Adaptive Netzwerkhärtung in Azure Security CenterAdaptive Network Hardening in Azure Security Center

Hier erfahren Sie, wie Sie die adaptive Netzwerkhärtung in Azure Security Center konfigurieren.Learn how to configure Adaptive Network Hardening in Azure Security Center.

Was ist die adaptive Netzwerkhärtung?What is Adaptive Network Hardening?

Der Einsatz von Netzwerksicherheitsgruppen (NSGs) zur Filterung von ein- und ausgehendem Datenverkehr für Ressourcen verbessert den Sicherheitsstatus Ihres Netzwerks.Applying network security groups (NSG) to filter traffic to and from resources, improves your network security posture. Es gibt jedoch Situationen, in denen es sich bei dem Datenverkehr, der die NSG durchläuft, um eine Teilmenge der definierten NSG-Regeln handelt.However, there can still be some cases in which the actual traffic flowing through the NSG is a subset of the NSG rules defined. In diesen Fällen lässt sich der Sicherheitsstatus durch eine Härtung der NSG-Regeln auf der Grundlage tatsächlicher Datenverkehrsmuster noch weiter verbessern.In these cases, further improving the security posture can be achieved by hardening the NSG rules, based on the actual traffic patterns.

Die adaptive Netzwerkhärtung liefert Empfehlungen zur weiteren Härtung der NSG-Regeln.Adaptive Network Hardening provides recommendations to further harden the NSG rules. Dabei kommt ein Machine Learning-Algorithmus zum Einsatz, der Faktoren wie tatsächlichen Datenverkehr, bekannte vertrauenswürdige Konfiguration und Bedrohungsinformationen sowie weitere Anzeichen einer Kompromittierung berücksichtigt und auf der Grundlage dieser Faktoren Empfehlungen abgibt, um nur Datenverkehr von bestimmten IP-/Port-Tupeln zuzulassen.It uses a machine learning algorithm that factors in actual traffic, known trusted configuration, threat intelligence, and other indicators of compromise, and then provides recommendations to allow traffic only from specific IP/port tuples.

Ein Beispiel: Angenommen, die vorhandene NSG-Regel lässt Datenverkehr von 140.20.30.10/24 am Port 22 zu.For example, let’s say the existing NSG rule is to allow traffic from 140.20.30.10/24 on port 22. Die analysebasierte Empfehlung der adaptiven Netzwerkhärtung lautet, den Bereich einzugrenzen und Datenverkehr von 140.23.30.10/29 (enger gefasster IP-Adressbereich) zuzulassen sowie jeglichen anderen Datenverkehr an diesem Port zu verweigern.The Adaptive Network Hardening’s recommendation, based on the analysis, would be to narrow the range and allow traffic from 140.23.30.10/29 – which is a narrower IP range, and deny all other traffic to that port.

Ansicht der Netzwerkhärtung

Hinweis

Empfehlungen der adaptiven Netzwerkhärtung werden für folgende Ports unterstützt: 22, 3389, 21, 23, 445, 4333, 3306, 1433, 1434, 53, 20, 5985, 5986, 5432, 139, 66, 1128Adaptive Network Hardening recommendations are supported on the following ports: 22, 3389, 21, 23, 445, 4333, 3306, 1433, 1434, 53, 20, 5985, 5986, 5432, 139, 66, 1128

Anzeigen von Warnungen und Regeln der adaptiven NetzwerkhärtungView Adaptive Network Hardening alerts and rules

  1. Wählen Sie in Security Center Netzwerk -> Adaptive Netzwerkhärtung aus.In Security Center, select Networking -> Adaptive Network Hardening. Die virtuellen Netzwerkcomputer werden auf drei separaten Registerkarten aufgeführt:The network VMs are listed under three separate tabs:

    • Fehlerhafte Ressourcen: Virtuelle Computer, für die Empfehlungen und Warnungen vorliegen, die durch Ausführen des Algorithmus der adaptiven Netzwerkhärtung ausgelöst wurden.Unhealthy resources: VMs that currently have recommendations and alerts that were triggered by running the Adaptive Network Hardening algorithm.

    • Fehlerfreie Ressourcen: Virtuelle Computer ohne Warnungen oder Empfehlungen.Healthy resources: VMs without alerts and recommendations.

    • Nicht überprüfte Ressourcen: Virtuelle Computer, auf denen der Algorithmus der adaptiven Netzwerkhärtung aus einem der folgenden Gründe nicht ausgeführt werden kann:Unscanned resources: VMs that the Adaptive Network Hardening algorithm cannot be run on because of one of the following reasons:

      • Virtuelle Computer sind klassische virtuelle Computer: Es werden nur virtuelle Azure Resource Manager-Computer unterstützt.VMs are Classic VMs: Only Azure Resource Manager VMs are supported.
      • Nicht genügend Daten verfügbar: Security Center benötigt mindestens Datenverkehrsdaten eines Zeitraums von 30 Tagen, um fundierte Härtungsempfehlungen abgeben zu können.Not enough data is available: In order to generate accurate traffic hardening recommendations, Security Center requires at least 30 days of traffic data.
      • Virtueller Computer nicht durch ASC (Standard) geschützt: Dieses Feature kann nur für virtuelle Computer genutzt werden, die auf den Standard-Tarif von Security Center festgelegt sind.VM is not protected by ASC standard: Only VMs that are set to Security Center’s Standard pricing tier are eligible for this feature.

      Fehlerhafte Ressourcen

  2. Wählen Sie auf der Registerkarte Fehlerhafte Ressourcen einen virtuellen Computer aus, um dessen Warnungen und die empfohlenen Härtungsregeln anzuzeigen.From the Unhealthy resources tab, select a VM to view its alerts and the recommended hardening rules to apply.

    Härtungswarnungen

  1. Wählen Sie auf der Registerkarte Fehlerhafte Ressourcen einen virtuellen Computer aus.From the Unhealthy resources tab, select a VM. Die Warnungen und empfohlenen Härtungsregeln werden aufgeführt.The alerts and recommended hardening rules are listed.

    Härtungsregeln

    Hinweis

    Auf der Registerkarte Regeln werden die Regeln aufgeführt, die laut adaptiver Netzwerkhärtung hinzugefügt werden sollten.The Rules tab lists the rules that Adaptive Network Hardening recommends you add. Auf der Registerkarte Warnungen werden die Warnungen aufgeführt, die aufgrund von eingehendem Datenverkehr für die Ressource generiert wurden, der nicht innerhalb des durch die empfohlenen Regeln zugelassenen IP-Adressbereichs liegt.The Alerts tab lists the alerts that were generated due to traffic, flowing to the resource, which is not within the IP range allowed in the recommended rules.

  2. Wenn Sie einige der Parameter für eine Regel ändern möchten, gehen Sie wie unter Ändern einer Regel beschrieben vor.If you want to change some of the parameters of a rule, you can modify it, as explained in Modify a rule.

    Hinweis

    Sie können auch eine Regel löschen oder hinzufügen.You can also delete or add a rule.

  3. Wählen Sie die Regeln aus, die Sie auf die NSG anwenden möchten, und klicken Sie auf Erzwingen.Select the rules that you want to apply on the NSG, and click Enforce.

    Hinweis

    Die erzwungenen Regeln werden den Netzwerksicherheitsgruppen hinzugefügt, die den virtuellen Computer schützen.The enforced rules are added to the NSG(s) protecting the VM. (Ein virtueller Computer kann durch eine Netzwerksicherheitsgruppe geschützt werden, die der Schnittstellenkarte zugeordnet ist, oder das Subnetz, in dem der virtuelle Computer befindet, oder beides.)(A VM could be protected by an NSG that is associated to its NIC, or the subnet in which the VM resides, or both)

    Erzwingen von Regeln

Ändern einer Regel Modify a rule

Die Parameter einer empfohlenen Regel können bei Bedarf geändert werden.You may want to modify the parameters of a rule that has been recommended. So können Sie beispielsweise die empfohlenen IP-Adressbereiche ändern.For example, you may want to change the recommended IP ranges.

Im Anschluss finden Sie einige wichtige Richtlinien, die beim Ändern einer Regel der adaptiven Netzwerkhärtung berücksichtigt werden müssen:Some important guidelines for modifying an Adaptive Network Hardening rule:

  • Es können nur die Parameter von Regeln des Typs „Zulassen“ geändert werden.You can modify the parameters of “allow” rules only.

  • Regeln können nicht von „Zulassen“ in „Verweigern“ geändert werden.You cannot change “allow” rules to become “deny” rules.

    Hinweis

    Das Erstellen und Ändern von Verweigerungsregeln erfolgt direkt in der NSG.Creating and modifying “deny” rules is done directly on the NSG. Weitere Informationen finden Sie unter Erstellen, Ändern oder Löschen einer Netzwerksicherheitsgruppe.For more information, see Create, change, or delete a network security group.

  • Die einzige Regel vom Typ „Verweigern“, die hier ggf. angezeigt wird, ist eine Regel zum Verweigern des gesamten Datenverkehrs, und diese Regel kann nicht geändert werden.A Deny all traffic rule is the only type of “deny” rule that would be listed here, and it cannot be modified. Sie kann allerdings gelöscht werden (siehe Löschen einer Regel).You can, however, delete it (see Delete a rule).

    Hinweis

    Eine Regel zum Verweigern des gesamten Datenverkehrs wird empfohlen, wenn Security Center nach Ausführung des Algorithmus keinen Datenverkehr erkennt, der zugelassen werden soll (basierend auf der vorhandenen NSG-Konfiguration).A Deny all traffic rule is recommended when, as a result of running the algorithm, Security Center does not identify traffic that should be allowed, based on the existing NSG configuration. Aus diesem Grund ist die empfohlene Regel, jeglichen Datenverkehr für den angegebenen Port zu verweigern.Therefore, the recommended rule is to deny all traffic to the specified port. Der Name dieser Art von Regel wird als Vom System generiert angezeigt.The name of this type of rule is displayed as “System Generated”. Nach Erzwingung dieser Regel ist ihr tatsächlicher Name in der NSG eine Zeichenfolge, die sich aus dem Protokoll, der Datenverkehrsrichtung, „DENY“ und einer Zufallszahl zusammensetzt.After enforcing this rule, its actual name in the NSG will be a string comprised of the protocol, traffic direction, “DENY”, and a random number.

So ändern Sie eine Regel der adaptiven Netzwerkhärtung:To modify an Adaptive Network Hardening rule:

  1. Um Parameter einer Regel zu ändern, klicken Sie auf der Registerkarte Regeln auf die drei Punkte (...) am Ende der Zeile mit der gewünschten Regel, und klicken Sie anschließend auf Bearbeiten.To modify some of the parameters of a rule, in the Rules tab, click on the three dots (...) at the end of the rule’s row, and click Edit.

    Bearbeiten einer Regel

  2. Aktualisieren Sie im Fenster Regel bearbeiten die Details, die Sie ändern möchten, und klicken Sie anschließend auf Speichern.In the Edit rule window, update the details that you want to change, and click Save.

    Hinweis

    Nach dem Klicken auf Speichern haben Sie die Regel erfolgreich geändert.After clicking Save, you have successfully changed the rule. Allerdings haben Sie sie noch nicht auf die NSG angewendet.However, you have not applied it to the NSG. Um sie anzuwenden, müssen Sie die Regel in der Liste auswählen und auf Erzwingen klicken (wie im nächsten Schritt beschrieben).To apply it, you must select the rule in the list, and click Enforce (as explained in the next step).

    Bearbeiten einer Regel

  3. Wählen Sie in der Liste die aktualisierte Regel aus, und klicken Sie auf Erzwingen, um die aktualisierte Regel anzuwenden.To apply the updated rule, from the list, select the updated rule and click Enforce.

    Erzwingen einer Regel

Hinzufügen einer neuen Rolle Add a new rule

Sie können eine Regel vom Typ „Zulassen“ hinzufügen, die nicht von Security Center empfohlen wurde.You can add an “allow” rule that was not recommended by Security Center.

Hinweis

Nur Regeln vom Typ „Zulassen“ können hier hinzugefügt werden.Only “allow” rules can be added here. Regeln vom Typ „Verweigern“ können direkt in der Netzwerksicherheitsgruppe hinzugefügt werden.If you want to add “deny” rules, you can do so directly on the NSG. Weitere Informationen finden Sie unter Erstellen, Ändern oder Löschen einer Netzwerksicherheitsgruppe.For more information, see Create, change, or delete a network security group.

So fügen Sie eine Regel der adaptiven Netzwerkhärtung hinzu:To add an Adaptive Network Hardening rule:

  1. Klicken Sie in der linken oberen Ecke auf Regel hinzufügen.Click Add rule (located in the top-left corner).

    Hinzufügen einer Regel

  2. Geben Sie im Fenster Neue Regel die Details ein, und klicken Sie auf Hinzufügen.In the New rule window, enter the details and click Add.

    Hinweis

    Nach dem Klicken auf Hinzufügen haben Sie die Regel erfolgreich hinzugefügt, und sie wird zusammen mit den anderen empfohlenen Regeln aufgeführt.After clicking Add, you have successfully added the rule, and it is listed with the other recommended rules. Allerdings haben Sie sie noch nicht auf die NSG angewendet.However, you have not applied it on the NSG. Um sie zu aktivieren, müssen Sie die Regel in der Liste auswählen und auf Erzwingen klicken (wie im nächsten Schritt beschrieben).To activate it, you must select the rule in the list, and click Enforce (as explained in the next step).

  3. Wählen Sie in der Liste die neue Regel aus, und klicken Sie auf Erzwingen, um die neue Regel anzuwenden.To apply the new rule, from the list, select the new rule and click Enforce.

    Erzwingen einer Regel

Löschen einer Regel Delete a rule

Bei Bedarf können Sie eine empfohlene Regel für die aktuelle Sitzung löschen.When necessary, you can delete a recommended rule for the current session. Dies kann beispielsweise erforderlich sein, wenn Sie feststellen, dass eine vorgeschlagene Regel die Blockierung von zulässigem Datenverkehr zur Folge hätte.For example, you may determine that applying a suggested rule could block legitimate traffic.

So löschen Sie eine Regel der adaptiven Netzwerkhärtung für Ihre aktuelle Sitzung:To delete an Adaptive Network Hardening rule for your current session:

  1. Klicken Sie auf der Registerkarte Regeln auf die drei Punkte (...) am Ende der Zeile mit der Regel, und klicken Sie anschließend auf Löschen.In the Rules tab, click on the three dots (...) at the end of the rule’s row, and click Delete.

    Härtungsregeln