Share via

Waarschuwingen valideren in Microsoft Defender voor Cloud

  • Artikel

In dit artikel wordt uitgelegd hoe u kunt controleren of uw systeem correct is geconfigureerd voor Microsoft Defender voor Cloud waarschuwingen, zodat u effectief beveiligingsrisico's kunt bewaken en erop kunt reageren.

Wat zijn beveiligingswaarschuwingen?

Waarschuwingen zijn meldingen die Defender voor Cloud genereert wanneer bedreigingen op uw resources worden gedetecteerd. Het geeft prioriteit aan en vermeldt de waarschuwingen, samen met de informatie die nodig is om het probleem snel te onderzoeken. Defender voor Cloud biedt ook aanbevelingen voor het oplossen van een aanval.

Zie Beveiligingswaarschuwingen in Defender voor Cloud en beveiligingswaarschuwingen beheren en erop reageren voor meer informatie.

Vereisten

Als u alle waarschuwingen wilt ontvangen, moeten uw computers en de verbonden Log Analytics-werkruimten zich in dezelfde tenant bevinden.

Voorbeeldwaarschuwingen voor beveiliging genereren

Als u de nieuwe preview-ervaring voor waarschuwingen gebruikt, zoals beschreven in Beheren en reageren op beveiligingswaarschuwingen in Microsoft Defender voor Cloud, kunt u voorbeeldwaarschuwingen maken op de pagina beveiligingswaarschuwingen in Azure Portal.

Voorbeeldwaarschuwingen gebruiken om:

  • Evalueer de waarde en mogelijkheden van uw Microsoft Defender-abonnementen.
  • Valideer alle configuraties die u hebt gemaakt voor uw beveiligingswaarschuwingen (zoals SIEM-integraties, werkstroomautomatisering en e-mailmeldingen).

Voorbeeldwaarschuwingen maken:

  1. Als gebruiker met de rol Inzender voor abonnementen selecteert u voorbeeldwaarschuwingen op de werkbalk op de pagina Beveiligingswaarschuwingen.
  2. Selecteer het abonnement.
  3. Selecteer de relevante Microsoft Defender-plan(en) waarvoor u waarschuwingen wilt zien.
  4. Selecteer Voorbeeldwaarschuwingen maken.

Schermopname van de stappen voor het maken van voorbeeldwaarschuwingen in Microsoft Defender voor Cloud.

Er wordt een melding weergegeven die u laat weten dat de voorbeeldwaarschuwingen worden gemaakt:

Schermopname van de melding dat de voorbeeldwaarschuwingen worden gegenereerd.

Na een paar minuten worden de waarschuwingen weergegeven op de pagina beveiligingswaarschuwingen. Ze worden ook ergens anders weergegeven die u hebt geconfigureerd voor het ontvangen van uw Microsoft Defender voor Cloud beveiligingswaarschuwingen (verbonden SIEM's, e-mailmeldingen, enzovoort).

Schermopname van voorbeeldwaarschuwingen in de lijst met beveiligingswaarschuwingen.

Tip

De waarschuwingen zijn voor gesimuleerde resources.

Waarschuwingen simuleren op uw Azure-VM's (Windows)

Nadat de Microsoft Defender voor Eindpunt-agent is geïnstalleerd op uw computer als onderdeel van de integratie van Defender for Servers, volgt u deze stappen vanaf de computer waarop u de aangevallen resource van de waarschuwing wilt zijn.

Open een opdrachtregelprompt met verhoogde bevoegdheid op het apparaat en voer het script uit:

  1. Ga naar Start en typ cmd.

  2. Selecteer met de rechtermuisknop de opdrachtprompt en selecteer Uitvoeren als administrator.

    Schermopname die laat zien waar u Uitvoeren als administrator moet selecteren.

  3. Kopieer en voer de volgende opdracht uit bij de prompt: powershell.exe -NoExit -ExecutionPolicy Bypass -WindowStyle Hidden $ErrorActionPreference = 'silentlycontinue';(New-Object System.Net.WebClient).DownloadFile('http://127.0.0.1/1.exe', 'C:\test-MDATP-test\invoice.exe');Start-Process 'C:\test-MDATP-test\invoice.exe'.

  4. Het opdrachtpromptvenster wordt automatisch gesloten. Als dit lukt, wordt er binnen 10 minuten een nieuwe waarschuwing weergegeven op Defender voor Cloud blade Waarschuwingen.

  5. De berichtregel in het PowerShell-vak moet er ongeveer als volgt uitzien:

    Schermopname van de PowerShell-berichtregel.

U kunt ook de EICAR-testreeks gebruiken om deze test uit te voeren: Maak een tekstbestand, plak de EICAR-regel en sla het bestand op als een uitvoerbaar bestand op het lokale station van uw computer.

Notitie

Wanneer u testwaarschuwingen voor Windows bekijkt, moet u Ervoor zorgen dat Defender voor Eindpunt wordt uitgevoerd met realtime-beveiliging ingeschakeld. Meer informatie over het valideren van deze configuratie.

Waarschuwingen simuleren op uw Virtuele Azure-machines (Linux)

Nadat de Microsoft Defender voor Eindpunt-agent is geïnstalleerd op uw computer als onderdeel van de integratie van Defender for Servers, volgt u deze stappen vanaf de computer waarop u de aangevallen resource van de waarschuwing wilt zijn:

  1. Open een Terminal-venster, kopieer en voer de volgende opdracht uit: curl -O https://secure.eicar.org/eicar.com.txt
  2. Het opdrachtpromptvenster wordt automatisch gesloten. Als dit lukt, wordt er binnen 10 minuten een nieuwe waarschuwing weergegeven op Defender voor Cloud blade Waarschuwingen.

Notitie

Wanneer u testwaarschuwingen voor Linux bekijkt, moet u Ervoor zorgen dat Defender voor Eindpunt wordt uitgevoerd met realtime-beveiliging ingeschakeld. Meer informatie over het valideren van deze configuratie.

Waarschuwingen in Kubernetes simuleren

Defender for Containers biedt beveiligingswaarschuwingen voor uw clusters en onderliggende clusterknooppunten. Dit wordt bereikt door het besturingsvlak (API-server) en de workload in containers te bewaken.

U kunt waarschuwingen simuleren voor het besturingsvlak en de workload met behulp van het kubernetes-hulpprogramma voor waarschuwingensimulatie.

Meer informatie over het verdedigen van uw Kubernetes-knooppunten en -clusters met Microsoft Defender for Containers.

Waarschuwingen simuleren voor App Service

U kunt waarschuwingen simuleren voor resources die worden uitgevoerd in App Service.

  1. Maak een nieuwe website en wacht 24 uur totdat deze is geregistreerd bij Defender voor Cloud of gebruik een bestaande website.
  2. Zodra de website is gemaakt, opent u deze met behulp van de volgende URL:

    1. Open het resourcevenster van de App Service en kopieer het domein voor de URL uit het standaarddomeinveld.

      Schermopname die laat zien waar het standaarddomein moet worden gekopieerd.

    2. Kopieer de websitenaam naar de URL: https://<website-name>.azurewebsites.net/This_Will_Generate_ASC_Alert.

  3. Er wordt binnen ongeveer 1 tot 2 uur een waarschuwing gegenereerd.

Waarschuwingen simuleren voor Storage ATP (Advanced Threat Protection)

  1. Navigeer naar een opslagaccount waarvoor Azure Defender for Storage is ingeschakeld.

  2. Selecteer het tabblad Containers in de zijbalk.

    Schermopname die laat zien waar u naar een container kunt navigeren.

  3. Navigeer naar een bestaande container of maak een nieuwe container.

  4. Upload een bestand naar die container. Vermijd het uploaden van bestanden die gevoelige gegevens kunnen bevatten.

    Schermopname die laat zien waar een bestand naar de container moet worden geüpload.

  5. Selecteer met de rechtermuisknop het geüploade bestand en selecteer SAS genereren.

  6. Selecteer het gegenereerde SAS-token en de URL-knop (u hoeft geen opties te wijzigen).

  7. Kopieer de gegenereerde SAS-URL.

  8. Open de Tor-browser, die u hier kunt downloaden.

  9. Navigeer in de Tor-browser naar de SAS-URL. U zou nu het bestand moeten zien en kunnen downloaden dat is geüpload.

AppServices-waarschuwingen testen

Een EICAR-waarschuwing voor app-services simuleren:

  1. Zoek het HTTP-eindpunt van de website door naar de azure-portalblade te gaan voor de App Services-website of door de aangepaste DNS-vermelding te gebruiken die aan deze website is gekoppeld. (Het standaard-URL-eindpunt voor de Azure-app Services-website heeft het achtervoegsel https://XXXXXXX.azurewebsites.net). De website moet een bestaande website zijn en niet een website die is gemaakt vóór de waarschuwingssimulatie.
  2. Zoek het HTTP-eindpunt van de website door naar de azure-portalblade te gaan voor de App Services-website of door de aangepaste DNS-vermelding te gebruiken die aan deze website is gekoppeld. (Het standaard-URL-eindpunt voor de Azure-app Services-website heeft het achtervoegsel https://XXXXXXX.azurewebsites.net). De website moet een bestaande website zijn en niet een website die is gemaakt vóór de waarschuwingssimulatie.
  3. Blader naar de URL van de website en voeg het volgende vaste achtervoegsel toe: /This_Will_Generate_ASC_Alert. De URL moet er als volgt uitzien: https://XXXXXXX.azurewebsites.net/This_Will_Generate_ASC_Alert. Het kan enige tijd duren voordat de waarschuwing wordt gegenereerd (~1,5 uur).

Azure Key Vault-detectie van bedreigingen valideren

  1. Als u nog geen Key Vault hebt gemaakt, moet u er een maken.
  2. Nadat u de Sleutelkluis en het geheim hebt gemaakt, gaat u naar een virtuele machine met internettoegang en downloadt u de TOR-browser.
  3. Installeer de TOR-browser op uw VIRTUELE machine.
  4. Nadat de installatie is voltooid, opent u uw gewone browser, meldt u zich aan bij Azure Portal en opent u de Key Vault-pagina. Selecteer de gemarkeerde URL en kopieer het adres.
  5. Open TOR en plak deze URL (u moet zich opnieuw verifiëren voor toegang tot Azure Portal).
  6. Nadat u toegang hebt, kunt u ook de optie Geheimen selecteren in het linkerdeelvenster.
  7. Meld u in de TOR-browser af bij Azure Portal en sluit de browser.
  8. Na enige tijd activeert Defender voor Key Vault een waarschuwing met gedetailleerde informatie over deze verdachte activiteit.

Volgende stappen

In dit artikel hebben we aandacht besteed aan het valideren van waarschuwingen. Nu u bekend bent met deze validatie, bekijkt u de volgende artikelen: