مشاركة عبر

التحقق من صحة التنبيهات في Microsoft Defender for Cloud

  • مقالة

تشرح هذه المقالة كيفية التحقق من تكوين نظامك بشكل صحيح لتنبيهات Microsoft Defender for Cloud، ما يضمن أنه يمكنك مراقبة تهديدات الأمان والاستجابة لها بشكل فعال.

ما التنبيهات الأمنية؟

التنبيهات هي إعلامات ينشئها Defender for Cloud عندما يكتشف التهديدات على مواردك. فهو يعطي الأولوية للتنبيهات ويسردها بالإضافة إلى المعلومات اللازمة للتحقيق في المشكلة بسرعة. يوفر Defender for Cloud أيضا توصيات لمعالجة الهجوم.

لمزيد من المعلومات، راجع تنبيهات الأمان في Defender for Cloud وإدارة تنبيهات الأمان والاستجابة لها.

المتطلبات الأساسية

لتلقي جميع التنبيهات، يجب أن تكون أجهزتك ومساحات عمل Log Analytics المتصلة في نفس المستأجر.

توليد عينة من التنبيهات الأمنية

إذا كنت تستخدم تجربة تنبيهات المعاينة الجديدة كما هو موضح في إدارة تنبيهات الأمان والاستجابة لها في Microsoft Defender for Cloud، يمكنك إنشاء نماذج تنبيهات من صفحة تنبيهات الأمان في مدخل Microsoft Azure.

استخدم نماذج التنبيهات من أجل:

  • تقييم قيمة وقدرات خطط Microsoft Defender.
  • تحقق من صحة أي تكوينات أجريتها لتنبيهات الأمان (مثل تكامل SIEM وأتمتة سير العمل وإعلامات البريد الإلكتروني).

لإنشاء نماذج التنبيهات:

  1. كمستخدم مع دور مساهم الاشتراك، من شريط الأدوات في صفحة تنبيهات الأمان، حدد Sample alerts.
  2. اختر الاشتراك.
  3. حدد خطة (خطط) Microsoft Defender ذات الصلة التي تريد رؤية التنبيهات لها.
  4. حدد Create sample alerts.

لقطة شاشة تعرض خطوات إنشاء تنبيهات نموذجية في Microsoft Defender for Cloud.

يظهر إعلام يخبرك بإنشاء نماذج التنبيهات:

لقطة شاشة تعرض إعلاما بأنه يتم إنشاء نماذج التنبيهات.

بعد بضع دقائق، تظهر التنبيهات على صفحة تنبيهات الأمان. كما تظهر في أي مكان آخر قمت بتكوينه لتلقي تنبيهات أمان Microsoft Defender for Cloud (SIEMs المتصلة وإعلامات البريد الإلكتروني وما إلى ذلك).

لقطة شاشة تعرض نماذج التنبيهات في قائمة تنبيهات الأمان.

تلميح

التنبيهات لمصادر تمت محاكاتها.

محاكاة التنبيهات على أجهزة Azure الظاهرية (Windows)

بعد تثبيت عامل Microsoft Defender لنقطة النهاية على جهازك كجزء من تكامل Defender for Servers، اتبع هذه الخطوات من الجهاز حيث تريد أن تكون المورد الذي تمت مهاجمته للتنبيه.

افتح موجه سطر أوامر غير مقيد على الجهاز وقم بتشغيل البرنامج النصي:

  1. انتقل إلى البدء واكتب cmd.

  2. حدد موجه الأوامر بزر الماوس الأيمن وحدد تشغيل كمسؤول.

    لقطة شاشة توضح مكان تحديد تشغيل كمسؤول.

  3. في المطالبة، انسخ الأمر التالي وقم بتشغيله: powershell.exe -NoExit -ExecutionPolicy Bypass -WindowStyle Hidden $ErrorActionPreference = 'silentlycontinue';(New-Object System.Net.WebClient).DownloadFile('http://127.0.0.1/1.exe', 'C:\test-MDATP-test\invoice.exe');Start-Process 'C:\test-MDATP-test\invoice.exe'.

  4. يتم إغلاق نافذة موجه الأوامر تلقائيا. إذا نجحت، يجب أن يظهر تنبيه جديد في شفرة Defender for Cloud Alerts في 10 دقائق.

  5. يجب أن يظهر سطر الرسالة في مربع PowerShell مشابها لكيفية تقديمه هنا:

    لقطة شاشة تعرض سطر رسالة PowerShell.

بدلا من ذلك، يمكنك استخدام سلسلة اختبار EICAR لإجراء هذا الاختبار: إنشاء ملف نصي، ولصق سطر EICAR، وحفظ الملف كملف قابل للتنفيذ إلى محرك الأقراص المحلي لجهازك.

إشعار

عند مراجعة تنبيهات الاختبار لنظام التشغيل Windows، تأكد من تمكين Defender لنقطة النهاية مع تمكين الحماية في الوقت الحقيقي. تعرف على كيفية التحقق من صحة هذا التكوين.

محاكاة التنبيهات على أجهزة Azure الظاهرية (Linux)

بعد تثبيت عامل Microsoft Defender لنقطة النهاية على جهازك كجزء من تكامل Defender for Servers، اتبع الخطوات التالية من الجهاز الذي تريد أن يكون المورد الذي تمت مهاجمته للتنبيه:

  1. افتح نافذة Terminal، وانسخ الأمر التالي وقم بتشغيله: curl -O https://secure.eicar.org/eicar.com.txt
  2. يتم إغلاق نافذة موجه الأوامر تلقائيا. إذا نجحت، يجب أن يظهر تنبيه جديد في شفرة Defender for Cloud Alerts في 10 دقائق.

إشعار

عند مراجعة تنبيهات الاختبار لنظام Linux، تأكد من تمكين Defender لنقطة النهاية مع تمكين الحماية في الوقت الحقيقي. تعرف على كيفية التحقق من صحة هذا التكوين.

محاكاة التنبيهات على Kubernetes

يوفر Defender for Containers تنبيهات أمان لمجموعاتك وعقد نظام المجموعة الأساسية. وهو يحقق ذلك من خلال مراقبة مستوى التحكم (خادم API) وعبء العمل المعبأة في حاويات.

يمكنك محاكاة التنبيهات لمستوى التحكم وعبء العمل باستخدام أداة محاكاة تنبيهات Kubernetes.

تعرف على المزيد حول الدفاع عن عقد Kubernetes ومجموعاتها باستخدام Microsoft Defender for Containers.

محاكاة التنبيهات لخدمة التطبيقات

يمكنك محاكاة التنبيهات للموارد التي تعمل على App Service.

  1. قم بإنشاء موقع ويب جديد وانتظر 24 ساعة حتى يتم تسجيله مع Defender for Cloud، أو استخدم موقع ويب موجود.
  2. بمجرد إنشاء موقع الويب، قم بالوصول إليه باستخدام عنوان URL التالي:

    1. افتح جزء موارد خدمة التطبيق وانسخ المجال الخاص بعنوان URL من حقل المجال الافتراضي.

      لقطة شاشة توضح مكان نسخ المجال الافتراضي.

    2. انسخ اسم موقع الويب إلى عنوان URL: https://<website-name>.azurewebsites.net/This_Will_Generate_ASC_Alert.

  3. يتم إنشاء تنبيه في غضون ساعة إلى ساعتين تقريبا.

محاكاة التنبيهات ل Storage ATP (الحماية المتقدمة من التهديدات)

  1. انتقل إلى حساب تخزين تم تمكين Azure Defender for Storage فيه.

  2. حدد علامة التبويب Containers في الشريط الجانبي.

    لقطة شاشة توضح مكان التنقل لتحديد حاوية.

  3. انتقل إلى حاوية موجودة أو أنشئ حاوية جديدة.

  4. تحميل ملف إلى تلك الحاوية. تجنب تحميل أي ملف قد يحتوي على بيانات حساسة.

    لقطة شاشة توضح مكان تحميل ملف إلى الحاوية.

  5. حدد الملف الذي تم تحميله بزر الماوس الأيمن وحدد Generate SAS.

  6. حدد زر رمز SAS المميز وعنوان URL الذي تم إنشاؤه (لا حاجة لتغيير أي خيارات).

  7. نسخ عنوان URL الذي أنشئ لـ SAS.

  8. افتح متصفح Tor، الذي يمكنك تنزيله هنا.

  9. في مستعرض Tor، الانتقال إلى SAS URL. يجب أن تشاهد الآن الملف الذي تم تحميله ويمكنك تنزيله.

اختبار تنبيهات AppServices

لمحاكاة تنبيه EICAR لخدمات التطبيقات:

  1. ابحث عن نقطة نهاية HTTP لموقع الويب إما عن طريق الانتقال إلى شفرة مدخل Microsoft Azure لموقع App Services على الويب أو باستخدام إدخال DNS المخصص المقترن بموقع الويب هذا. (تحتوي نقطة نهاية URL الافتراضية لموقع Azure App Services على اللاحقة https://XXXXXXX.azurewebsites.net). يجب أن يكون موقع الويب موقعا موجودا وليس موقعا تم إنشاؤه قبل محاكاة التنبيه.
  2. ابحث عن نقطة نهاية HTTP لموقع الويب إما عن طريق الانتقال إلى شفرة مدخل Microsoft Azure لموقع App Services على الويب أو باستخدام إدخال DNS المخصص المقترن بموقع الويب هذا. (تحتوي نقطة نهاية URL الافتراضية لموقع Azure App Services على اللاحقة https://XXXXXXX.azurewebsites.net). يجب أن يكون موقع الويب موقعا موجودا وليس موقعا تم إنشاؤه قبل محاكاة التنبيه.
  3. استعرض للوصول إلى عنوان URL لموقع الويب وأضف اللاحقة الثابتة التالية: /This_Will_Generate_ASC_Alert. يجب أن يبدو عنوان URL كما يلي: https://XXXXXXX.azurewebsites.net/This_Will_Generate_ASC_Alert. قد يستغرق إنشاء التنبيه بعض الوقت (~1.5 ساعة).

التحقق من صحة Azure Key Vault Threat Detection

  1. إذا لم يكن لديك Key Vault تم إنشاؤه بعد، فتأكد من إنشاء واحد.
  2. بعد إنشاء Key Vault والسر، انتقل إلى جهاز ظاهري لديه حق الوصول إلى الإنترنت وقم بتنزيل متصفح TOR.
  3. تثبيت متصفح TOR على الجهاز الظاهري الخاص بك.
  4. بعد التثبيت، افتح المستعرض العادي، وسجل الدخول إلى مدخل Microsoft Azure، وادخل إلى صفحة Key Vault. حدد عنوان URL المميز وانسخ العنوان.
  5. افتح TOR والصق عنوان URL هذا (تحتاج إلى المصادقة مرة أخرى للوصول إلى مدخل Microsoft Azure).
  6. بعد الوصول، يمكنك أيضا تحديد خيار Secrets في الجزء الأيمن.
  7. في متصفح TOR، سجل الخروج من مدخل Microsoft Azure وأغلق المستعرض.
  8. بعد مرور بعض الوقت، يقوم Defender for Key Vault بتشغيل تنبيه بمعلومات مفصلة حول هذا النشاط المشبوه.

الخطوات التالية

قدمت لك هذه المقالة عملية التحقق من صحة التنبيهات. الآن بعد أن أصبحت على دراية بهذا التحقق من الصحة، استكشف المقالات التالية: