Zlepšení zabezpečení sítě s adaptivním vylepšováním zabezpečení sítě
Poznámka
Azure Security Center a Azure Defender se teď označují jako Microsoft Defender pro Cloud. Také jsme plány Azure Defender přejmenovaly na plány Microsoft Defenderu . například Azure defender pro Storage je nyní Microsoft Defender pro Storage.
Přečtěte si další informace o nedávných přejmenování služeb zabezpečení společnosti Microsoft.
Adaptivní zabezpečení sítě je funkce Microsoft Defenderu pro cloud bez agentů – abyste mohli tento nástroj pro zabezpečení sítě využívat, není potřeba nic instalovat na vaše počítače.
Tato stránka vysvětluje, jak nakonfigurovat a spravovat adaptivní zabezpečení sítě v Defenderu for Cloud.
Dostupnost
| Aspekt | Podrobnosti |
|---|---|
| Stav vydání: | Všeobecná dostupnost (GA) |
| Ceny: | Vyžaduje Microsoft Defender pro servery. |
| Požadované role a oprávnění: | Oprávnění k zápisu do NSG počítače |
| Mraky: | 
Komerční cloudy
Národní (Azure Government, Azure China 21Vianet) |
Co je adaptivní zabezpečení sítě?
Použití skupin zabezpečení sítě (NSG) k filtrování provozu do a z prostředků vylepšuje výkon zabezpečení sítě. Stále však mohou být některé případy, ve kterých je skutečný provoz procházící přes NSG podmnožinou definovaných pravidel NSG. V těchto případech je možné dále zlepšit stav zabezpečení posílením pravidel NSG na základě skutečných vzorců provozu.
Adaptivní zabezpečení sítě poskytuje doporučení pro další zlepšení pravidel NSG. Používá algoritmus strojového učení, který zovlňují skutečný provoz, známou důvěryhodnou konfiguraci, inteligenci hrozeb a další indikátory ohrožení zabezpečení, a pak poskytuje doporučení, která povolí provoz pouze z konkrétních řazených řazených kolekce IP adres nebo portů.
Řekněme například, že stávající pravidlo NSG umožňuje provoz z 140.20.30.10/24 na portu 22. Na základě analýzy provozu může adaptivní zabezpečení sítě doporučit zúžení rozsahu tak, aby povolování provozu z ip adres 140.23.30.10/29, a odepřít veškerý ostatní provoz na tomto portu. Úplný seznam podporovaných portů najdete v položce Nejčastější dotazy Které porty jsou podporované?.
Zobrazení upozornění na zabezpečení a doporučených pravidel
V nabídce služby Defender for Cloud otevřete řídicí panel Ochrany úloh.
Vyberte dlaždici adaptivního zabezpečení sítě (1) nebo položku panelu Přehledy související s adaptivním zabezpečením sítě (2).
Tip
Panel přehledů zobrazuje procento vašich virtuálních počítače, které jsou aktuálně bránit adaptivnímu zabezpečení sítě.
Na doporučení k adaptivnímu zabezpečení sítě by se měla použít stránka s podrobnostmi doporučení pro internetové virtuální počítače se otevře se síťovými virtuálními počítači seskupených do tří karet:
- Prostředky, které nejsou v pořádku: Virtuální počítače, které aktuálně mají doporučení a výstrahy aktivované spuštěním adaptivního algoritmu pro zabezpečení sítě.
- Prostředky, které jsou v pořádku: Virtuální počítače bez upozornění a doporučení.
- Nenaskenované prostředky: Virtuální počítače, na které není možné spustit algoritmus adaptivního zabezpečení sítě, z jednoho z následujících důvodů:
- Virtuální počítače jsou klasické virtuální počítače: Podporují se Azure Resource Manager virtuální počítače.
- Není k dispozici dostatek dat: Aby bylo možné vygenerovat přesná doporučení pro zlepšení zabezpečení provozu, vyžaduje Defender for Cloud data o provozu nejméně za 30 dnů.
- Virtuální počítač není chráněný službou Microsoft Defender pro servery: Na tuto funkci mají nárok pouze virtuální počítače chráněné pomocí Microsoft Defenderu pro servery.
Na kartě Prostředky, které není v pořádku, vyberte virtuální počítač a zobrazte jeho upozornění a doporučená pravidla pro zabezpečení, která se mají použít.
- Na kartě Pravidla jsou uvedena pravidla, která adaptivní zabezpečení sítě doporučuje přidat.
- Na kartě Výstrahy jsou uvedeny výstrahy, které byly vygenerovány z důvodu provozu, které proudí do prostředku, který není v rozsahu IP adres povolených v doporučených pravidlech.
Volitelně můžete upravit pravidla:
Vyberte pravidla, která chcete použít pro NSG, a vyberte Vynutit.
Tip
Pokud se povolené rozsahy zdrojových IP adres zobrazí jako Žádné, znamená to, že doporučené pravidlo je pravidlo odepření, jinak se jedná o pravidlo povolení.
Poznámka
Vynucená pravidla se přidávají do NSG chránících virtuální počítač. (Virtuální počítač může být chráněný pomocí NSG, která je přidružená k jeho síťovému rozhraní, podsíti, ve které se virtuální počítač nachází, nebo oběma.)
Úprava pravidla
Možná budete chtít upravit parametry doporučeného pravidla. Můžete například chtít změnit doporučené rozsahy IP adres.
Některé důležité pokyny pro úpravu adaptivního pravidla pro zabezpečení sítě:
Pravidla povolení nemůžete změnit tak, aby se stala pravidly zamítnutí.
Můžete upravit parametry pouze pravidel povolení.
Vytváření a úpravy pravidel "odepřít" se provádí přímo v NSG. Další informace najdete v tématu Vytvoření, změna nebo odstranění skupiny zabezpečení sítě.
Pravidlo Odepřít veškerý provoz je jediným typem pravidla "odepřít", které by tu bylo uvedené, a nelze ho upravit. Můžete ho ale odstranit (viz Odstranění pravidla). Další informace o tomto typu pravidla najdete v položce Nejčastější dotazy Kdy mám použít pravidlo Odepřít veškerý provoz?.
Úprava adaptivního pravidla pro zabezpečení sítě:
Pokud chcete upravit některé parametry pravidla, vyberte na kartě Rules (Pravidla) tři tečky (...) na konci řádku pravidla a vyberte Edit (Upravit).
V okně Upravit pravidlo aktualizujte podrobnosti, které chcete změnit, a vyberte Uložit.
Poznámka
Po výběru možnosti Uložit jste pravidlo úspěšně změnili. U skupiny NSG jste ji ale nepou už nepou3/4ít. Pokud ho chcete použít, musíte vybrat pravidlo v seznamu a vybrat Vynutit (jak je vysvětleno v dalším kroku).
Pokud chcete aktualizované pravidlo použít, vyberte v seznamu aktualizované pravidlo a vyberte Vynutit.
Přidání nového pravidla
Můžete přidat pravidlo povolit, které defender for Cloud nedoporučuje.
Poznámka
Tady je možné přidat pouze pravidla "povolit". Pokud chcete přidat pravidla "odepřít", můžete to provést přímo v NSG. Další informace najdete v tématu Vytvoření, změna nebo odstranění skupiny zabezpečení sítě.
Přidání adaptivního pravidla pro zabezpečení sítě:
Na horním panelu nástrojů vyberte Přidat pravidlo.
V okně Nové pravidlo zadejte podrobnosti a vyberte Přidat.
Poznámka
Po výběru možnosti Přidat jste úspěšně přidali pravidlo, které je uvedené s ostatními doporučenými pravidly. U skupiny NSG jste ji ale nepou už nepou3/4ít. Pokud ho chcete aktivovat, musíte vybrat pravidlo v seznamu a vybrat Vynutit (jak je vysvětleno v dalším kroku).
Pokud chcete nové pravidlo použít, vyberte v seznamu nové pravidlo a vyberte Vynutit.
Odstranění pravidla
V případě potřeby můžete odstranit doporučené pravidlo pro aktuální relaci. Můžete například určit, že použití navrhovaného pravidla může blokovat legitimní provoz.
Odstranění adaptivního pravidla pro zabezpečení sítě pro aktuální relaci:
Na kartě Pravidla vyberte tři tečky (...) na konci řádku pravidla a vyberte Odstranit.
Nejčastější dotazy – Adaptivní zabezpečení sítě
- Které porty jsou podporovány?
- Existují nějaké požadavky nebo rozšíření virtuálních počítače vyžadované pro adaptivní zabezpečení sítě?
Které porty jsou podporovány?
Doporučení k adaptivnímu zabezpečení sítě se podporují pouze na následujících konkrétních portech (pro UDP i TCP):
13, 17, 19, 22, 23, 53, 69, 81, 111, 119, 123, 135, 137, 138, 139, 161, 162, 389, 445, 512, 514, 593, 636, 873, 1433, 1434, 1900, 2049, 2301, 2323, 2381, 3268, 3306, 3389, 4333, 5353, 5432, 5555, 5800, 5900, 5900, 5985, 5986, 6379, 6379, 7000, 7001, 7199, 8081, 8089, 8545, 9042, 9160, 9300, 11211, 16379, 26379, 27017, 37215
Existují nějaké požadavky nebo rozšíření virtuálních počítače vyžadované pro adaptivní zabezpečení sítě?
Adaptivní zabezpečení sítě je funkce Microsoft Defenderu pro cloud bez agentů – abyste mohli tento nástroj pro zabezpečení sítě využívat, není potřeba nic instalovat na vaše počítače.
Kdy mám použít pravidlo Odepřít veškerý provoz?
Pravidlo Odepřít všechna provoz se doporučuje, když v důsledku spuštění algoritmu Defender pro Cloud neidentifikuje provoz, který by měl být povolený, a to na základě stávající konfigurace NSG. Proto je doporučené pravidlo Odepřít veškerý provoz na zadaný port. Název tohoto typu pravidla se zobrazí jako generovaný systémem. Po vynucení tohoto pravidla bude jeho skutečný název v NSG řetězec, který se skládá z protokolu, směru provozu, ZAMÍTNUTí a náhodného čísla.