Validasi pemberitahuan di Microsoft Defender for Cloud

Dokumen ini membantu Anda mempelajari cara memverifikasi apakah sistem Anda dikonfigurasi dengan benar untuk pemberitahuan Microsoft Defender for Cloud.

Apa yang dimaksud dengan pemberitahuan keamanan?

Pemberitahuan adalah pemberitahuan yang dihasilkan Defender for Cloud saat mendeteksi ancaman pada sumber daya Anda. Security Center memprioritaskan dan mencantumkan pemberitahuan, beserta informasi yang diperlukan agar Anda dapat menyelidiki masalah dengan cepat. Defender for Cloud juga memberikan rekomendasi tentang bagaimana Anda dapat meremediasi serangan. Untuk informasi selengkapnya, lihat Pemberitahuan keamanan di Defender for Cloud dan Mengelola dan merespons pemberitahuan keamanan

Buat contoh peringatan keamanan

Jika Anda menggunakan pengalaman pemberitahuan pratinjau baru seperti yang dijelaskan dalam Mengelola dan merespons pemberitahuan keamanan di Microsoft Defender untuk Cloud, Anda dapat membuat pemberitahuan sampel dari halaman pemberitahuan keamanan di portal Azure.

Gunakan pemberitahuan sampel untuk:

• mengevaluasi nilai dan kemampuan paket Microsoft Defender Anda
• memvalidasi konfigurasi apa pun yang Anda buat untuk peringatan keamanan Anda (seperti integrasi SIEM, otomatisasi alur kerja, dan pemberitahuan email)

Untuk membuat pemberitahuan sampel:

1. Sebagai pengguna dengan peran Kontributor Langganan, dari toolbar di halaman pemberitahuan, pilih Buat pemberitahuan sampel.

2. Pilih langganan.

3. Pilih paket Microsoft Defender yang relevan yang ingin Anda lihat pemberitahuannya.

4. Pilih Buat pemberitahuan sampel.

   

   Pemberitahuan muncul yang memberi tahu Anda bahwa pemberitahuan sampel sedang dibuat:

   

   Setelah beberapa menit, pemberitahuan muncul di halaman pemberitahuan keamanan. Pemberitahuan juga akan muncul di tempat lain yang telah Anda konfigurasikan untuk menerima pemberitahuan keamanan Microsoft Defender for Cloud Anda (SIEM yang tersambung, pemberitahuan email, dan sebagainya).

   

   Tip

   Pemberitahuan tersebut adalah untuk sumber daya yang disimulasikan.

Menyimulasikan pemberitahuan di Azure VM (Windows) Anda

Setelah agen Log Analytics dipasang pada mesin Anda, ikuti langkah-langkah berikut dari komputer tempat Anda ingin menjadi sumber daya pemberitahuan yang diserang:

1. Salin file yang dapat dijalankan (misalnya calc.exe) ke desktop komputer, atau direktori lain sesuai keinginan Anda, dan ganti namanya menjadi ASC_AlertTest_662jfi039N.exe.
2. Buka perintah dan jalankan file ini dengan argumen (hanya nama argumen palsu), seperti: ASC_AlertTest_662jfi039N.exe -foo
3. Tunggu 5 hingga 10 menit dan buka Pemberitahuan Defender for Cloud. Pemberitahuan akan muncul.

Catatan

Saat mengulas pemberitahuan pengujian ini untuk Windows, pastikan bidang Audit Argumen Diaktifkan adalah benar. Jika salah, Anda harus mengaktifkan audit argumen baris perintah. Untuk mengaktifkannya, gunakan perintah berikut:

reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system\Audit" /f /v "ProcessCreationIncludeCmdLine_Enabled"

Menyimulasikan pemberitahuan di Azure VM (Linux) Anda

Setelah agen Log Analytics dipasang pada mesin Anda, ikuti langkah-langkah berikut dari komputer tempat Anda ingin menjadi sumber daya pemberitahuan yang diserang:

1. Salin file yang dapat dieksekusi ke lokasi yang mudah ditemukan dan ganti namanya menjadi ./asc_alerttest_662jfi039n. Contohnya:

   cp /bin/echo ./asc_alerttest_662jfi039n

2. Buka perintah dan jalankan file ini:

   ./asc_alerttest_662jfi039n testing eicar pipe

3. Tunggu 5 hingga 10 menit lalu buka Pemberitahuan Defender for Cloud. Pemberitahuan akan muncul.

Menyimulasikan pemberitahuan di Kube

Defender untuk Kontainer menyediakan pemberitahuan keamanan untuk kluster Anda dan node kluster yang mendasar. Defender untuk Kontainer menyelesaikan tugas ini dengan memantau sarana kontrol (server API) dan beban kerja kontainer.

Anda dapat mengetahui apakah pemberitahuan Anda terkait dengan rencana kontrol atau beban kerja kontainer berdasarkan awalannya. Pemberitahuan keamanan sarana kontrol memiliki awalan K8S_, sementara pemberitahuan keamanan untuk beban kerja runtime dalam kluster memiliki awalan K8S.NODE_.

Anda dapat mensimulasikan pemberitahuan untuk sarana kontrol, dan pemberitahuan beban kerja dengan langkah-langkah berikut.

Simulasikan pemberitahuan sarana kontrol (K8S_ prefix)

Prasyarat

• Pastikan paket Defender untuk Kontainer diaktifkan.
• Hanya ARC - Pastikan ekstensi Defender diinstal.
• EKS atau GKE saja - Pastikan opsi provisi otomatis pengumpulan log audit default diaktifkan.

Untuk menyimulasikan pemberitahuan keamanan sarana kontrol Kubernetes:

1. Jalankan perintah berikut dalam kluster:

   kubectl get pods --namespace=asc-alerttest-662jfi039n
   

   Anda akan melihat respons berikut: No resource found.

2. Tunggu 30 menit.

3. Di portal Azure, navigasikan ke halaman pemberitahuan Defender untuk Cloud.

4. Pada kluster Kubernetes yang relevan, temukan pemberitahuan berikut Microsoft Defender for Cloud test alert for K8S (not a threat)

Simulasikan pemberitahuan beban kerja (K8S.NODE_ prefix)

Prasyarat

• Pastikan paket Defender untuk Kontainer diaktifkan.
• Pastikan profil\ekstensi Defender terinstal

Untuk menyimulasikan pemberitahuan keamanan beban kerja Kubernetes:

1. Akses salah satu pod azuredefender-publisher-<XXX> yang disebarkan di kluster Kubernetes Anda.

2. Jalankan perintah berikut dalam kluster:

   kubectl exec -it azuredefender-publisher-xx-xxxxx -n <namespace> -- bash
   

   Untuk AKS - <namespace> = kube-system
   Untuk AKS - <namespace> = mdc

3. Pilih yang dapat dijalankan, salin file yang dapat dieksekusi ke lokasi yang mudah ditemukan dan ganti namanya menjadi ./asc_alerttest_662jfi039n. Misalnya: cp /bin/echo ./asc_alerttest_662jfi039n.

4. Jalankan file ./asc_alerttest_662jfi039n testing eicar pipe.

5. Tunggu 10 menit.

6. Di portal Azure, navigasikan ke halaman pemberitahuan Defender untuk Cloud.

7. Pada kluster AKS yang relevan, temukan pemberitahuan berikut Microsoft Defender for Cloud test alert (not a threat).

Anda juga dapat mempelajari lebih lanjut tentang mempertahankan node dan kluster Kubernetes dengan Microsoft Defender untuk Kontainer.

Langkah berikutnya

Artikel ini memperkenalkan Anda pada proses validasi pemberitahuan. Sekarang setelah Anda terbiasa dengan validasi ini, baca artikel berikut:

• Memvalidasi deteksi ancaman Azure Key Vault di Microsoft Defender for Cloud
• Mengelola dan merespons pemberitahuan keamanan di Microsoft Defender for Cloud - Pelajari cara mengelola pemberitahuan, dan menanggapi insiden keamanan di Defender for Cloud.
• Memahami pemberitahuan keamanan di Microsoft Defender untuk Cloud