Riasztás érvényesítése a Felhőhöz készült Microsoft Defenderben

Ebből a dokumentumból megtudhatja, hogyan ellenőrizheti, hogy a rendszer megfelelően van-e konfigurálva Felhőhöz készült Microsoft Defender riasztásokhoz.

Mik azok a biztonsági riasztások?

A riasztások azok az értesítések, amelyeket a Felhőhöz készült Defender küld, amikor fenyegetést észlel az erőforrásokon. Rangsorolja és listázza a riasztásokat, valamint a probléma gyors kivizsgálásához szükséges információkat. Felhőhöz készült Defender a támadások elhárítására vonatkozó javaslatokat is nyújt. További információ: Biztonsági riasztások Felhőhöz készült Defender és a biztonsági riasztások kezelése és megválaszolása

Biztonsági mintariasztások létrehozása

Ha az új, előzetes verziójú riasztási felületet használja az Felhőhöz készült Microsoft Defender biztonsági riasztásainak kezelése és megválaszolása című szakaszban leírtak szerint, néhány kattintással létrehozhat mintariasztásokat a Azure Portal biztonsági riasztások oldaláról.

Mintariasztások használata a következőhöz:

  • a Microsoft Defender-csomagok értékének és képességeinek kiértékelése
  • a biztonsági riasztásokhoz (például SIEM-integrációkhoz, munkafolyamat-automatizáláshoz és e-mail-értesítésekhez) létrehozott konfigurációk ellenőrzése

Mintariasztások létrehozása:

  1. Előfizetés-közreműködő szerepkörrel rendelkező felhasználóként a riasztások oldalának eszköztárán válassza a Mintariasztások létrehozása lehetőséget.

  2. Válassza ki az előfizetést.

  3. Válassza ki a megfelelő Microsoft Defender-csomagot/csomagokat, amelyekhez riasztásokat szeretne látni.

  4. Válassza a Mintariasztások létrehozása lehetőséget.

    Steps to create sample alerts in Microsoft Defender for Cloud.

    Megjelenik egy értesítés arról, hogy a mintariasztások létrejönnek:

    Notification that the sample alerts are being generated.

    Néhány perc elteltével a riasztások megjelennek a biztonsági riasztások oldalán. A Felhőhöz készült Microsoft Defender biztonsági riasztások (csatlakoztatott SIEM-ek, e-mail-értesítések stb.) fogadásához konfigurált bárhol máshol is megjelennek.

    Sample alerts in the security alerts list.

    Tipp

    A riasztások szimulált erőforrásokhoz tartoznak.

Riasztások szimulálása az Azure-beli virtuális gépeken (Windows)

Miután telepítette a Log Analytics-ügynököt a gépére, kövesse az alábbi lépéseket attól a számítógéptől, ahol a riasztás megtámadott erőforrása szeretne lenni:

  1. Másoljon egy végrehajtható fájlt (például calc.exe) a számítógép asztalára vagy más kényelmes könyvtárba, és nevezze át ASC_AlertTest_662jfi039N.exe.
  2. Nyissa meg a parancssort, és futtassa a fájlt egy argumentummal (csak egy hamis argumentumnévvel), például: ASC_AlertTest_662jfi039N.exe -foo
  3. Várjon 5–10 percet, és nyissa meg Felhőhöz készült Defender riasztásokat. Ekkor megjelenik egy riasztás.

Megjegyzés

A Windows tesztriasztásának áttekintésekor győződjön meg arról, hogy az argumentumok naplózása engedélyezvevan. Ha hamis, engedélyeznie kell a parancssori argumentumok naplózását. Az engedélyezéshez használja a következő parancsot:

reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system\Audit" /f /v "ProcessCreationIncludeCmdLine_Enabled"

Riasztások szimulálása Azure-beli virtuális gépeken (Linux)

Miután telepítette a Log Analytics-ügynököt a gépére, kövesse az alábbi lépéseket attól a számítógéptől, ahol a riasztás megtámadott erőforrása szeretne lenni:

  1. Másoljon egy végrehajtható fájlt egy kényelmes helyre, és nevezze át a következőre ./asc_alerttest_662jfi039n: . Például:

    cp /bin/echo ./asc_alerttest_662jfi039n

  2. Nyissa meg a parancssort, és hajtsa végre a fájlt:

    ./asc_alerttest_662jfi039n testing eicar pipe

  3. Várjon 5–10 percet, majd nyissa meg Felhőhöz készült Defender riasztásokat. Ekkor megjelenik egy riasztás.

Riasztások szimulálása a Kubernetesen

Ha integrálta Azure Kubernetes Service Felhőhöz készült Defender, tesztelheti, hogy a riasztások a következő kubectl-paranccsal működnek-e:

kubectl get pods --namespace=asc-alerttest-662jfi039n

További információ a Kubernetes-csomópontok és -fürtök védelméről: A Microsoft Defender for Containers áttekintése

Következő lépések

Ez a cikk a riasztások érvényesítési folyamatát mutatta be. Most, hogy már ismeri az érvényesítést, tekintse meg a következő cikkeket: