Compartilhar via

Validar alertas no Microsoft Defender para Nuvem

  • Artigo

Este artigo explica como validar que seu sistema está configurado corretamente para os alertas do Microsoft Defender para Nuvem, garantindo que você possa monitorar e responder efetivamente a ameaças de segurança.

O que são alertas de segurança?

Os alertas são notificações que o Defender para Nuvem gera quando detecta ameaças em seus recursos. Ela prioriza e lista os alertas, juntamente com as informações necessárias para se investigar rapidamente o problema. O Defender para Nuvem também fornece recomendações para corrigir um ataque.

Para saber mais, confira Alertas de segurança no Defender para Nuvem e Gerenciar e responder a alertas de segurança.

Pré-requisitos

Para receber todos os alertas, seus computadores e os workspaces do Log Analytics conectados precisam estar no mesmo locatário.

Gerar alertas de segurança de exemplo

Se estiver usando a nova experiência de alertas em versão prévia, conforme descrito em Gerenciar e responder a alertas de segurança no Microsoft Defender para Nuvem, você poderá criar alertas de exemplo na página de alertas de segurança no portal do Azure.

Use alertas de exemplo para:

  • Avalie o valor e os recursos de seus planos do Microsoft Defender.
  • Valide as configurações feitas para seus alertas de segurança (como integrações SIEM, automação de fluxo de trabalho e notificações por email).

Para criar alertas de exemplo:

  1. Como um usuário com a função Colaborador de Assinatura, na barra de ferramentas da página de alertas de segurança, selecione Alertas de exemplo.
  2. Selecione a assinatura.
  3. Selecione os planos do Microsoft Defender relevantes para os quais você quer ver alertas.
  4. Selecione Criar alertas de exemplo.

Captura de tela mostrando as etapas para criar alertas de exemplo no Microsoft Defender para Nuvem.

Uma notificação é exibida informando que os alertas de exemplo foram criados:

Captura de tela mostrando a notificação de que os alertas de exemplo estão sendo gerados.

Após alguns minutos, os alertas aparecem na página de alertas de segurança. Eles também aparecem em qualquer outro lugar que você tenha configurado para receber alertas de segurança do Microsoft Defender para Nuvem (SIEMs conectados, notificações por email, e assim por diante).

Captura de tela mostrando os alertas de exemplo na lista de alertas de segurança.

Dica

Os alertas são para recursos simulados.

Simular alertas em suas VMs do Azure (Windows)

Depois que o agente do Microsoft Defender para Ponto de Extremidade for instalado em seu computador, como parte da integração do Defender para servidores, siga estas etapas do computador onde você quer que o recurso atacado do alerta seja instalado.

Abra um prompt de linha de comando com privilégios elevados no ponto de extremidade e execute o script:

  1. Vá para Iniciar e digite cmd.

  2. Clique com o botão direito do mouse no Prompt de Comando e selecione Executar como administrador.

    Captura de tela mostrando onde selecionar Executar como Administrador.

  3. Na solicitação, copie e execute o comando a seguir: powershell.exe -NoExit -ExecutionPolicy Bypass -WindowStyle Hidden $ErrorActionPreference = 'silentlycontinue';(New-Object System.Net.WebClient).DownloadFile('http://127.0.0.1/1.exe', 'C:\test-MDATP-test\invoice.exe');Start-Process 'C:\test-MDATP-test\invoice.exe'.

  4. A janela do prompt de comando fechará automaticamente. Se tiver êxito, um novo alerta deverá aparecer na folha Alertas do Defender para Nuvem em 10 minutos.

  5. A linha da mensagem na caixa do PowerShell deve ser semelhante à forma como ela é apresentada aqui:

    Captura de tela mostrando a linha de mensagem do PowerShell.

Como alternativa, você pode usar a cadeia de caracteres de teste EICAR para executar esse teste: criar um arquivo de texto, colar a linha EICAR e salvar o arquivo como um arquivo executável na unidade local do computador.

Observação

Ao revisar os alertas de teste para Windows, verifique se você tem o Defender para Ponto de Extremidade em execução com a proteção Real-Time habilitada. Saiba como validar essa configuração.

Simular alertas em suas VMs do Azure (Linux)

Depois que o agente do Microsoft Defender para Ponto de Extremidade for instalado em seu computador, como parte da integração do Defender para servidores, siga estas etapas do computador onde você quer que o recurso atacado do alerta seja instalado:

  1. Abra uma janela do Terminal, copie e execute o seguinte comando: curl -O https://secure.eicar.org/eicar.com.txt
  2. A janela do prompt de comando fechará automaticamente. Se tiver êxito, um novo alerta deverá aparecer na folha Alertas do Defender para Nuvem em 10 minutos.

Observação

Ao revisar alertas de teste para Linux, verifique se você tem o Defender para Ponto de Extremidade em execução com a proteção Real-Time habilitada. Saiba como validar essa configuração.

Simular alertas no Kubernetes

O Defender para contêineres fornece alertas de segurança para seus clusters e nós de cluster subjacentes. Ele faz isso monitorando o painel de controle (servidor de API) e a carga de trabalho em contêineres.

Você pode simular alertas para o painel de controle e a carga de trabalho usando a ferramenta de simulação de alertas do Kubernetes.

Saiba mais sobre como defender seus nós e clusters do Kubernetes com o Microsoft Defender para contêineres.

Simular alertas para o Serviço de Aplicativo

Você pode simular alertas para recursos em execução no Serviço de Aplicativo.

  1. Crie um site e aguarde 24 horas para que ele seja registrado no Defender para Nuvem ou use um site existente.
  2. Após criar o site, acesse-o usando o seguinte URL:

    1. Abra o painel de recursos do serviço de aplicativo e copie o domínio para a URL a partir do campo de domínio padrão.

      Captura de tela mostrando onde copiar o domínio padrão.

    2. Copie o nome do site para a URL: https://<website-name>.azurewebsites.net/This_Will_Generate_ASC_Alert.

  3. Um alerta é gerado dentro de cerca de 1 a 2 horas.

Simular alertas para a ATP (Proteção Avançada contra Ameaças) de Armazenamento

  1. Procure uma conta de armazenamento que tenha o Azure Defender para Armazenamento habilitado.

  2. Selecione a guia Contêineres na barra lateral.

    Captura de tela mostrando onde acessar para selecionar um contêiner.

  3. Procure um contêiner existente ou crie um.

  4. Carregue um arquivo nesse contêiner. Evite carregar qualquer arquivo que possa conter dados confidenciais.

    Captura de tela mostrando onde fazer upload de um arquivo no contêiner.

  5. Selecione com o botão direito do mouse o arquivo carregado e selecione Gerar SAS.

  6. Selecione o botão Gerar token SAS e URL (não é necessário alterar as opções).

  7. Copie a URL SAS gerada.

  8. Abra o navegador Tor, que você pode baixar aqui.

  9. No navegador Tor, navegue até a URL SAS. Agora você deve ver e pode baixar o arquivo que foi carregado.

Testar alertas dos AppServices

Para simular um alerta EICAR dos serviços de aplicativo:

  1. Localize o ponto de extremidade HTTP do site acessando a folha do portal do Azure referente ao site dos Serviços de Aplicativos ou usando a entrada DNS personalizada associada a esse site. (O ponto de extremidade de URL padrão para o site dos Serviços de Aplicativos do Azure tem o sufixo https://XXXXXXX.azurewebsites.net). O site deve ser um site existente e não um que foi criado antes da simulação de alerta.
  2. Localize o ponto de extremidade HTTP do site acessando a folha do portal do Azure referente ao site dos Serviços de Aplicativos ou usando a entrada DNS personalizada associada a esse site. (O ponto de extremidade de URL padrão para o site dos Serviços de Aplicativos do Azure tem o sufixo https://XXXXXXX.azurewebsites.net). O site deve ser um site existente e não um que foi criado antes da simulação de alerta.
  3. Navegue até a URL do site e adicione o seguinte sufixo fixo: /This_Will_Generate_ASC_Alert. A URL deve ficar assim: https://XXXXXXX.azurewebsites.net/This_Will_Generate_ASC_Alert. Pode levar algum tempo para que o alerta seja gerado (aproximadamente 1,5 horas).

Validar a detecção de ameaças do Azure Key Vault

  1. Se você ainda não tiver criado um cofre de chaves, crie um.
  2. Depois de criar o Key Vault e o segredo, vá para uma VM que tenha acesso à Internet e baixe o Navegador TOR.
  3. Instale o TOR Browser em sua VM.
  4. Após a instalação, abra seu navegador regular, entre no portal do Azure e acesse a página do Key Vault. Selecione a URL realçada e copie o endereço.
  5. Abra o TOR e cole essa URL (você precisa se autenticar novamente para acessar o portal do Azure).
  6. Depois de acessar, você também poderá selecionar a opção Segredos no painel esquerdo.
  7. No Navegador TOR, saia do portal do Azure e feche o navegador.
  8. Após algum tempo, o Defender para Key Vault dispara um alerta com informações detalhadas sobre essa atividade suspeita.

Próximas etapas

Este artigo apresentou a você o processo de validação de alertas. Agora que você já conhece esse tipo de validação, explore os seguintes artigos: