Warnungsüberprüfung in Microsoft Defender für Cloud
In diesem Dokument erfahren Sie, wie Sie überprüfen, ob Ihr System ordnungsgemäß für Microsoft Defender für Cloud-Warnungen konfiguriert ist.
Was sind Sicherheitswarnungen?
Warnungen sind die Benachrichtigungen, die Defender für Cloud generiert, wenn Bedrohungen für Ihre Ressourcen erkannt werden. Security Center priorisiert die Warnungen und listet sie zusammen mit den Informationen auf, die erforderlich sind, um das Problem schnell zu untersuchen. Defender für Cloud stellt außerdem Empfehlungen zur Abwehr eines Angriffs bereit.
Weitere Informationen finden Sie unter Sicherheitswarnungen in Defender für Cloud und Verwalten von und Reagieren auf Sicherheitswarnungen.
Voraussetzungen
Damit Sie sämtliche Warnungen erhalten, müssen sich Ihre Computer und die verbundenen Log Analytics-Arbeitsbereiche im selben Mandanten befinden.
Generieren von Beispielsicherheitswarnungen
Wenn Sie die neuen Vorschaufunktionen für Warnungen verwenden, die unter Verwalten von und Reagieren auf Sicherheitswarnungen in Microsoft Defender for Cloud beschrieben werden, können Sie im Azure-Portal auf der Seite „Sicherheitswarnungen“ Beispielwarnungen erstellen.
Verwenden Sie Beispielwarnungen für Folgendes:
- Bemessen des Werts und der Möglichkeiten Ihrer Microsoft Defender-Pläne.
- Überprüfen von Konfigurationen, die Sie für Ihre Sicherheitswarnungen vorgenommen haben (z. B. SIEM-Integrationen, Workflowautomatisierung und E-Mail-Benachrichtigungen).
So erstellen Sie Beispielwarnungen:
Wählen Sie als Benutzer mit der Rolle Abonnementmitwirkender auf der Symbolleiste auf der Seite „Sicherheitswarnungen“ die Option Beispielwarnungen aus.
Wählen Sie das Abonnement aus.
Wählen Sie den entsprechenden Microsoft Defender-Plan aus, für den Sie Warnungen anzeigen möchten.
Klicken Sie auf Beispielwarnungen erstellen.
In einer Benachrichtigung werden Sie darüber informiert, dass die Beispielwarnungen erstellt werden:
Nach einigen Minuten werden die Warnungen auf der Seite mit Sicherheitswarnungen angezeigt. Sie werden auch an anderen Stellen angezeigt, die Sie für den Empfang von Microsoft Defender for Cloud-Sicherheitswarnungen konfiguriert haben (verbundene SIEM-Lösungen, E-Mail-Benachrichtigungen usw.).
Tipp
Die Warnungen gelten für simulierte Ressourcen.
Simulieren von Warnungen auf Ihren Azure-VMs (Windows)
Nachdem der Microsoft Defender for Endpoint-Agent auf Ihrem Computer installiert wurde, führen Sie im Rahmen der Integration von Defender for Servers die folgenden Schritte auf dem Computer aus, auf dem Sie die angegriffene Ressource der Warnung sein möchten:
Öffnen Sie eine Eingabeaufforderung mit erhöhten Rechten auf dem Gerät, und führen Sie das Skript aus:
Navigieren Sie zu Start, und geben Sie
cmd
ein.Klicken Sie mit der rechten Maustaste auf Eingabeaufforderung, und wählen Sie Als Administrator ausführen aus.
Kopieren Sie an der Eingabeaufforderung den folgenden Befehl, und führen Sie ihn aus:
powershell.exe -NoExit -ExecutionPolicy Bypass -WindowStyle Hidden $ErrorActionPreference = 'silentlycontinue';(New-Object System.Net.WebClient).DownloadFile('http://127.0.0.1/1.exe', 'C:\\test-MDATP-test\\invoice.exe');Start-Process 'C:\\test-MDATP-test\\invoice.exe'
Das Eingabeaufforderungsfenster wird automatisch geschlossen. Bei erfolgreicher Ausführung sollte in 10 Minuten eine neue Warnung auf dem Blatt Defender for Cloud-Warnungen angezeigt werden.
Die Meldungszeile im PowerShell-Feld sollte in etwa wie hier dargestellt aussehen:
Alternativ können Sie auch die EICAR-Testzeichenfolge verwenden, um diesen Test durchzuführen: Erstellen Sie eine Textdatei, fügen Sie die EICAR-Zeile ein, und speichern Sie die Datei als ausführbare Datei auf dem lokalen Laufwerk Ihres Computers.
Hinweis
Stellen Sie beim Überprüfen von Testwarnungen für Windows sicher, dass Defender for Endpoint mit aktiviertem Real-Time-Schutz ausgeführt wird. Erfahren Sie, wie Sie diese Konfiguration überprüfen.
Simulieren von Warnungen auf Ihren Azure-VMs (Linux)
Nachdem der Microsoft Defender for Endpoint-Agent auf Ihrem Computer installiert wurde, führen Sie im Rahmen der Integration von Defender for Servers die folgenden Schritte auf dem Computer aus, auf dem Sie die angegriffene Ressource der Warnung sein möchten:
Öffnen Sie ein Terminalfenster, kopieren Sie den folgenden Befehl, und führen Sie ihn aus:
curl -O https://secure.eicar.org/eicar.com.txt
Das Eingabeaufforderungsfenster wird automatisch geschlossen. Bei erfolgreicher Ausführung sollte in 10 Minuten eine neue Warnung auf dem Blatt Defender for Cloud-Warnungen angezeigt werden.
Hinweis
Stellen Sie beim Überprüfen von Testwarnungen für Linux sicher, dass Defender for Endpoint mit aktiviertem Real-Time-Schutz ausgeführt wird. Erfahren Sie, wie Sie diese Konfiguration überprüfen.
Simulieren von Warnung in Kubernetes
Microsoft Defender für Container bietet sowohl Sicherheitswarnungen für Ihre Cluster als auch Sicherheitswarnungen für zugrunde liegende Clusterknoten. Microsoft Defender für Container erreicht dies durch die Überwachung der Steuerungsebene (API-Server) und der containerisierten Arbeitslast.
Ob eine Warnung mit der Steuerungsebene oder mit der containerisierten Workload zusammenhängt, lässt sich am Präfix erkennen. Sicherheitswarnungen für die Steuerungsebene haben das Präfix K8S_
. Sicherheitswarnungen für Runtime-Workloads in den Clustern haben das Präfix K8S.NODE_
.
Sie können sowohl Warnungen auf Steuerungsebene als auch Workloadwarnungen simulieren. Führen Sie dazu die hier beschriebenen Schritte aus.
Simulieren von Warnungen auf Stuerungsebene (Präfix „K8S_“)
Voraussetzungen
- Stellen Sie sicher, dass der Microsoft Defender für Container-Plan aktiviert ist.
- Nur Arc: Stellen Sie sicher, dass der Defender-Sensor installiert ist.
- NUR EKS oder GKE: Stellen Sie sicher, dass die Standardoptionen für die automatische Bereitstellung der Überwachungsprotokollsammlung aktiviert sind.
So simulieren Sie eine Sicherheitswarnung für die Kubernetes-Steuerungsebene
Führen Sie über den Cluster den folgenden Befehl aus:
kubectl get pods --namespace=asc-alerttest-662jfi039n
Sie erhalten die folgende Antwort:
No resource found
.Warten Sie 30 Minuten.
Navigieren Sie im Azure-Portal zur Seite mit den Microsoft Defender for Cloud-Sicherheitswarnungen.
Suchen Sie im relevanten Kubernetes-Cluster nach der folgenden Warnung:
Microsoft Defender for Cloud test alert for K8S (not a threat)
Simulieren von Workloadwarnungen (Präfix „K8S.NODE_“)
Voraussetzungen
- Stellen Sie sicher, dass der Microsoft Defender für Container-Plan aktiviert ist.
- Stellen Sie sicher, dass der Defender-Sensor installiert ist.
So simulieren Sie eine Kubernetes-Workloadsicherheitswarnung
Erstellen Sie einen Pod, auf dem ein Testbefehl ausgeführt wird. Dieser Pod kann eine der vorhandenen Pods im Cluster oder ein neues Pod sein. Sie können diese Konfiguration mit dieser Beispiel-Yaml-Datei erstellen:
apiVersion: v1 kind: Pod metadata: name: mdc-test spec: containers: - name: mdc-test image: ubuntu:18.04 command: ["/bin/sh"] args: ["-c", "while true; do echo sleeping; sleep 3600;done"]
So erstellen Sie die Podausführung:
kubectl apply -f <path_to_the_yaml_file>
Führen Sie über den Cluster den folgenden Befehl aus:
kubectl exec -it mdc-test -- bash
Kopieren Sie die ausführbare Datei an einen separaten Speicherort, und benennen Sie es
./asc_alerttest_662jfi039n
mit dem folgenden Befehl umcp /bin/echo ./asc_alerttest_662jfi039n
.Führen Sie die Datei
./asc_alerttest_662jfi039n testing eicar pipe
aus.Warten Sie 10 Minuten.
Navigieren Sie im Azure-Portal zur Seite mit den Microsoft Defender for Cloud-Sicherheitswarnungen.
Suchen Sie im relevanten AKS-Cluster nach der folgenden Warnung:
Microsoft Defender for Cloud test alert (not a threat)
.
Weitere Informationen zur Verteidigung Ihrer Kubernetes-Knoten und -Cluster finden Sie unter Übersicht zu Microsoft Defender für Container.
Simulieren von Warnungen für App Service
Sie können Warnungen für Ressourcen simulieren, die in App Service ausgeführt werden.
Erstellen Sie eine neue Website, und warten Sie 24 Stunden, bis diese bei Defender for Cloud registriert ist, oder verwenden Sie eine vorhandene Website.
Nachdem die Website erstellt wurde, greifen Sie über die folgende URL darauf zu:
Eine Warnung wird innerhalb von etwa 1 bis 2 Stunden generiert.
Simulieren von Warnungen für Storage ATP (Advanced Threat Protection)
Navigieren Sie zu einem Speicherkonto, für das Azure Defender for Storage aktiviert ist.
Wählen Sie in der Seitenleiste die Option Container aus.
Navigieren Sie zu einem vorhandenen Container, oder erstellen Sie einen neuen.
Laden Sie eine Datei in diesen Container hoch. Vermeiden Sie das Hochladen von Dateien, die unter Umständen vertrauliche Daten enthalten.
Klicken Sie mit der rechten Maustaste auf die hochgeladene Datei, und wählen Sie die Option SAS generieren aus.
Wählen Sie die Schaltfläche „SAS-Token und -URL generieren” aus (keine Änderung von Optionen erforderlich).
Kopieren Sie die generierte SAS-URL.
Öffnen Sie den Tor-Browser, den Sie hier herunterladen können.
Navigieren Sie im Tor-Browser zur SAS-URL. Die hochgeladene Datei sollte jetzt angezeigt werden und heruntergeladen werden können.
Testen von App Services-Warnungen
So simulieren Sie eine EICAR-Warnung für App Services:
- Suchen Sie den HTTP-Endpunkt der Website, indem Sie im Azure-Portal die Seite für die App Services-Website aufrufen oder den benutzerdefinierten DNS-Eintrag verwenden, der dieser Website zugeordnet ist. (Der Standard-URL-Endpunkt für die Azure-App Services-Website hat das Suffix
https://XXXXXXX.azurewebsites.net
). Die Website sollte eine vorhandene Website sein und nicht eine Website, die vor der Warnungssimulation erstellt wurde. - Navigieren Sie zur Website-URL, und fügen Sie ihr das folgende feste Suffix hinzu:
/This_Will_Generate_ASC_Alert
. Die URL sollte wie folgt aussehen:https://XXXXXXX.azurewebsites.net/This_Will_Generate_ASC_Alert
. Es kann einige Zeit dauern, bis die Warnung generiert wurde (~1,5 Stunden).
Überprüfen der Azure Key Vault-Bedrohungserkennung
- Wenn Sie noch keine Key Vault-Instanz erstellt haben, stellen Sie sicher, dass Sie eine erstellen.
- Nachdem Sie die Erstellung der Key Vault-Instanz und des Geheimnisses abgeschlossen haben, wechseln Sie zu einem VM mit Internetzugriff, und laden Sie den TOR-Browser herunter.
- Installieren Sie den TOR-Browser auf Ihrem VM.
- Nachdem Sie die Installation abgeschlossen haben, öffnen Sie Ihren regulären Browser, melden Sie sich beim Azure-Portal an, und greifen Sie auf die Key Vault-Seite zu. Wählen Sie die hervorgehobene URL aus, und kopieren Sie die Adresse.
- Öffnen Sie TOR, und fügen Sie diese URL ein (Sie müssen sich erneut authentifizieren, um auf das Azure-Portal zuzugreifen).
- Nachdem Sie den Zugriff abgeschlossen haben, können Sie auch die Option „Geheimnisse” im linken Bereich auswählen.
- Melden Sie sich im TOR-Browser vom Azure-Portal ab, und schließen Sie den Browser.
- Nach einiger Zeit löst Defender for Key Vault eine Warnung mit detaillierten Informationen zu dieser verdächtigen Aktivität aus.
Nächste Schritte
In diesem Artikel wurden Sie in den Prozess der Warnungsüberprüfung eingeführt. Nachdem Sie sich mit dieser Überprüfung vertraut gemacht haben, können Sie nun mit den folgenden Artikeln fortfahren:
- Überprüfen der Azure Key Vault-Bedrohungserkennung in Microsoft Defender für Cloud
- Verwalten von und Reagieren auf Sicherheitswarnungen in Microsoft Defender für Cloud: Hier erfahren Sie, wie Sie Sicherheitswarnungen verwalten und auf Sicherheitsincidents in Defender für Cloud reagieren.
- Sicherheitswarnungen und -incidents in Microsoft Defender für Cloud