Поделиться через

Проверка оповещений в Microsoft Defender для облака

  • Статья

В этом документе объясняется, как убедиться, что ваша система правильно настроена для оповещений Microsoft Defender для облака.

Что такое оповещения системы безопасности?

Оповещения — это уведомления, которые Defender для облака создает при обнаружении угроз для ресурсов. Он определяет приоритеты и отображает оповещения, а также сведения, необходимые для быстрого изучения проблемы. Кроме того, Defender для облака предоставляет рекомендации по устранению атак.

Дополнительные сведения см. в разделе "Оповещения системы безопасности" в Defender для облака и управлении оповещениями системы безопасности и реагировании на них.

Необходимые компоненты

Для получения всех оповещений компьютеры и подключенные рабочие области Log Analytics должны находиться в одном клиенте.

Создание примеров оповещений системы безопасности

Если вы используете новый интерфейс предварительной версии оповещений, как описано в разделе "Управление оповещениями системы безопасности и реагирование на них в Microsoft Defender для облака", можно создать примеры оповещений на странице оповещений системы безопасности в портал Azure.

Используйте эти примеры оповещений для:

  • оцените значение и возможности планов Microsoft Defender.
  • проверьте все конфигурации, сделанные для оповещений системы безопасности (например, интеграции SIEM, автоматизации рабочих процессов и Уведомления по электронной почте).

Создание примеров оповещений:

  1. В качестве пользователя с участником подписки роли на панели инструментов на странице оповещений системы безопасности выберите примеры оповещений.

  2. Выберите подписку.

  3. Выберите соответствующие планы Microsoft Defender, для которых требуется просмотреть оповещения.

  4. Выберите Создать примеры оповещений.

    Снимок экрана: шаги по созданию примеров оповещений в Microsoft Defender для облака.

    Появится уведомление о том, что создаются примеры оповещений:

    Снимок экрана: уведомление о создании примеров оповещений.

    Через несколько минут оповещения появятся на странице оповещений системы безопасности. Они также отображаются в любом месте, где вы настроили для получения оповещений системы безопасности Microsoft Defender для облака (подключенных SIEMs, Уведомления по электронной почте и т. д.).

    Снимок экрана: примеры оповещений в списке оповещений системы безопасности.

    Совет

    Эти оповещения предназначены для моделируемых ресурсов.

Моделирование оповещений на виртуальных машинах Azure (Windows)

После установки агента Microsoft Defender для конечной точки на компьютере в рамках интеграции Defender для серверов выполните следующие действия с компьютера, на котором вы хотите быть атакованным ресурсом оповещения:

  1. Откройте командную строку с повышенными привилегиями на устройстве и запустите сценарий:

    1. Перейдите в раздел "Пуск " и введите cmd.

    2. Выберите правой кнопкой мыши командную строку и выберите "Запуск от имени администратора"

    Снимок экрана, показывающий, где выбрать команду

  2. В командной строке скопируйте и выполните следующую команду: powershell.exe -NoExit -ExecutionPolicy Bypass -WindowStyle Hidden $ErrorActionPreference = 'silentlycontinue';(New-Object System.Net.WebClient).DownloadFile('http://127.0.0.1/1.exe', 'C:\\test-MDATP-test\\invoice.exe');Start-Process 'C:\\test-MDATP-test\\invoice.exe'

  3. Окно командной строки закрывается автоматически. В случае успешного выполнения новое оповещение должно отображаться в колонке "Оповещения Defender для облака" в течение 10 минут.

  4. Строка сообщения в поле PowerShell должна выглядеть примерно так:

    Снимок экрана: строка сообщения PowerShell.

Кроме того, можно использовать строку теста EICAR для выполнения этого теста: создайте текстовый файл, вставьте строку EICAR и сохраните файл в виде исполняемого файла на локальный диск компьютера.

Примечание.

При проверке тестовых оповещений для Windows убедитесь, что у вас есть Defender для конечной точки с включенной защитой в режиме реального времени. Узнайте, как проверить эту конфигурацию.

Моделирование оповещений на виртуальных машинах Azure (Linux)

После установки агента Microsoft Defender для конечной точки на компьютере в рамках интеграции Defender для серверов выполните следующие действия с компьютера, на котором вы хотите быть атакованным ресурсом оповещения:

  1. Откройте окно терминала, скопируйте и выполните следующую команду: curl -O https://secure.eicar.org/eicar.com.txt

  2. Окно командной строки закрывается автоматически. В случае успешного выполнения новое оповещение должно отображаться в колонке "Оповещения Defender для облака" в течение 10 минут.

Примечание.

При проверке тестовых оповещений для Linux убедитесь, что у вас есть Defender для конечной точки с включенной защитой в режиме реального времени. Узнайте, как проверить эту конфигурацию.

Моделирование оповещений в Kubernetes

Defender для контейнеров генерирует оповещения системы безопасности как для кластеров, так и для базовых узлов кластера. Для этого Defender для контейнеров отслеживает как уровень управления (сервер API), так и контейнерную рабочую нагрузку.

Вы можете имитировать оповещения для плоскости управления и рабочей нагрузки с помощью средства моделирования оповещений Kubernetes.

Дополнительные сведения о защите узлов и кластеров Kubernetes с помощью Microsoft Defender для контейнеров.

Имитация оповещений для Служба приложений

Вы можете имитировать оповещения для ресурсов, работающих на Служба приложений.

  1. Создайте новый веб-сайт и подождите 24 часа, чтобы он был зарегистрирован в Defender для облака или использовал существующий веб-сайт.

  2. После создания веб-сайта получите доступ к нему с помощью следующего URL-адреса:

    1. Откройте область ресурсов службы приложений и скопируйте домен для URL-адреса из поля домена по умолчанию.

      Снимок экрана: место копирования домена по умолчанию.

    2. Скопируйте имя веб-сайта в URL-адрес: https://<website name>.azurewebsites.net/This_Will_Generate_ASC_Alert

  3. Оповещение создается около 1–2 часов.

Имитация оповещений для ATP хранилища (расширенная защита от угроз)

  1. Перейдите к учетной записи хранения, в которой включена служба Azure Defender для хранилища.

  2. Перейдите на вкладку "Контейнеры " на боковой панели.

    Снимок экрана, на котором показано, куда перейти к выбору контейнера.

  3. Перейдите к существующему контейнеру или создайте новый контейнер.

  4. Отправьте файл в этот контейнер. Избегайте отправки любого файла, который может содержать конфиденциальные данные.

    Снимок экрана: место отправки файла в контейнер.

  5. Щелкните правой кнопкой мыши отправленный файл и выберите "Создать SAS".

  6. Нажмите кнопку "Созданный маркер SAS" и "URL-адрес" (не нужно изменять параметры).

  7. Скопируйте созданный URL-адрес SAS.

  8. Откройте браузер Tor, который можно скачать здесь.

  9. В браузере Tor перейдите по URL-адресу SAS. Теперь вы увидите и можете скачать загруженный файл.

Тестирование оповещений AppServices

Чтобы имитировать оповещение EICAR служб приложений:

  1. Найдите конечную точку HTTP веб-сайта, перейдя в колонку портал Azure для веб-сайта Служба приложений или используя пользовательскую запись DNS, связанную с этим веб-сайтом. (Конечная точка URL-адреса по умолчанию для веб-сайта служб приложение Azure имеет суффиксhttps://XXXXXXX.azurewebsites.net). Веб-сайт должен быть существующим веб-сайтом, а не созданным до имитации оповещений.
  2. Перейдите по URL-адресу веб-сайта и добавьте следующий фиксированный суффикс: /This_Will_Generate_ASC_Alert URL-адрес должен выглядеть следующим образом: https://XXXXXXX.azurewebsites.net/This_Will_Generate_ASC_Alert Для создания оповещения может потребоваться некоторое время (около 1,5 часа).

Проверка обнаружения угроз Azure Key Vault

  1. Если у вас еще нет хранилища ключей, обязательно создайте его.
  2. После завершения создания Key Vault и секрета перейдите к виртуальной машине с доступом к Интернету и скачайте браузер TOR.
  3. Установите браузер TOR на виртуальной машине.
  4. После завершения установки откройте обычный браузер, войдите в портал Azure и перейдите на страницу Key Vault. Выберите выделенный URL-адрес и скопируйте адрес.
  5. Откройте TOR и вставьте этот URL-адрес (для доступа к портал Azure необходимо повторно пройти проверку подлинности).
  6. После завершения доступа можно также выбрать параметр "Секреты" в левой области.
  7. В браузере TOR выйдите из портал Azure и закройте браузер.
  8. Через некоторое время Defender для Key Vault активирует оповещение с подробными сведениями об этом подозрительном действии.

Следующие шаги

В этой статье представлен процесс проверки оповещений. Теперь, когда вы знакомы с этой проверкой, изучите следующие статьи: