Megosztás a következőn keresztül:

Riasztások érvényesítése a Felhőhöz készült Microsoft Defender

  • Cikk

Ez a cikk azt ismerteti, hogyan ellenőrizheti, hogy a rendszer megfelelően van-e konfigurálva Felhőhöz készült Microsoft Defender riasztásokhoz, így hatékonyan monitorozhat és reagálhat a biztonsági fenyegetésekre.

Mik azok a biztonsági riasztások?

A riasztások olyan értesítések, amelyeket Felhőhöz készült Defender generálnak, amikor fenyegetéseket észlel az erőforrásokon. Rangsorolja és listázza a riasztásokat, valamint a probléma gyors kivizsgálásához szükséges információkat. Felhőhöz készült Defender a támadások elhárítására vonatkozó javaslatokat is kínál.

További információ: Biztonsági riasztások Felhőhöz készült Defender és a biztonsági riasztások kezelése és megválaszolása.

Előfeltételek

Az összes riasztás fogadásához a gépeknek és a csatlakoztatott Log Analytics-munkaterületeknek ugyanabban a bérlőben kell lenniük.

Biztonsági riasztások mintájának létrehozása

Ha az új előzetes verziójú riasztási felületet használja az Felhőhöz készült Microsoft Defender biztonsági riasztásainak kezelése és megválaszolása című cikkben leírtak szerint, az Azure Portal biztonsági riasztások oldaláról hozhat létre mintariasztásokat.

Mintariasztások használata a következőhöz:

  • Értékelje ki a Microsoft Defender-csomagok értékét és képességeit.
  • Ellenőrizze a biztonsági riasztásokhoz (például SIEM-integrációkhoz, munkafolyamat-automatizáláshoz és e-mail-értesítésekhez) létrehozott konfigurációkat.

Mintariasztások létrehozása:

  1. Az Előfizetés közreműködője szerepkörrel rendelkező felhasználóként a biztonsági riasztások lap eszköztárán válassza a Mintariasztások lehetőséget.
  2. Válassza ki az előfizetést.
  3. Válassza ki azokat a Microsoft Defender-csomagokat, amelyekhez riasztásokat szeretne megjeleníteni.
  4. Válassza a Mintariasztások létrehozása lehetőséget.

Képernyőkép a Felhőhöz készült Microsoft Defender mintariasztások létrehozásának lépéseiről.

Megjelenik egy értesítés, amely tájékoztatja a mintariasztások létrejöttéről:

Képernyőkép a mintariasztások létrehozásának értesítéséről.

Néhány perc elteltével a riasztások megjelennek a biztonsági riasztások oldalán. A Felhőhöz készült Microsoft Defender biztonsági riasztások (csatlakoztatott SIEM-ek, e-mail-értesítések stb.) fogadásához konfigurált bárhol máshol is megjelennek.

Képernyőkép a biztonsági riasztások listájában szereplő mintariasztásokról.

Tipp.

A riasztások szimulált erőforrásokhoz tartoznak.

Riasztások szimulálása Azure-beli virtuális gépeken (Windows)

Miután az Végponthoz készült Microsoft Defender ügynököt telepítette a számítógépre a Defender for Servers integrációja részeként, kövesse az alábbi lépéseket attól a géptől, ahol a riasztás támadott erőforrása szeretne lenni.

Nyisson meg egy emelt szintű parancssort az eszközön, és futtassa a szkriptet:

  1. Nyissa meg a Start menüt , és írja be a kívánt szöveget cmd.

  2. Válassza a jobb gombbal a parancssort, és válassza a Futtatás rendszergazdaként lehetőséget.

    Képernyőkép arról, hogy hol válassza a Futtatás rendszergazdaként lehetőséget.

  3. A parancssorban másolja ki és futtassa a következő parancsot: powershell.exe -NoExit -ExecutionPolicy Bypass -WindowStyle Hidden $ErrorActionPreference = 'silentlycontinue';(New-Object System.Net.WebClient).DownloadFile('http://127.0.0.1/1.exe', 'C:\test-MDATP-test\invoice.exe');Start-Process 'C:\test-MDATP-test\invoice.exe'.

  4. A Parancssor ablak automatikusan bezárul. Ha sikeres, 10 percen belül meg kell jelennie egy új riasztásnak Felhőhöz készült Defender Riasztások panelen.

  5. A PowerShell-párbeszédpanel üzenetsorának az itt bemutatotthoz hasonlóan kell megjelennie:

    Képernyőkép a PowerShell üzenetsorról.

A következő teszt végrehajtásához használhatja az EICAR tesztsztringet: Hozzon létre egy szövegfájlt, illessze be az EICAR sort, és mentse a fájlt végrehajtható fájlként a gép helyi meghajtójára.

Feljegyzés

A Windows tesztriasztásainak áttekintésekor győződjön meg arról, hogy engedélyezve van a Defender for Endpoint valós idejű védelemmel való futtatása. Ebből a cikkből megtudhatja, hogyan érvényesítheti ezt a konfigurációt.

Riasztások szimulálása Azure-beli virtuális gépeken (Linux)

Miután az Végponthoz készült Microsoft Defender ügynök telepítve lett a számítógépen a Defender for Servers integráció részeként, kövesse az alábbi lépéseket attól a géptől, amelyet a riasztás támadott erőforrásaként szeretne használni:

  1. Nyisson meg egy terminálablakot, másolja ki és futtassa a következő parancsot: curl -O https://secure.eicar.org/eicar.com.txt
  2. A Parancssor ablak automatikusan bezárul. Ha sikeres, 10 percen belül meg kell jelennie egy új riasztásnak Felhőhöz készült Defender Riasztások panelen.

Feljegyzés

A Linux tesztriasztásainak áttekintésekor győződjön meg arról, hogy engedélyezve van a Defender for Endpoint valós idejű védelemmel való futtatása. Ebből a cikkből megtudhatja, hogyan érvényesítheti ezt a konfigurációt.

Riasztások szimulálása a Kubernetesen

A Defender for Containers biztonsági riasztásokat biztosít a fürtökhöz és a mögöttes fürtcsomópontokhoz. Ezt a vezérlősík (API-kiszolgáló) és a tárolóalapú számítási feladat figyelésével hajtja végre.

A Kubernetes-riasztások szimulációs eszközével szimulálhatja a vezérlősíkra és a számítási feladatra vonatkozó riasztásokat.

További információ a Kubernetes-csomópontok és -fürtök védelméről a Microsoft Defender for Containers használatával.

Riasztások szimulálása az App Service-hez

Riasztásokat szimulálhat az App Service-ben futó erőforrásokhoz.

  1. Hozzon létre egy új webhelyet, és várjon 24 órát, amíg regisztrál a Felhőhöz készült Defender, vagy használjon egy meglévő webhelyet.
  2. A webhely létrehozása után a következő URL-cím használatával érheti el:

    1. Nyissa meg az App Service-erőforráspanelt, és másolja ki az URL-címet az alapértelmezett tartománymezőből.

      Képernyőkép az alapértelmezett tartomány másolásának helyével.

    2. Másolja a webhely nevét az URL-címre: https://<website-name>.azurewebsites.net/This_Will_Generate_ASC_Alert.

  3. A rendszer körülbelül 1–2 órán belül riasztást hoz létre.

Riasztások szimulálása a Storage ATP-hez (Advanced Threat Protection)

  1. Lépjen egy olyan tárfiókra, amelyben engedélyezve van az Azure Defender for Storage.

  2. Válassza a Tárolók lapot az oldalsávon.

    Képernyőkép arról, hogy hol kell navigálni egy tároló kiválasztásához.

  3. Lépjen egy meglévő tárolóra, vagy hozzon létre egy újat.

  4. Töltsön fel egy fájlt a tárolóba. Ne töltsön fel bizalmas adatokat tartalmazó fájlokat.

    Képernyőkép a fájl tárolóba való feltöltésének helyével.

  5. Válassza a jobb gombbal a feltöltött fájlt, és válassza az SAS létrehozása lehetőséget.

  6. Válassza a Generált SAS-jogkivonat és AZ URL-cím gombot (nincs szükség a beállítások módosítására).

  7. Másolja ki a létrehozott SAS URL-címet.

  8. Nyissa meg a Tor böngészőt, amelyet itt tölthet le.

  9. A Tor böngészőben keresse meg az SAS URL-címet. Most már látnia kell és le kell töltenie a feltöltött fájlt.

AppServices-riasztások tesztelése

App Services EICAR-riasztás szimulálása:

  1. Keresse meg a webhely HTTP-végpontját az App Services-webhely Azure Portal paneljén vagy a webhelyhez társított egyéni DNS-bejegyzés használatával. (A Azure-alkalmazás Services webhelyének alapértelmezett URL-végpontja az utótaghttps://XXXXXXX.azurewebsites.net. A webhelynek egy meglévő webhelynek kell lennie, nem pedig a riasztásszimuláció előtt létrehozott webhelynek.
  2. Keresse meg a webhely HTTP-végpontját az App Services-webhely Azure Portal paneljén vagy a webhelyhez társított egyéni DNS-bejegyzés használatával. (A Azure-alkalmazás Services webhelyének alapértelmezett URL-végpontja az utótaghttps://XXXXXXX.azurewebsites.net. A webhelynek egy meglévő webhelynek kell lennie, nem pedig a riasztásszimuláció előtt létrehozott webhelynek.
  3. Keresse meg a webhely URL-címét, és adja hozzá a következő rögzített utótagot: /This_Will_Generate_ASC_Alert. Az URL-címnek így kell kinéznie: https://XXXXXXX.azurewebsites.net/This_Will_Generate_ASC_Alert. A riasztás létrehozása eltarthat egy ideig (~1,5 óra).

Az Azure Key Vault fenyegetésészlelésének ellenőrzése

  1. Ha még nem hozott létre Key Vaultot, mindenképpen hozzon létre egyet.
  2. A Key Vault és a titkos kód létrehozása után lépjen egy olyan virtuális gépre, amely rendelkezik internet-hozzáféréssel, és töltse le a TOR Böngészőt.
  3. Telepítse a TOR Browsert a virtuális gépen.
  4. A telepítés után nyissa meg a normál böngészőt, jelentkezzen be az Azure Portalra, és nyissa meg a Key Vault oldalát. Jelölje ki a kiemelt URL-címet, és másolja ki a címet.
  5. Nyissa meg a TOR-t, és illessze be ezt az URL-címet (az Azure Portal eléréséhez újra hitelesítenie kell magát).
  6. A hozzáférés után a bal oldali panelen a Titkos kulcsok lehetőséget is kiválaszthatja.
  7. A TOR Böngészőben jelentkezzen ki az Azure Portalról, és zárja be a böngészőt.
  8. Egy idő után a Key Vaulthoz készült Defender riasztást indít el, amely részletes információkat tartalmaz erről a gyanús tevékenységről.

Következő lépések

Ez a cikk a riasztások érvényesítési folyamatát mutatta be. Most, hogy már ismeri ezt az ellenőrzést, tekintse át a következő cikkeket: