен план Defender для контейнеров.
• Убедитесь, что установлен датчик Defender.

Чтобы имитировать оповещение о безопасности рабочей нагрузки Kubernetes, выполните приведенные действия.

1. Создайте модуль pod для выполнения тестовой команды. Это может быть любой из существующих модулей pod в кластере или новый модуль pod. Вы можете создать эту пример конфигурацию yaml:

   apiVersion: v1
   kind: Pod
   metadata:
       name: mdc-test
   spec:
       containers:
           - name: mdc-test
             image: ubuntu:18.04
             command: ["/bin/sh"]
             args: ["-c", "while true; do echo sleeping; sleep 3600;done"]
   

   Чтобы создать модуль pod, выполните следующие действия:

   kubectl apply -f <path_to_the_yaml_file>
   

2. Выполните следующую команду в кластере:

   kubectl exec -it mdc-test -- bash
   

3. Скопируйте исполняемый файл в отдельное расположение и переименуйте его в ./asc_alerttest_662jfi039n с помощью следующей команды cp /bin/echo ./asc_alerttest_662jfi039n.

4. Выполните файл ./asc_alerttest_662jfi039n testing eicar pipe.

5. Подождите 10 минут.

6. В портал Azure перейдите на страницу оповещений системы безопасности Defender для облака.

7. В соответствующем кластере AKS найдите следующее оповещение: Microsoft Defender for Cloud test alert (not a threat).

См. дополнительные сведения о защите узлов и кластеров Kubernetes с помощью Microsoft Defender для контейнеров.

Имитация оповещений для Служба приложений

Вы можете имитировать оповещения для ресурсов, работающих на Служба приложений.

1. Создайте новый веб-сайт и подождите 24 часа, чтобы он был зарегистрирован в Defender для облака или использовал существующий веб-сайт.

2. После создания веб-сайта получите доступ к нему с помощью следующего URL-адреса:

   1. Откройте область ресурсов службы приложений и скопируйте домен для URL-адреса из поля домена по умолчанию.

      

   2. Скопируйте имя веб-сайта в URL-адрес: https://<website name>.azurewebsites.net/This_Will_Generate_ASC_Alert

3. Оповещение создается около 1–2 часов.

Имитация оповещений для служба хранилища ATP (Расширенная защита от угроз)

1. Перейдите к учетной записи хранения с поддержкой Azure Defender для служба хранилища.

2. Перейдите на вкладку "Контейнеры " на боковой панели.

   

3. Перейдите к существующему контейнеру или создайте новый контейнер.

4. Отправьте файл в этот контейнер. Избегайте отправки любого файла, который может содержать конфиденциальные данные.

   

5. Щелкните правой кнопкой мыши отправленный файл и выберите "Создать SAS".

6. Нажмите кнопку "Создать маркер SAS" и "URL-адрес" (нет необходимости изменять параметры).

7. Скопируйте созданный URL-адрес SAS.

8. Откройте браузер Tor, который можно скачать здесь.

9. В браузере Tor перейдите по URL-адресу SAS. Теперь вы увидите и можете скачать загруженный файл.

Тестирование оповещений Службы приложений

Чтобы имитировать оповещение EICAR служб приложений:

1. Найдите конечную точку HTTP веб-сайта, перейдя в колонку портал Azure для веб-сайта Служба приложений или используя пользовательскую запись DNS, связанную с этим веб-сайтом. (Конечная точка URL-адреса по умолчанию для веб-сайта служб приложение Azure имеет суффиксhttps://XXXXXXX.azurewebsites.net). Веб-сайт должен быть существующим веб-сайтом, а не созданным до имитации оповещений.
2. Перейдите по URL-адресу веб-сайта и добавьте следующий фиксированный суффикс: /This_Will_Generate_ASC_Alert URL-адрес должен выглядеть следующим образом: https://XXXXXXX.azurewebsites.net/This_Will_Generate_ASC_Alert Для создания оповещения может потребоваться некоторое время (около 1,5 часа).

Проверка обнаружения угроз Azure Key Vault

1. Если у вас еще нет хранилища ключей, обязательно создайте его.
2. После завершения создания Key Vault и секрета перейдите к виртуальной машине с доступом к Интернету и скачайте браузер TOR.
3. Установите браузер TOR на виртуальной машине.
4. После завершения установки откройте обычный браузер, войдите в портал Azure и перейдите на страницу Key Vault. Выберите выделенный URL-адрес и скопируйте адрес.
5. Откройте TOR и вставьте этот URL-адрес (для доступа к портал Azure необходимо повторно пройти проверку подлинности).
6. После завершения доступа можно также выбрать параметр "Секреты" в левой области.
7. В браузере TOR выйдите из портал Azure и закройте браузер.
8. Через некоторое время Defender для Key Vault активирует оповещение с подробными сведениями об этом подозрительном действии.

Следующие шаги

В этой статье представлен процесс проверки оповещений. Теперь, когда вы знакомы с этой проверкой, изучите следующие статьи:

• Проверка обнаруженных угроз Azure Key Vault в Microsoft Defender для облака
• Управление оповещениями безопасности в Microsoft Defender для облака и реагирование на них — сведения об управлении оповещениями системы безопасности в Defender для облака и реагировании на них.
• Общие сведения об оповещениях системы безопасности в Microsoft Defender для облака