Vylepšení stavu zabezpečení sítě díky adaptivnímu posilování zabezpečení sítě
Adaptivní posílení zabezpečení sítě je funkce Microsoft Defenderu pro cloud bez agentů – na počítačích není potřeba nic instalovat, aby tento nástroj pro posílení zabezpečení sítě využíval.
Tato stránka vysvětluje, jak nakonfigurovat a spravovat adaptivní posílení zabezpečení sítě v defenderu pro cloud.
Dostupnost
| Aspekt | Detaily |
|---|---|
| Stav vydání: | Všeobecná dostupnost (GA) |
| Ceny: | Vyžaduje Program Microsoft Defender for Servers Plan 2. |
| Požadované role a oprávnění: | Oprávnění k zápisu do skupin zabezpečení sítě počítače |
| Mraky: |  Komerční cloudy National (Azure Government, Microsoft Azure provozovaný společností 21Vianet)Připojení účtů AWS |
Co je adaptivní posílení zabezpečení sítě?
Použití skupin zabezpečení sítě (NSG) k filtrování provozu do a z prostředků, zlepšuje stav zabezpečení sítě. V některých případech ale může dojít k tomu, že skutečný provoz procházející skupinou zabezpečení sítě je podmnožinou definovaných pravidel NSG. V těchto případech je možné dále zlepšit stav zabezpečení posílením pravidel NSG na základě skutečných vzorů provozu.
Adaptivní posílení zabezpečení sítě poskytuje doporučení k dalšímu posílení pravidel NSG. Používá algoritmus strojového učení, který bere v úvahu skutečný provoz, známou důvěryhodnou konfiguraci, analýzu hrozeb a další indikátory ohrožení a pak poskytuje doporučení k tomu, aby se provoz povolil jenom z konkrétních řazených kolekcí IP/portů.
Předpokládejme například, že stávající pravidlo NSG povoluje provoz z 140.20.30.10/24 na portu 22. Na základě analýzy provozu může adaptivní posílení zabezpečení sítě doporučit zúžení rozsahu tak, aby umožňoval provoz z 140.23.30.10/29 a odepře veškerý ostatní provoz na tento port. Úplný seznam podporovaných portů najdete v části Nejčastější dotazy, které porty jsou podporované?
Zobrazení upozornění na posílení zabezpečení a doporučená pravidla
V nabídce Defenderu pro cloud otevřete řídicí panel Ochrany úloh.
Vyberte dlaždici adaptivního posílení zabezpečení sítě (1) nebo položku panelu přehledů související s adaptivním posílením zabezpečení sítě (2).
Tip
Na panelu přehledů se zobrazuje procento virtuálních počítačů, které jsou aktuálně chráněny adaptivním posílením zabezpečení sítě.
Stránka podrobností doporučení adaptivního posílení zabezpečení sítě by se měla použít na doporučení k internetovým virtuálním počítačům , které jsou seskupené na třech kartách:
- Prostředky, které nejsou v pořádku: Virtuální počítače, které aktuálně obsahují doporučení a výstrahy aktivované spuštěním algoritmu adaptivního posílení zabezpečení sítě.
- Prostředky, které jsou v pořádku: Virtuální počítače bez upozornění a doporučení
- Neskenované prostředky: Virtuální počítače, na kterých není možné spustit algoritmus adaptivního posílení zabezpečení sítě, z jednoho z následujících důvodů:
- Virtuální počítače jsou klasické virtuální počítače: Podporují se jenom virtuální počítače Azure Resource Manageru.
- Není k dispozici dostatek dat: Aby bylo možné generovat přesná doporučení pro posílení provozu, vyžaduje Defender pro cloud alespoň 30 dní přenosových dat.
- Virtuální počítač není chráněný programem Microsoft Defender pro servery: K této funkci mají nárok jenom virtuální počítače chráněné pomocí programu Microsoft Defender pro servery .
Na kartě Prostředky, které nejsou v pořádku, vyberte virtuální počítač, abyste zobrazili upozornění a doporučená pravidla posílení zabezpečení, která se mají použít.
- Na kartě Pravidla jsou uvedena pravidla, která adaptivní posílení zabezpečení sítě doporučuje přidat.
- Na kartě Výstrahy jsou uvedeny výstrahy vygenerované z důvodu provozu a toku do prostředku, který není v doporučených pravidlech povolený v rozsahu IP adres.
Volitelně můžete upravit pravidla:
Vyberte pravidla, která chcete použít ve skupině zabezpečení sítě, a vyberte Vynutit.
Tip
Pokud se povolené rozsahy zdrojových IP adres zobrazují jako Žádné, znamená to, že doporučené pravidlo je pravidlo zamítnutí , jinak se jedná o pravidlo povolení .
Poznámka:
Vynucená pravidla se přidají do skupin zabezpečení sítě, které chrání virtuální počítač. (Virtuální počítač může být chráněný skupinou zabezpečení sítě, která je přidružená k jeho síťové kartě, nebo podsítí, ve které se virtuální počítač nachází, nebo obojí).
Úprava pravidla
Možná budete chtít upravit parametry doporučeného pravidla. Můžete například chtít změnit doporučené rozsahy IP adres.
Některé důležité pokyny pro úpravu pravidla adaptivního posílení zabezpečení sítě:
Nelze změnit pravidla povolit , aby se pravidla odepřela .
Parametry povolených pravidel můžete upravovat pouze.
Vytváření a úpravy pravidel odepření se provádí přímo ve skupině zabezpečení sítě. Další informace najdete v tématu Vytvoření, změna nebo odstranění skupiny zabezpečení sítě.
Pravidlo odepření veškerého provozu je jediným typem pravidla odepření, které by zde bylo uvedeno, a nelze ho změnit. Můžete ho ale odstranit (viz Odstranění pravidla). Informace o tomto typu pravidla najdete v části Běžné otázky, kdy mám použít pravidlo Odepření veškerého provozu?
Úprava pravidla adaptivního posílení zabezpečení sítě:
Pokud chcete některé parametry pravidla upravit, vyberte na kartě Pravidla tři tečky (...) na konci řádku pravidla a vyberte Upravit.
V okně Upravit pravidlo aktualizujte podrobnosti, které chcete změnit, a vyberte Uložit.
Poznámka:
Po výběru možnosti Uložit jste pravidlo úspěšně změnili. Neuplatili jste ho ale na skupinu zabezpečení sítě. Pokud ho chcete použít, musíte vybrat pravidlo v seznamu a vybrat Vynutit (jak je vysvětleno v dalším kroku).
Pokud chcete aktualizované pravidlo použít, vyberte v seznamu aktualizované pravidlo a vyberte Vynutit.
Přidání nového pravidla
Můžete přidat pravidlo povolit, které defender pro cloud nedoporučuje.
Poznámka:
Sem můžete přidat pouze pravidla "povolit". Pokud chcete přidat pravidla odepření, můžete to udělat přímo ve skupině zabezpečení sítě. Další informace najdete v tématu Vytvoření, změna nebo odstranění skupiny zabezpečení sítě.
Přidání pravidla adaptivního posílení zabezpečení sítě:
Na horním panelu nástrojů vyberte Přidat pravidlo.
V okně Nové pravidlo zadejte podrobnosti a vyberte Přidat.
Poznámka:
Po výběru možnosti Přidat jste pravidlo úspěšně přidali a zobrazí se v seznamu s dalšími doporučenými pravidly. V NSG jste ho ale nepoužili. Pokud ho chcete aktivovat, musíte vybrat pravidlo v seznamu a vybrat Vynutit (jak je vysvětleno v dalším kroku).
Pokud chcete nové pravidlo použít, vyberte v seznamu nové pravidlo a vyberte Vynutit.
Odstranění pravidla
V případě potřeby můžete odstranit doporučené pravidlo pro aktuální relaci. Můžete například určit, že použití navrhovaného pravidla může blokovat legitimní provoz.
Odstranění pravidla adaptivního posílení zabezpečení sítě pro aktuální relaci:
Na kartě Pravidla vyberte tři tečky (...) na konci řádku pravidla a vyberte Odstranit.
Další krok
- Zobrazení běžných dotazů k adaptivnímu posílení zabezpečení sítě