Проверка оповещений в Microsoft Defender для облака

В этой статье объясняется, как проверить, настроен ли ваша система для Microsoft Defender для облака оповещений, чтобы отслеживать угрозы и реагировать на них.

Что такое оповещения системы безопасности?

Оповещения — это уведомления, которые Defender для облака создаёт при обнаружении угроз в ваших ресурсах. Он определяет приоритеты и отображает оповещения, а также сведения, необходимые для быстрого изучения проблемы. Defender для облака также предоставляет рекомендации по исправлению атаки.

Дополнительные сведения см. в разделе "Оповещения системы безопасности" в Defender для облака и управлении оповещениями системы безопасности и реагировании на них.

Предварительные условия

Для получения всех оповещений компьютеры и подключенные рабочие области Log Analytics должны находиться в одном клиенте.

Создание примеров оповещений системы безопасности

Если вы используете новый интерфейс предварительной версии оповещений, как описано в разделе "Управление оповещениями системы безопасности и реагирование на них в Microsoft Defender для облака", можно создать примеры оповещений на странице оповещений системы безопасности в портал Azure.

Создание примеров оповещений

Используйте эти примеры оповещений для:

• Оцените значение и возможности планов Microsoft Defender.
• Проверьте все конфигурации, сделанные для оповещений системы безопасности, таких как интеграция сведений о безопасности и управление событиями (SIEM), автоматизация рабочих процессов и уведомления по электронной почте.

Создание примеров оповещений:

1. В качестве пользователя с ролью вкладчика подписки, на панели инструментов на странице оповещений системы безопасности, выберите Примеры оповещений.
2. Выберите подписку.
3. Выберите соответствующие планы Microsoft Defender, для которых нужно просмотреть оповещения.
4. Выберите Создать примеры оповещений.

Появится уведомление, позволяющее узнать, что создаются примеры оповещений:

Через несколько минут оповещения отображаются на странице оповещений системы безопасности. Они также отображаются в любом месте, где вы настроили для получения оповещений системы безопасности Microsoft Defender для облака (подключённых SIEM-систем, уведомлений по электронной почте и т. д.).

Имитация оповещений на виртуальных машинах Azure (Windows)

Перед началом работы убедитесь, что Microsoft Defender для конечной точки выполняется с включенной защитой Real-Time. Чтобы проверить этот параметр, см. раздел Настройка защиты в режиме реального времени в антивирусной программе Microsoft Defender.

После установки агента Microsoft Defender для конечной точки на компьютере в рамках интеграции Defender для серверов выполните следующие действия на компьютере, на котором вы хотите имитировать атакуемый ресурс.

Откройте командную строку с повышенными привилегиями на устройстве и запустите сценарий:

1. Перейдите в раздел "Пуск " и введите cmd.

2. Щелкните правой кнопкой мыши командную строку и выберите "Запуск от имени администратора".

   

3. В командной строке скопируйте и выполните следующую команду: powershell.exe -NoExit -ExecutionPolicy Bypass -WindowStyle Hidden $ErrorActionPreference = 'silentlycontinue';(New-Object System.Net.WebClient).DownloadFile('http://127.0.0.1/1.exe', 'C:\test-MDATP-test\invoice.exe');Start-Process 'C:\test-MDATP-test\invoice.exe'

4. Окно командной строки закрывается автоматически. Если всё пройдёт успешно, новое оповещение должно появиться во вкладке "Оповещения Defender для облака" через 10 минут.

5. Строка сообщения в поле PowerShell должна выглядеть примерно так:

   

Кроме того, для выполнения этого теста можно использовать строку теста EICAR . Создайте текстовый файл, вставьте строку EICAR и сохраните файл в виде исполняемого файла на локальный диск компьютера.

Моделирование оповещений на виртуальных машинах Azure (Linux)

Перед началом работы убедитесь, что Microsoft Defender для конечной точки выполняется с включенной защитой Real-Time. Чтобы проверить этот параметр, см. раздел Настройка защиты в режиме реального времени в антивирусной программе Microsoft Defender.

После установки агента Microsoft Defender для конечной точки на компьютере в рамках интеграции Defender для серверов выполните следующие действия с компьютера, на котором вы хотите быть атакованным ресурсом оповещения:

1. Откройте окно терминала, скопируйте и выполните следующую команду: curl -O https://secure.eicar.org/eicar.com.txt
2. Окно командной строки закрывается автоматически. Если всё пройдёт успешно, новое оповещение должно появиться во вкладке "Оповещения Defender для облака" через 10 минут.

Имитация оповещений в Kubernetes

Defender for Containers предоставляет оповещения безопасности для ваших кластеров и их основных узлов. Defender для контейнеров отслеживает уровень управления (сервер API) и контейнерную рабочую нагрузку.

Вы можете имитировать оповещения для плоскости управления и рабочей нагрузки с помощью средства моделирования оповещений Kubernetes.

Дополнительные сведения о защите узлов и кластеров Kubernetes с помощью Microsoft Defender для контейнеров.

Имитация оповещений для Служба приложений

Вы можете имитировать оповещения для ресурсов, работающих на Служба приложений.

1. Создайте новый веб-сайт и подождите 24 часа, чтобы зарегистрировать его в Defender для облака или использовать существующий веб-сайт.
2. После создания веб-сайта получите доступ к нему с помощью следующего URL-адреса:

   1. Откройте область ресурсов службы приложений и скопируйте домен для URL-адреса из поля домена по умолчанию.

      

   2. Скопируйте имя веб-сайта в URL-адрес: https://<website-name>.azurewebsites.net/This_Will_Generate_ASC_Alert

3. Оповещение создается примерно в течение 2–4 часов.

Имитация оповещений для ATP хранилища (расширенная защита от угроз)

Чтобы проверить обнаружение угроз для Microsoft Defender для хранилища, выполните следующие действия.

1. Перейдите к учетной записи хранения, в которой включена служба Azure Defender для хранилища.

2. Перейдите на вкладку "Контейнеры " на боковой панели.

   

3. Перейдите к существующему контейнеру или создайте новый контейнер.

4. Отправьте файл в этот контейнер. Избегайте отправки любого файла, который может содержать конфиденциальные данные.

   

5. Щелкните правой кнопкой мыши отправленный файл и выберите "Создать SAS".

6. Нажмите кнопку "Созданный маркер SAS" и "URL-адрес" (не нужно изменять параметры).

7. Скопируйте созданный URL-адрес SAS.

8. Откройте страницу загрузки браузера Tor и установите браузер Tor.

9. В браузере Tor перейдите по URL-адресу SAS. Теперь вы увидите и можете скачать загруженный файл.

Тестирование оповещений AppServices

Чтобы имитировать оповещение EICAR служб приложений:

1. Найдите конечную точку HTTP веб-сайта, перейдя в раздел портала Azure для веб-сайта Службы приложений или используя пользовательскую запись DNS, связанную с этим веб-сайтом. (Конечная точка URL-адреса по умолчанию для веб-сайта служб приложение Azure имеет суффиксhttps://XXXXXXX.azurewebsites.net). Веб-сайт должен быть существующим веб-сайтом, а не созданным до имитации оповещений.
2. Определите HTTP-конечную точку веб-сайта, перейдя на панель веб-приложения в App Services в портале Azure или используя пользовательскую запись DNS, связанную с этим веб-сайтом. (Конечная точка URL-адреса по умолчанию для веб-сайта служб приложение Azure имеет суффиксhttps://XXXXXXX.azurewebsites.net). Веб-сайт должен быть существующим веб-сайтом, а не созданным до имитации оповещений.
3. Перейдите по URL-адресу веб-сайта и добавьте следующий фиксированный суффикс: /This_Will_Generate_ASC_Alert URL-адрес должен выглядеть следующим образом: https://XXXXXXX.azurewebsites.net/This_Will_Generate_ASC_Alert Для создания оповещения может потребоваться некоторое время (~1,5 часа).

Проверка обнаружения угроз в хранилище ключей Azure

Чтобы проверить обнаружение угроз Azure Key Vault, выполните предварительные требования и выполните следующие действия.

Предварительные условия

• Create хранилище ключей с помощью портала Azure.

Действия по проверке

Чтобы проверить обнаружение угроз Azure Key Vault:

1. После создания Key Vault и секрета перейдите к виртуальной машине с доступом к Интернету и скачайте браузер TOR.
2. Установите браузер TOR на виртуальной машине.
3. После установки откройте обычный браузер, войдите в портал Azure и перейдите на страницу Key Vault. Выберите выделенный URL-адрес и скопируйте адрес.
4. Откройте TOR и вставьте этот URL-адрес (для доступа к портал Azure необходимо повторно пройти проверку подлинности).
5. После доступа можно также выбрать параметр "Секреты" в левой области.
6. В браузере TOR выйдите из портал Azure и закройте браузер.
7. Через некоторое время Defender для Key Vault активирует оповещение с подробными сведениями об этом подозрительном действии.

Следующие шаги

В этой статье представлен процесс проверки оповещений. Теперь, когда вы знакомы с этой проверкой, изучите следующие статьи:

• Проверка обнаруженных угроз Azure Key Vault в Microsoft Defender для облака
• Управление оповещениями системы безопасности и реагирование на них в Microsoft Defender для облака. Узнайте, как управлять оповещениями и реагировать на инциденты безопасности в Defender для облака.
• Общие сведения об оповещениях системы безопасности в Microsoft Defender для облака