Поделиться через

Проверка оповещений в Microsoft Defender для облака

  • Статья

В этой статье объясняется, как проверить правильность настройки системы для оповещений Microsoft Defender для облака, обеспечивая эффективное отслеживание и реагирование на угрозы безопасности.

Что такое оповещения системы безопасности?

Оповещения — это уведомления, которые Defender для облака создаются при обнаружении угроз в ресурсах. Он определяет приоритеты и отображает оповещения, а также сведения, необходимые для быстрого изучения проблемы. Defender для облака также предоставляет рекомендации по исправлению атаки.

Дополнительные сведения см. в разделе "Оповещения системы безопасности" в Defender для облака и управлении оповещениями системы безопасности и реагировании на них.

Необходимые компоненты

Для получения всех оповещений компьютеры и подключенные рабочие области Log Analytics должны находиться в одном клиенте.

Создание примеров оповещений системы безопасности

Если вы используете новый интерфейс предварительной версии оповещений, как описано в разделе "Управление оповещениями системы безопасности и реагирование на них в Microsoft Defender для облака", можно создать примеры оповещений на странице оповещений системы безопасности в портал Azure.

Используйте эти примеры оповещений для:

  • Оцените значение и возможности планов Microsoft Defender.
  • Проверьте все конфигурации, которые вы создали для оповещений системы безопасности (например, интеграции SIEM, автоматизации рабочих процессов и Уведомления по электронной почте).

Создание примеров оповещений:

  1. В качестве пользователя с участником подписки роли на панели инструментов на странице оповещений системы безопасности выберите примеры оповещений.
  2. Выберите подписку.
  3. Выберите соответствующие планы Microsoft Defender, для которых нужно просмотреть оповещения.
  4. Выберите Создать примеры оповещений.

Снимок экрана: шаги по созданию примеров оповещений в Microsoft Defender для облака.

Появится уведомление, позволяющее узнать, что создаются примеры оповещений:

Снимок экрана: уведомление о создании примеров оповещений.

Через несколько минут оповещения отображаются на странице оповещений системы безопасности. Они также отображаются в любом месте, где вы настроили для получения оповещений системы безопасности Microsoft Defender для облака (подключенных SIEMs, Уведомления по электронной почте и т. д.).

Снимок экрана: примеры оповещений в списке оповещений системы безопасности.

Совет

Эти оповещения предназначены для моделируемых ресурсов.

Имитация оповещений на виртуальных машинах Azure (Windows)

После установки агента Microsoft Defender для конечной точки на компьютере в рамках интеграции Defender для серверов выполните следующие действия с компьютера, где вы хотите быть атакованным ресурсом оповещения.

Откройте командную строку с повышенными привилегиями на устройстве и запустите сценарий:

  1. Перейдите в раздел "Пуск " и введите cmd.

  2. Щелкните правой кнопкой мыши командную строку и выберите "Запуск от имени администратора".

    Снимок экрана, показывающий, где выбрать команду

  3. В командной строке скопируйте и выполните следующую команду: powershell.exe -NoExit -ExecutionPolicy Bypass -WindowStyle Hidden $ErrorActionPreference = 'silentlycontinue';(New-Object System.Net.WebClient).DownloadFile('http://127.0.0.1/1.exe', 'C:\test-MDATP-test\invoice.exe');Start-Process 'C:\test-MDATP-test\invoice.exe'

  4. Окно командной строки закрывается автоматически. В случае успешного выполнения новое оповещение должно отображаться в колонке "Оповещения Defender для облака" в течение 10 минут.

  5. Строка сообщения в поле PowerShell должна выглядеть примерно так:

    Снимок экрана: строка сообщения PowerShell.

Кроме того, для выполнения этого теста можно использовать строку теста EICAR: создайте текстовый файл, вставьте строку EICAR и сохраните файл в виде исполняемого файла на локальный диск компьютера.

Примечание.

При проверке тестовых оповещений для Windows убедитесь, что у вас есть Defender для конечной точки с включенной защитой в режиме реального времени. Узнайте, как проверить эту конфигурацию.

Имитация оповещений на виртуальных машинах Azure (Linux)

После установки агента Microsoft Defender для конечной точки на компьютере в рамках интеграции Defender для серверов выполните следующие действия с компьютера, на котором вы хотите быть атакованным ресурсом оповещения:

  1. Откройте окно терминала, скопируйте и выполните следующую команду: curl -O https://secure.eicar.org/eicar.com.txt
  2. Окно командной строки закрывается автоматически. В случае успешного выполнения новое оповещение должно отображаться в колонке "Оповещения Defender для облака" в течение 10 минут.

Примечание.

При проверке тестовых оповещений для Linux убедитесь, что у вас есть Defender для конечной точки с включенной защитой в режиме реального времени. Узнайте, как проверить эту конфигурацию.

Имитация оповещений в Kubernetes

Defender для контейнеров предоставляет оповещения системы безопасности для кластеров и базовых узлов кластера. Это достигается путем мониторинга плоскости управления (сервера API) и контейнерной рабочей нагрузки.

Вы можете имитировать оповещения для плоскости управления и рабочей нагрузки с помощью средства моделирования оповещений Kubernetes.

Дополнительные сведения о защите узлов и кластеров Kubernetes с помощью Microsoft Defender для контейнеров.

Имитация оповещений для Служба приложений

Вы можете имитировать оповещения для ресурсов, работающих на Служба приложений.

  1. Создайте новый веб-сайт и подождите 24 часа, чтобы зарегистрировать его в Defender для облака или использовать существующий веб-сайт.
  2. После создания веб-сайта получите доступ к нему с помощью следующего URL-адреса:

    1. Откройте область ресурсов службы приложений и скопируйте домен для URL-адреса из поля домена по умолчанию.

      Снимок экрана: место копирования домена по умолчанию.

    2. Скопируйте имя веб-сайта в URL-адрес: https://<website-name>.azurewebsites.net/This_Will_Generate_ASC_Alert

  3. Оповещение создается примерно в течение 1–2 часов.

Имитация оповещений для ATP хранилища (расширенная защита от угроз)

  1. Перейдите к учетной записи хранения, в которой включена служба Azure Defender для хранилища.

  2. Перейдите на вкладку "Контейнеры " на боковой панели.

    Снимок экрана, на котором показано, куда перейти к выбору контейнера.

  3. Перейдите к существующему контейнеру или создайте новый контейнер.

  4. Отправьте файл в этот контейнер. Избегайте отправки любого файла, который может содержать конфиденциальные данные.

    Снимок экрана: место отправки файла в контейнер.

  5. Щелкните правой кнопкой мыши отправленный файл и выберите "Создать SAS".

  6. Нажмите кнопку "Созданный маркер SAS" и "URL-адрес" (не нужно изменять параметры).

  7. Скопируйте созданный URL-адрес SAS.

  8. Откройте браузер Tor, который можно скачать здесь.

  9. В браузере Tor перейдите по URL-адресу SAS. Теперь вы увидите и можете скачать загруженный файл.

Тестирование оповещений AppServices

Чтобы имитировать оповещение EICAR служб приложений:

  1. Найдите конечную точку HTTP веб-сайта, перейдя в колонку портал Azure для веб-сайта Служба приложений или используя пользовательскую запись DNS, связанную с этим веб-сайтом. (Конечная точка URL-адреса по умолчанию для веб-сайта служб приложение Azure имеет суффиксhttps://XXXXXXX.azurewebsites.net). Веб-сайт должен быть существующим веб-сайтом, а не созданным до имитации оповещений.
  2. Найдите конечную точку HTTP веб-сайта, перейдя в колонку портал Azure для веб-сайта Служба приложений или используя пользовательскую запись DNS, связанную с этим веб-сайтом. (Конечная точка URL-адреса по умолчанию для веб-сайта служб приложение Azure имеет суффиксhttps://XXXXXXX.azurewebsites.net). Веб-сайт должен быть существующим веб-сайтом, а не созданным до имитации оповещений.
  3. Перейдите по URL-адресу веб-сайта и добавьте следующий фиксированный суффикс: /This_Will_Generate_ASC_Alert URL-адрес должен выглядеть следующим образом: https://XXXXXXX.azurewebsites.net/This_Will_Generate_ASC_Alert Для создания оповещения может потребоваться некоторое время (~1,5 часа).

Проверка обнаружения угроз Azure Key Vault

  1. Если у вас еще нет хранилища ключей, обязательно создайте его.
  2. После создания Key Vault и секрета перейдите к виртуальной машине с доступом к Интернету и скачайте браузер TOR.
  3. Установите браузер TOR на виртуальной машине.
  4. После установки откройте обычный браузер, войдите в портал Azure и перейдите на страницу Key Vault. Выберите выделенный URL-адрес и скопируйте адрес.
  5. Откройте TOR и вставьте этот URL-адрес (для доступа к портал Azure необходимо повторно пройти проверку подлинности).
  6. После доступа можно также выбрать параметр "Секреты" в левой области.
  7. В браузере TOR выйдите из портал Azure и закройте браузер.
  8. Через некоторое время Defender для Key Vault активирует оповещение с подробными сведениями об этом подозрительном действии.

Следующие шаги

В этой статье представлен процесс проверки оповещений. Теперь, когда вы знакомы с этой проверкой, изучите следующие статьи: