Validação de alerta no Microsoft Defender para Nuvem
Este documento ensina você a verificar se o sistema está configurado corretamente para os alertas do Microsoft Defender para Nuvem.
O que são alertas de segurança?
Alertas são as notificações que o Defender para Nuvem gera quando detecta ameaças em seus recursos. Ela prioriza e lista os alertas, juntamente com as informações necessárias para se investigar rapidamente o problema. O Defender para Nuvem também faz recomendações sobre como corrigir um ataque.
Para saber mais, confira Alertas de segurança no Defender para Nuvem e Gerenciar e responder a alertas de segurança.
Pré-requisitos
Para receber todos os alertas, seus computadores e os workspaces do Log Analytics conectados precisam estar no mesmo locatário.
Gerar alertas de segurança de exemplo
Se estiver usando a nova experiência de alertas em versão prévia, conforme descrito em Gerenciar e responder a alertas de segurança no Microsoft Defender para Nuvem, você poderá criar alertas de exemplo na página de alertas de segurança no portal do Azure.
Use alertas de exemplo para:
- avaliar o valor e os recursos de seus planos do Microsoft Defender.
- validar as configurações feitas para seus alertas de segurança (como integrações SIEM, automação de fluxo de trabalho e notificações por email)
Para criar alertas de exemplo:
Como um usuário com a função Colaborador de Assinatura, na barra de ferramentas da página de alertas de segurança, selecione Alertas de exemplo.
Selecione a assinatura.
Selecione os planos do Microsoft Defender relevantes para os quais você deseja ver alertas.
Selecione Criar alertas de exemplo.
Uma notificação é exibida, indicando que os alertas de exemplo estão sendo criados:
Após alguns minutos, os alertas aparecem na página de alertas de segurança. Eles também aparecem em qualquer outro lugar que você tenha configurado para receber alertas de segurança do Microsoft Defender para Nuvem (SIEMs conectados, notificações por email, e assim por diante).
Dica
Os alertas são para recursos simulados.
Simular alertas em suas VMs do Azure (Windows)
Depois que o agente do Microsoft Defender para Ponto de Extremidade for instalado em seu computador, como parte da integração do Defender para Servidores, siga estas etapas do computador em que você deseja ser o recurso atacado do alerta:
Abra um prompt de linha de comando com privilégios elevados no ponto de extremidade e execute o script:
Vá para Iniciar e digite
cmd
.Clique com o botão direito do mouse no Prompt de Comando e selecione Executar como administrador
No prompt, copie e execute o comando a seguir:
powershell.exe -NoExit -ExecutionPolicy Bypass -WindowStyle Hidden $ErrorActionPreference = 'silentlycontinue';(New-Object System.Net.WebClient).DownloadFile('http://127.0.0.1/1.exe', 'C:\\test-MDATP-test\\invoice.exe');Start-Process 'C:\\test-MDATP-test\\invoice.exe'
A janela do prompt de comando fechará automaticamente. Se tiver êxito, um novo alerta deverá aparecer na folha Alertas do Defender para Nuvem em 10 minutos.
A linha da mensagem na caixa do PowerShell deve ser semelhante à forma como ela é apresentada aqui:
Como alternativa, você também pode usar a cadeia de caracteres de teste EICAR para executar esse teste: criar um arquivo de texto, colar a linha EICAR e salvar o arquivo como um arquivo executável na unidade local do computador.
Observação
Ao revisar os alertas de teste para Windows, verifique se você tem o Defender para Ponto de Extremidade em execução com a proteção Real-Time habilitada. Saiba como validar essa configuração.
Simular alertas em suas VMs do Azure (Linux)
Depois que o agente do Microsoft Defender para Ponto de Extremidade for instalado em seu computador, como parte da integração do Defender para Servidores, siga estas etapas do computador em que você deseja ser o recurso atacado do alerta:
Abra uma janela do Terminal, copie e execute o seguinte comando:
curl -O https://secure.eicar.org/eicar.com.txt
A janela do prompt de comando fechará automaticamente. Se tiver êxito, um novo alerta deverá aparecer na folha Alertas do Defender para Nuvem em 10 minutos.
Observação
Ao revisar alertas de teste para Linux, verifique se você tem o Defender para Ponto de Extremidade em execução com a proteção Real-Time habilitada. Saiba como validar essa configuração.
Simular alertas no Kubernetes
O Defender para contêineres fornece alertas de segurança para seus clusters e os nós de cluster subjacentes. Ele faz isso monitorando o painel de controle (servidor de API) e a carga de trabalho em contêineres.
Você pode simular alertas para o painel de controle e a carga de trabalho usando a ferramenta de simulação de alertas do Kubernetes.
Saiba mais sobre como defender seus nós e clusters do Kubernetes com o Microsoft Defender para contêineres.
Simular alertas para o Serviço de Aplicativo
Você pode simular alertas para recursos em execução no Serviço de Aplicativo.
Crie um site e aguarde 24 horas para que ele seja registrado no Defender para Nuvem ou use um site existente.
Após criar o site, acesse-o usando a seguinte URL:
Um alerta é gerado em aproximadamente 1 à 2 horas.
Simular alertas para a ATP (Proteção Avançada contra Ameaças) de Armazenamento
Procure uma conta de armazenamento que tenha o Azure Defender para Armazenamento habilitado.
Selecione a guia Contêineres na barra lateral.
Procure um contêiner existente ou crie um.
Carregue um arquivo nesse contêiner. Evite carregar qualquer arquivo que possa conter dados confidenciais.
Selecione com o botão direito do mouse o arquivo carregado e selecione Gerar SAS.
Selecione o botão Gerar token SAS e URL (não é necessário alterar as opções).
Copie a URL SAS gerada.
Abra o navegador Tor, que você pode baixar aqui.
No navegador Tor, navegue até a URL SAS. Agora você deve ver e pode baixar o arquivo que foi carregado.
Testar alertas dos AppServices
Para simular um alerta EICAR dos serviços de aplicativo:
- Localize o ponto de extremidade HTTP do site acessando a folha do portal do Azure referente ao site de Serviços de Aplicativos ou usando a entrada DNS personalizada associada a este site. (O ponto de extremidade de URL padrão para o site de Serviços de Aplicativos do Azure tem o sufixo
https://XXXXXXX.azurewebsites.net
). O site deve ser um site existente e não um que foi criado antes da simulação de alerta. - Navegue até a URL do site e adicione o seguinte sufixo fixo:
/This_Will_Generate_ASC_Alert
. A URL deve ficar assim:https://XXXXXXX.azurewebsites.net/This_Will_Generate_ASC_Alert
. Pode levar algum tempo para que o alerta seja gerado (aproximadamente 1,5 horas).
Validar a detecção de ameaças do Azure Key Vault
- Se você ainda não tiver criado um cofre de chaves, crie um.
- Depois de terminar de criar o Key Vault e o segredo, vá para uma VM que tenha acesso à Internet e baixe o Navegador TOR.
- Instale o TOR Browser em sua VM.
- Depois de concluir a instalação, abra o seu navegador de preferência, entre no portal do Azure e acesse a página do Key Vault. Selecione a URL realçada e copie o endereço.
- Abra o TOR e cole essa URL (você precisa se autenticar novamente para acessar o portal do Azure).
- Depois de concluir o acesso, você também pode selecionar a opção Segredos no painel esquerdo.
- No TOR Browser, saia do portal do Azure e feche o navegador.
- Após algum tempo, o Defender para Key Vault disparará um alerta com informações detalhadas sobre essa atividade suspeita.
Próximas etapas
Este artigo apresentou a você o processo de validação de alertas. Agora que você já conhece esse tipo de validação, explore os seguintes artigos:
- Validar a detecção de ameaças do Azure Key Vault no Microsoft Defender para Nuvem
- Gerenciar e responder aos alertas de segurança no Microsoft Defender para Nuvem: aprenda a gerenciar alertas e responder aos incidentes de segurança no Defender para Nuvem.
- Entender os alertas de segurança no Microsoft Defender para Nuvem