Použití adaptivního řízení aplikací ke snížení počtu přístupů vašich počítačů k útokům

  • Článek
  • 8 min ke čtení

Poznámka

Azure Security Center a Azure Defender se teď označují jako Microsoft Defender pro Cloud. Také jsme plány Azure Defender přejmenovaly na plány Microsoft Defenderu . například Azure defender pro Storage je nyní Microsoft Defender pro Storage.

Přečtěte si další informace o nedávných přejmenování služeb zabezpečení společnosti Microsoft.

Přečtěte si o výhodách adaptivního řízení aplikací v programu Microsoft Defender for Cloud a o tom, jak můžete zlepšit zabezpečení pomocí této inteligentní funkce řízené daty.

Co jsou adaptivní řízení aplikací?

Adaptivní řízení aplikací je inteligentní a automatizované řešení pro definování seznamů povolení známých bezpečných aplikací pro vaše počítače.

Organizace často mají kolekce počítačů, které pravidelně spouštěly stejné procesy. Microsoft Defender for Cloud používá strojové učení k analýze aplikací spuštěných na vašich počítačích a vytvoření seznamu známého bezpečného softwaru. Seznamy povolení jsou založené na konkrétních úlohách Azure a doporučení můžete dále přizpůsobit pomocí následujících pokynů.

Pokud jste povolili a nakonfigurovali adaptivní řízení aplikací, zobrazí se výstrahy zabezpečení, pokud nějaká aplikace běží jinou než tu, kterou jste definovali jako bezpečnou.

Jaké jsou výhody adaptivního řízení aplikací?

Definováním seznamů známých bezpečných aplikací a generováním výstrah při spuštění něčeho jiného můžete dosáhnout několika cílů dohledu a dodržování předpisů:

  • Identifikace potenciálního malwaru, dokonce i všech, které antimalwarová řešení můžou vynechat
  • Vylepšete dodržování místních zásad zabezpečení, které přiřažují použití jenom licencovaných softwaru.
  • Identifikace zastaralých nebo nepodporovaných verzí aplikací
  • Identifikujte software, který je vaší organizací zakázaný, ale přesto běží na vašich počítačích.
  • Zvýšení dohledu nad aplikacemi, které přistupují k citlivým datům

V současné době nejsou k dispozici žádné možnosti vynucení. Adaptivní řízení aplikací je určené k poskytování výstrah zabezpečení v případě, že nějaká aplikace běží jiná než ta, kterou jste definovali jako bezpečnou.

Dostupnost

Aspekt Podrobnosti
Stav vydání: Všeobecná dostupnost (GA)
Ceny: Vyžaduje Microsoft Defender pro servery.
Podporované počítače: Počítače Azure a počítače mimo Azure s Windows a Linuxem
Azure Arc počítače
Požadované role a oprávnění: Role Čtenář zabezpečení a Čtenář mohou zobrazit skupiny i seznamy známých bezpečných aplikací.
Role Přispěvatel a Správce zabezpečení mohou upravovat skupiny i seznamy známých bezpečných aplikací.
Mraky: Komerční cloudy
Národní (Azure Government, Azure China 21Vianet)

Povolení ovládacích prvků aplikací ve skupině počítačů

Pokud Microsoft Defender for Cloud identifikoval skupiny počítačů ve vašich předplatných, které konzistentně spouštěly podobnou sadu aplikací, zobrazí se vám následující doporučení: Na vašich počítačích by mělo být povolené adaptivní řízení aplikací pro definování bezpečných aplikací.

Vyberte doporučení nebo otevřete stránku adaptivního řízení aplikací a zobrazte seznam navrhovaných známých bezpečných aplikací a skupin počítačů.

  1. Otevřete řídicí panel Ochrany úloh a v oblasti rozšířené ochrany vyberte Adaptivní řízení aplikací.

    Otevření adaptivního řízení aplikací z řídicího panelu Azure

    Otevře se stránka Adaptivní řízení aplikací, na které jsou vaše virtuální počítače seskupené na následujících kartách:

    • Nakonfigurováno – skupiny počítačů, které už mají definovaný seznam povolení aplikací. Pro každou skupinu se na nakonfigurované kartě zobrazí:

      • počet počítačů ve skupině
      • nedávná upozornění

    • Doporučené – skupiny počítačů, které konzistentně spouštěly stejné aplikace a nemají nakonfigurovaný seznam povolení. Pro tyto skupiny doporučujeme povolit adaptivní řízení aplikací.

      Tip

      Pokud se zobrazí název skupiny s předponou "REVIEWGROUP", obsahuje počítače s částečně konzistentním seznamem aplikací. Microsoft Defender for Cloud nevidí vzor, ale doporučuje kontrolu této skupiny, abyste viděli, jestli můžete ručně definovat některá pravidla adaptivního řízení aplikací, jak je popsáno v tématu Úprava pravidla adaptivního řízení aplikací skupiny.

      Počítače z této skupiny můžete také přesunout do jiných skupin, jak je popsáno v části Přesun počítače z jedné skupiny do druhé.

    • Žádné doporučení – Počítače bez definovaného seznamu povolení aplikací, které tuto funkci nepodporují. Váš počítač může být na této kartě z následujících důvodů:

      • Chybí v ní agent Log Analytics.
      • Agent Log Analytics nevysílá události.
      • Jedná se o počítač Windows s existující zásadou AppLockeru povolenou objektem zásad skupiny nebo místními zásady zabezpečení.

      Tip

      Defender for Cloud potřebuje k definování jedinečných doporučení pro skupinu počítačů alespoň dva týdny dat. Počítače, které byly nedávno vytvořeny nebo které patří k předplatným, která byla nedávno chráněna pomocí programu Microsoft Defender pro servery, se zobrazí na kartě Žádné doporučení.

  2. Otevřete kartu Doporučené. Zobrazí se skupiny počítačů s doporučenými seznamy povolení.

    Doporučená karta.

  3. Vyberte skupinu.

  4. Pokud chcete nakonfigurovat nové pravidlo, projděte si různé části této stránky Konfigurace pravidel řízení aplikací a jejich obsah, které budou jedinečné pro tuto konkrétní skupinu počítačů:

    Nakonfigurujte nové pravidlo.

    1. Vybrat počítače – ve výchozím nastavení jsou vybrány všechny počítače v identifikované skupině. Zrušte výběr libovolné položky, abyste je z tohoto pravidla odebrali.

    2. Doporučené aplikace – Prohlédněte si tento seznam aplikací, které jsou společné pro počítače v této skupině a doporučuje se, aby se spouštěl.

    3. Další aplikace – prohlédněte si tento seznam aplikací, které se na počítačích v této skupině vyskytují méně často nebo jsou zneužitelné. Ikona upozornění značí, že útočník může konkrétní aplikaci použít k obejití seznamu povolení aplikace. Doporučujeme tyto aplikace pečlivě zkontrolovat.

      Tip

      Oba seznamy aplikací obsahují možnost omezit konkrétní aplikaci na určité uživatele. Pokud je to možné, osvojte si princip co nejmenších oprávnění.

      Aplikace jsou definovány jejich vydavateli. Pokud aplikace nemá informace o vydavateli (nejsou nepodepsaná), vytvoří se pravidlo cesty pro úplnou cestu konkrétní aplikace.

    4. Pokud chcete pravidlo použít, vyberte Audit.

Úprava pravidla adaptivního řízení aplikací ve skupině

Kvůli známým změnám ve vaší organizaci se můžete rozhodnout upravit seznam povolení pro skupinu počítačů.

Úprava pravidel pro skupinu počítačů:

  1. Otevřete řídicí panel Ochrany úloh a v oblasti rozšířené ochrany vyberte Adaptivní řízení aplikací.

  2. Na kartě Nakonfigurováno vyberte skupinu s pravidlem, které chcete upravit.

  3. Prohlédněte si různé části stránky Konfigurace pravidel řízení aplikací, jak je popsáno v tématu Povolení adaptivního řízení aplikací ve skupině počítačů.

  4. Volitelně můžete přidat jedno nebo více vlastních pravidel:

    1. Vyberte Přidat pravidlo.

      Přidejte vlastní pravidlo.

    2. Pokud definujete známou bezpečnou cestu, změňte Typ pravidla na Cesta a zadejte jednu cestu. Do cesty můžete zahrnout zástupné znaky.

      Tip

      Některé scénáře, pro které můžou být užitečné zástupné znaky v cestě:

      • Použití zástupné znaky na konci cesty k povolení všech spustitelných souborů v této složce a podsložkách.
      • Použití zástupné znaky uprostřed cesty k povolení známého spustitelného názvu se změnou názvu složky (například složky osobních uživatelů obsahující známý spustitelný soubor, automaticky generované názvy složek atd.).

    3. Definujte povolené uživatele a chráněné typy souborů.

    4. Až definici pravidla dokončíte, vyberte Přidat.

  5. Pokud chcete změny použít, vyberte Uložit.

Kontrola a úprava nastavení skupiny

  1. Pokud chcete zobrazit podrobnosti a nastavení skupiny, vyberte Nastavení skupiny.

    V tomto podokně se zobrazuje název skupiny (kterou je možné upravit), typ operačního systému, umístění a další důležité podrobnosti.

    Stránka nastavení skupiny pro adaptivní řízení aplikací.

  2. Volitelně můžete upravit režimy ochrany názvu nebo typu souboru skupiny.

  3. Vyberte Použít a uložit.

Reakce na doporučení Pravidla seznamu povolených v zásadách adaptivního řízení aplikací by se měla aktualizovat

Toto doporučení se zobrazí, když strojové učení služby Defender for Cloud identifikuje potenciálně oprávněné chování, které nebylo dříve povoleno. Doporučení navrhuje nová pravidla pro vaše stávající definice, aby se snížil počet falešně pozitivních upozornění.

Náprava těchto problémů:

  1. Na stránce doporučení vyberte doporučení Pravidla seznamu povolených v zásadách adaptivního řízení aplikací by se měla aktualizovat, abyste viděli skupiny s nově identifikovanou potenciálně legitimním chováním.

  2. Vyberte skupinu s pravidlem, které chcete upravit.

  3. Projděte si různé části stránky Konfigurovat pravidla řízení aplikací , jak je popsáno v tématu Povolení adaptivních řízení aplikací u skupiny počítačů.

  4. Chcete-li změny použít, vyberte audit.

Výstrahy a porušení auditu

  1. Otevřete řídicí panel ochrany zatížení a v oblasti Pokročilá ochrana vyberte Adaptivní řízení aplikací.

  2. Pokud chcete zobrazit skupiny s počítači s nedávnými výstrahami, Projděte si skupiny uvedené na stránce konfigurovaná karta.

  3. Pokud chcete prozkoumat další postup, vyberte skupinu.

    Nedávné výstrahy.

  4. Pro další podrobnosti a seznam ovlivněných počítačů vyberte výstrahu.

    Na stránce Výstrahy se zobrazí podrobnější informace o výstrahách a získáte odkaz na Akce s doporučeními, jak tuto hrozbu zmírnit.

    Čas spuštění adaptivních výstrah řízení aplikací je čas, který Adaptivní řízení aplikací vytvořilo výstrahu.

    Poznámka

    Adaptivní řízení aplikací počítá události každých 12 hodin. "Čas spuštění aktivity" zobrazený na stránce s výstrahami je čas, který Adaptivní řízení aplikací vytvořilo výstrahu, nikoli čas, kdy byl podezřelý proces aktivní.

Přesunutí počítače z jedné skupiny do druhé

Když přesunete počítač z jedné skupiny do druhé, uplatní se u něj zásada řízení aplikací na nastavení skupiny, do které jste ji přesunuli. Počítač můžete také přesunout z nakonfigurované skupiny do nenakonfigurované skupiny. tím dojde k odebrání všech pravidel řízení aplikací, která byla použita pro daný počítač.

  1. Otevřete řídicí panel ochrany zatížení a v oblasti Pokročilá ochrana vyberte Adaptivní řízení aplikací.

  2. Na stránce Adaptivní řízení aplikací vyberte z karty nakonfigurovaná skupinu obsahující počítač, který chcete přesunout.

  3. Otevřete seznam nakonfigurovaných počítačů.

  4. V nabídce počítače otevřete tři tečky na konci řádku a vyberte přesunout. Otevře se podokno přesunout počítač do jiné skupiny .

  5. Vyberte cílovou skupinu a vyberte přesunout počítač.

  6. Výběrem možnosti Uložit změny uložte.

Správa ovládacích prvků aplikace pomocí REST API

Chcete-li spravovat Adaptivní řízení aplikací programově, použijte naši REST API.

Příslušná dokumentace k rozhraní API je k dispozici v části Adaptivní řízení aplikací v Defenderu pro dokumentace k rozhraní API cloudu.

Některé funkce, které jsou dostupné z REST API:

  • Seznam načte všechna doporučení skupiny a poskytuje JSON s objektem pro každou skupinu.

  • Získejte kód JSON s úplnými daty doporučení (tj. seznam počítačů, pravidel vydavatelů a cest atd.).

  • Vložením nakonfigurujete pravidlo (pro tento požadavek použijte kód JSON, který jste získali jako text).

    Důležité

    Funkce Put očekává méně parametrů, než JSON vrácený příkazem Get obsahuje.

    Než použijete JSON v žádosti PUT, odeberte následující vlastnosti: recommendationStatus, configurationStatus, problémy, Location a sourceSystem.

Nejčastější dotazy – Adaptivní řízení aplikací

Existují nějaké možnosti, jak vymáhat ovládací prvky aplikace?

V tuto chvíli nejsou k dispozici žádné možnosti vynucování. Adaptivní řízení aplikací je určeno k poskytování výstrah zabezpečení v případě, že některá aplikace běží jinak než ty, které jste definovali jako bezpečné. Mají řadu výhod (Jaké jsou výhody adaptivních řízení aplikací?) a jsou extrémně přizpůsobitelná, jak je znázorněno na této stránce.

Microsoft Defender pro servery zahrnuje kontrolu ohrožení zabezpečení vašich počítačů bez dalších poplatků. Nepotřebujete licenci Qualys ani účet Qualys – všechno se v programu Defender pro Cloud zvládne bez problémů. Podrobnosti o tomto skeneru a pokyny, jak ho nasadit, najdete v článku věnovaném řešení pro posouzení ohrožení zabezpečení integrovaného Qualys pro Cloud v programu Defender.

Aby se zajistilo, že se při nasazení skeneru do programu Defender pro Cloud negenerují žádné výstrahy, doporučuje se v seznamu povolených aplikací pro Adaptivní řízení aplikací, které obsahuje skener všech počítačů.

Další kroky

Na této stránce jste zjistili, jak pomocí adaptivního řízení aplikací v programu Microsoft Defender pro Cloud definovat seznamy povolených aplikací, které běží na počítačích Azure i mimo Azure. Další informace o některých dalších funkcích ochrany úloh cloudu najdete v těchto tématech: