Validar alertas no Microsoft Defender para Nuvem
Este artigo explica como validar que seu sistema está configurado corretamente para os alertas do Microsoft Defender para Nuvem, garantindo que você possa monitorar e responder efetivamente a ameaças de segurança.
O que são alertas de segurança?
Os alertas são notificações que o Defender para Nuvem gera quando detecta ameaças em seus recursos. Ela prioriza e lista os alertas, juntamente com as informações necessárias para se investigar rapidamente o problema. O Defender para Nuvem também fornece recomendações para corrigir um ataque.
Para saber mais, confira Alertas de segurança no Defender para Nuvem e Gerenciar e responder a alertas de segurança.
Pré-requisitos
Para receber todos os alertas, seus computadores e os workspaces do Log Analytics conectados precisam estar no mesmo locatário.
Gerar alertas de segurança de exemplo
Se estiver usando a nova experiência de alertas em versão prévia, conforme descrito em Gerenciar e responder a alertas de segurança no Microsoft Defender para Nuvem, você poderá criar alertas de exemplo na página de alertas de segurança no portal do Azure.
Use alertas de exemplo para:
- Avalie o valor e os recursos de seus planos do Microsoft Defender.
- Valide as configurações feitas para seus alertas de segurança (como integrações SIEM, automação de fluxo de trabalho e notificações por email).
Para criar alertas de exemplo:
- Como um usuário com a função Colaborador de Assinatura, na barra de ferramentas da página de alertas de segurança, selecione Alertas de exemplo.
- Selecione a assinatura.
- Selecione os planos do Microsoft Defender relevantes para os quais você quer ver alertas.
- Selecione Criar alertas de exemplo.
Uma notificação é exibida informando que os alertas de exemplo foram criados:
Após alguns minutos, os alertas aparecem na página de alertas de segurança. Eles também aparecem em qualquer outro lugar que você tenha configurado para receber alertas de segurança do Microsoft Defender para Nuvem (SIEMs conectados, notificações por email, e assim por diante).
Dica
Os alertas são para recursos simulados.
Simular alertas em suas VMs do Azure (Windows)
Depois que o agente do Microsoft Defender para Ponto de Extremidade for instalado em seu computador, como parte da integração do Defender para servidores, siga estas etapas do computador onde você quer que o recurso atacado do alerta seja instalado.
Abra um prompt de linha de comando com privilégios elevados no ponto de extremidade e execute o script:
Vá para Iniciar e digite
cmd
.Clique com o botão direito do mouse no Prompt de Comando e selecione Executar como administrador.
Na solicitação, copie e execute o comando a seguir:
powershell.exe -NoExit -ExecutionPolicy Bypass -WindowStyle Hidden $ErrorActionPreference = 'silentlycontinue';(New-Object System.Net.WebClient).DownloadFile('http://127.0.0.1/1.exe', 'C:\test-MDATP-test\invoice.exe');Start-Process 'C:\test-MDATP-test\invoice.exe'
.A janela do prompt de comando fechará automaticamente. Se tiver êxito, um novo alerta deverá aparecer na folha Alertas do Defender para Nuvem em 10 minutos.
A linha da mensagem na caixa do PowerShell deve ser semelhante à forma como ela é apresentada aqui:
Como alternativa, você pode usar a cadeia de caracteres de teste EICAR para executar esse teste: criar um arquivo de texto, colar a linha EICAR e salvar o arquivo como um arquivo executável na unidade local do computador.
Observação
Ao revisar os alertas de teste para Windows, verifique se você tem o Defender para Ponto de Extremidade em execução com a proteção Real-Time habilitada. Saiba como validar essa configuração.
Simular alertas em suas VMs do Azure (Linux)
Depois que o agente do Microsoft Defender para Ponto de Extremidade for instalado em seu computador, como parte da integração do Defender para servidores, siga estas etapas do computador onde você quer que o recurso atacado do alerta seja instalado:
- Abra uma janela do Terminal, copie e execute o seguinte comando:
curl -O https://secure.eicar.org/eicar.com.txt
- A janela do prompt de comando fechará automaticamente. Se tiver êxito, um novo alerta deverá aparecer na folha Alertas do Defender para Nuvem em 10 minutos.
Observação
Ao revisar alertas de teste para Linux, verifique se você tem o Defender para Ponto de Extremidade em execução com a proteção Real-Time habilitada. Saiba como validar essa configuração.
Simular alertas no Kubernetes
O Defender para contêineres fornece alertas de segurança para seus clusters e nós de cluster subjacentes. Ele faz isso monitorando o painel de controle (servidor de API) e a carga de trabalho em contêineres.
Você pode simular alertas para o painel de controle e a carga de trabalho usando a ferramenta de simulação de alertas do Kubernetes.
Saiba mais sobre como defender seus nós e clusters do Kubernetes com o Microsoft Defender para contêineres.
Simular alertas para o Serviço de Aplicativo
Você pode simular alertas para recursos em execução no Serviço de Aplicativo.
- Crie um site e aguarde 24 horas para que ele seja registrado no Defender para Nuvem ou use um site existente.
- Após criar o site, acesse-o usando o seguinte URL:
- Um alerta é gerado dentro de cerca de 1 a 2 horas.
Simular alertas para a ATP (Proteção Avançada contra Ameaças) de Armazenamento
Procure uma conta de armazenamento que tenha o Azure Defender para Armazenamento habilitado.
Selecione a guia Contêineres na barra lateral.
Procure um contêiner existente ou crie um.
Carregue um arquivo nesse contêiner. Evite carregar qualquer arquivo que possa conter dados confidenciais.
Selecione com o botão direito do mouse o arquivo carregado e selecione Gerar SAS.
Selecione o botão Gerar token SAS e URL (não é necessário alterar as opções).
Copie a URL SAS gerada.
Abra o navegador Tor, que você pode baixar aqui.
No navegador Tor, navegue até a URL SAS. Agora você deve ver e pode baixar o arquivo que foi carregado.
Testar alertas dos AppServices
Para simular um alerta EICAR dos serviços de aplicativo:
- Localize o ponto de extremidade HTTP do site acessando a folha do portal do Azure referente ao site dos Serviços de Aplicativos ou usando a entrada DNS personalizada associada a esse site. (O ponto de extremidade de URL padrão para o site dos Serviços de Aplicativos do Azure tem o sufixo
https://XXXXXXX.azurewebsites.net
). O site deve ser um site existente e não um que foi criado antes da simulação de alerta. - Localize o ponto de extremidade HTTP do site acessando a folha do portal do Azure referente ao site dos Serviços de Aplicativos ou usando a entrada DNS personalizada associada a esse site. (O ponto de extremidade de URL padrão para o site dos Serviços de Aplicativos do Azure tem o sufixo
https://XXXXXXX.azurewebsites.net
). O site deve ser um site existente e não um que foi criado antes da simulação de alerta. - Navegue até a URL do site e adicione o seguinte sufixo fixo:
/This_Will_Generate_ASC_Alert
. A URL deve ficar assim:https://XXXXXXX.azurewebsites.net/This_Will_Generate_ASC_Alert
. Pode levar algum tempo para que o alerta seja gerado (aproximadamente 1,5 horas).
Validar a detecção de ameaças do Azure Key Vault
- Se você ainda não tiver criado um cofre de chaves, crie um.
- Depois de criar o Key Vault e o segredo, vá para uma VM que tenha acesso à Internet e baixe o Navegador TOR.
- Instale o TOR Browser em sua VM.
- Após a instalação, abra seu navegador regular, entre no portal do Azure e acesse a página do Key Vault. Selecione a URL realçada e copie o endereço.
- Abra o TOR e cole essa URL (você precisa se autenticar novamente para acessar o portal do Azure).
- Depois de acessar, você também poderá selecionar a opção Segredos no painel esquerdo.
- No Navegador TOR, saia do portal do Azure e feche o navegador.
- Após algum tempo, o Defender para Key Vault dispara um alerta com informações detalhadas sobre essa atividade suspeita.
Próximas etapas
Este artigo apresentou a você o processo de validação de alertas. Agora que você já conhece esse tipo de validação, explore os seguintes artigos:
- Validar a detecção de ameaças do Azure Key Vault no Microsoft Defender para Nuvem
- Gerenciar e responder aos alertas de segurança no Microsoft Defender para Nuvem – Saiba como gerenciar alertas e responder aos incidentes de segurança no Defender para Nuvem.
- Entender os alertas de segurança no Microsoft Defender para Nuvem