Aviseringsvalidering i Microsoft Defender för molnet

  • Artikel

Det här dokumentet hjälper dig att lära dig hur du kontrollerar om systemet är korrekt konfigurerat för Microsoft Defender för molnet aviseringar.

Vad är säkerhetsaviseringar?

Aviseringar är de meddelanden som Defender för molnet genererar när det identifierar hot på dina resurser. Den prioriterar och listar aviseringarna tillsammans med den information som behövs för att snabbt undersöka problemet. Defender för molnet ger också rekommendationer för hur du kan åtgärda en attack.

Mer information finns i Säkerhetsaviseringar i Defender för molnet och Hantera och svara på säkerhetsaviseringar.

Förutsättningar

För att ta emot alla aviseringar måste dina datorer och de anslutna Log Analytics-arbetsytorna finnas i samma klientorganisation.

Generera exempelsäkerhetsaviseringar

Om du använder den nya funktionen för förhandsversionsaviseringar enligt beskrivningen i Hantera och svara på säkerhetsaviseringar i Microsoft Defender för molnet kan du skapa exempelaviseringar från sidan med säkerhetsaviseringar i Azure-portalen.

Använd exempelaviseringar för att:

  • utvärdera värdet och funktionerna i dina Microsoft Defender-planer.
  • verifiera alla konfigurationer som du har gjort för dina säkerhetsaviseringar (till exempel SIEM-integreringar, arbetsflödesautomatisering och e-postaviseringar).

Så här skapar du exempelaviseringar:

  1. Som användare med rollen Prenumerationsdeltagare väljer du Exempelaviseringar i verktygsfältet på sidan Säkerhetsaviseringar.

  2. Välj prenumerationen.

  3. Välj relevant Microsoft Defender-plan/-plan som du vill se aviseringar för.

  4. Välj Skapa exempelaviseringar.

    Skärmbild som visar steg för att skapa exempelaviseringar i Microsoft Defender för molnet.

    Ett meddelande visas som visar att exempelaviseringar skapas:

    Skärmbild som visar meddelande om att exempelaviseringar genereras.

    Efter några minuter visas aviseringarna på sidan säkerhetsaviseringar. De visas också någon annanstans som du har konfigurerat för att ta emot dina Microsoft Defender för molnet säkerhetsaviseringar (anslutna SIEM:er, e-postmeddelanden och så vidare).

    Skärmbild som visar exempelaviseringar i listan med säkerhetsaviseringar.

    Dricks

    Aviseringarna gäller för simulerade resurser.

Simulera aviseringar på dina virtuella Azure-datorer (Windows)

När Microsoft Defender för Endpoint-agenten har installerats på datorn, som en del av Defender for Servers-integreringen, följer du dessa steg från datorn där du vill vara den angripna resursen i aviseringen:

  1. Öppna en upphöjd kommandotolk på enheten och kör skriptet:

    1. Gå till Start och skriv cmd.

    2. Högerklicka på Kommandotolken och välj Kör som administratör

    Skärmbild som visar var du väljer Kör som administratör.

  2. Kopiera och kör följande kommando i kommandotolken: powershell.exe -NoExit -ExecutionPolicy Bypass -WindowStyle Hidden $ErrorActionPreference = 'silentlycontinue';(New-Object System.Net.WebClient).DownloadFile('http://127.0.0.1/1.exe', 'C:\\test-MDATP-test\\invoice.exe');Start-Process 'C:\\test-MDATP-test\\invoice.exe'

  3. Kommandotolken stängs automatiskt. Om det lyckas bör en ny avisering visas på bladet Defender för molnet Aviseringar om 10 minuter.

  4. Meddelanderaden i PowerShell-rutan bör se ut ungefär så här:

    Skärmbild som visar PowerShell-meddelanderaden.

Alternativt kan du också använda EICAR-teststrängen för att utföra det här testet: Skapa en textfil, klistra in EICAR-raden och spara filen som en körbar fil på datorns lokala enhet.

Kommentar

När du granskar testaviseringar för Windows kontrollerar du att Defender för Endpoint körs med realtidsskydd aktiverat. Lär dig hur du validerar den här konfigurationen.

Simulera aviseringar på dina virtuella Azure-datorer (Linux)

När Microsoft Defender för Endpoint-agenten har installerats på datorn, som en del av Defender for Servers-integreringen, följer du dessa steg från datorn där du vill vara den angripna resursen i aviseringen:

  1. Öppna ett terminalfönster, kopiera och kör följande kommando: curl -O https://secure.eicar.org/eicar.com.txt

  2. Kommandotolken stängs automatiskt. Om det lyckas bör en ny avisering visas på bladet Defender för molnet Aviseringar om 10 minuter.

Kommentar

När du granskar testaviseringar för Linux kontrollerar du att Defender för Endpoint körs med realtidsskydd aktiverat. Lär dig hur du validerar den här konfigurationen.

Simulera aviseringar på Kubernetes

Defender for Containers tillhandahåller säkerhetsaviseringar för både dina kluster och underliggande klusternoder. Defender for Containers åstadkommer detta genom att övervaka både kontrollplanet (API-servern) och den containerbaserade arbetsbelastningen.

Du kan se om din avisering är relaterad till kontrollplanen eller den containerbaserade arbetsbelastningen baserat på dess prefix. Säkerhetsaviseringar för kontrollplan har prefixet K8S_, medan säkerhetsaviseringar för körningsarbetsbelastningar i klustren har prefixet K8S.NODE_.

Du kan simulera aviseringar för både kontrollplanet och arbetsbelastningsaviseringar med följande steg.

Simulera kontrollplansaviseringar (K8S_ prefix)

Krav

  • Kontrollera att Defender for Containers-planen är aktiverad.
  • Endast Arc – Kontrollera att Defender-sensorn är installerad.
  • ENDAST EKS eller GKE – Se till att standardalternativen för automatisk avetablering av granskningsloggsamling är aktiverade.

Så här simulerar du en säkerhetsavisering för Kubernetes-kontrollplanet:

  1. Kör följande kommando från klustret:

    kubectl get pods --namespace=asc-alerttest-662jfi039n

    Du får följande svar: No resource found.

  2. Vänta 30 minuter.

  3. Gå till sidan Defender för molnet säkerhetsaviseringar i Azure-portalen.

  4. Leta upp följande avisering i det relevanta Kubernetes-klustret Microsoft Defender for Cloud test alert for K8S (not a threat)

Simulera arbetsbelastningsaviseringar (K8S. NODE_ prefix)

Krav

Så här simulerar du en säkerhetsavisering för Kubernetes-arbetsbelastningar:

  1. Skapa en podd för att köra ett testkommando på. Den här podden kan vara någon av de befintliga poddarna i klustret eller en ny podd. Du kan skapa med den här yaml-exempelkonfigurationen:

    apiVersion: v1
kind: Pod
metadata:
    name: mdc-test
spec:
    containers:
        - name: mdc-test
          image: ubuntu:18.04
          command: ["/bin/sh"]
          args: ["-c", "while true; do echo sleeping; sleep 3600;done"]

    Så här skapar du poddkörningen:

    kubectl apply -f <path_to_the_yaml_file>

  2. Kör följande kommando från klustret:

    kubectl exec -it mdc-test -- bash

  3. Kopiera den körbara filen till en separat plats och byt namn på den till ./asc_alerttest_662jfi039n med följande kommando cp /bin/echo ./asc_alerttest_662jfi039n.

  4. Kör filen ./asc_alerttest_662jfi039n testing eicar pipe.

  5. Vänta i 10 minuter.

  6. Gå till sidan Defender för molnet säkerhetsaviseringar i Azure-portalen.

  7. Leta upp följande avisering Microsoft Defender for Cloud test alert (not a threat)i det relevanta AKS-klustret.

Du kan också lära dig mer om att försvara dina Kubernetes-noder och kluster med Microsoft Defender för containrar.

Simulera aviseringar för App Service

Du kan simulera aviseringar för resurser som körs i App Service.

  1. Skapa en ny webbplats och vänta 24 timmar innan den registreras med Defender för molnet eller använd en befintlig webbplats.

  2. När webbplatsen har skapats kommer du åt den med hjälp av följande URL:

    1. Öppna fönstret App Service-resurs och kopiera domänen för URL:en från standarddomänfältet.

      Skärmbild som visar var standarddomänen ska kopieras.

    2. Kopiera webbplatsnamnet till URL:en: https://<website name>.azurewebsites.net/This_Will_Generate_ASC_Alert.

  3. En avisering genereras inom cirka 1–2 timmar.

Simulera aviseringar för Storage ATP (Advanced Threat Protection)

  1. Gå till ett lagringskonto som har Azure Defender for Storage aktiverat.

  2. Välj fliken Containrar i sidofältet.

    Skärmbild som visar var du ska navigera för att välja en container.

  3. Navigera till en befintlig container eller skapa en ny.

  4. Ladda upp en fil till containern. Undvik att ladda upp filer som kan innehålla känsliga data.

    Skärmbild som visar var en fil ska laddas upp till containern.

  5. Högerklicka på den uppladdade filen och välj Generera SAS.

  6. Välj knappen Generera SAS-token och URL (du behöver inte ändra några alternativ).

  7. Kopiera den genererade SAS-URL:en.

  8. Öppna tor-webbläsaren, som du kan ladda ned här.

  9. I tor-webbläsaren navigerar du till SAS-URL:en. Nu bör du se och kan ladda ned filen som laddades upp.

Testa AppServices-aviseringar

Så här simulerar du en EICAR-avisering för apptjänster:

  1. Hitta HTTP-slutpunkten för webbplatsen antingen genom att gå till Azure-portalbladet för App Services-webbplatsen eller med hjälp av den anpassade DNS-posten som är associerad med den här webbplatsen. (Standard-URL-slutpunkten för Azure App Services-webbplatsen har suffixet https://XXXXXXX.azurewebsites.net). Webbplatsen ska vara en befintlig webbplats och inte en som skapades före aviseringssimuleringen.
  2. Bläddra till webbplatsens URL och lägg till följande fasta suffix: /This_Will_Generate_ASC_Alert. URL:en bör se ut så här: https://XXXXXXX.azurewebsites.net/This_Will_Generate_ASC_Alert. Det kan ta lite tid innan aviseringen genereras (~1,5 timmar).

Verifiera hotidentifiering i Azure Key Vault

  1. Om du inte har skapat ett Key Vault ännu måste du skapa ett.
  2. När du har skapat Key Vault och hemligheten går du till en virtuell dator som har Internetåtkomst och laddar ned TOR Browser.
  3. Installera TOR Browser på den virtuella datorn.
  4. När du är klar med installationen öppnar du din vanliga webbläsare, loggar in på Azure-portalen och öppnar sidan Key Vault. Välj den markerade URL:en och kopiera adressen.
  5. Öppna TOR och klistra in den här URL:en (du måste autentisera igen för att få åtkomst till Azure-portalen).
  6. När du har slutfört åtkomsten kan du också välja alternativet Hemligheter i den vänstra rutan.
  7. Logga ut från Azure-portalen i TOR-webbläsaren och stäng webbläsaren.
  8. Efter en tid utlöser Defender för Key Vault en avisering med detaljerad information om den här misstänkta aktiviteten.

Nästa steg

I den här artikeln förklaras processen för aviseringsverifiering. Nu när du är bekant med den här valideringen kan du utforska följande artiklar: