Controles de aplicación adaptablesAdaptive application controls

Obtenga información acerca de cómo configurar el control de aplicación en Azure Security Center con este tutorial.Learn how to configure application control in Azure Security Center using this walkthrough.

¿Qué son los controles de aplicación adaptables en Security Center?What are adaptive application controls in Security Center?

El control de aplicaciones adaptables es una solución de un extremo a otro inteligente y automatizada de Azure Security Center que ayuda a controlar qué aplicaciones se pueden ejecutar en las máquinas virtuales de Azure y que no son de Azure (Windows y Linux).Adaptive application control is an intelligent, automated, end-to-end solution from Azure Security Center which helps you control which applications can run on your Azure and non-Azure machines (Windows and Linux). Entre otras ventajas, esto ayuda a proteger las máquinas virtuales frente al malware.Among other benefits, this helps harden your machines against malware. Security Center usa el aprendizaje automático para analizar las aplicaciones que se ejecutan en sus máquinas virtuales y crea una lista de permitidas a partir de esta inteligencia.Security Center uses machine learning to analyze the applications running on your machines and creates an allow list from this intelligence. Esta funcionalidad simplifica enormemente el proceso de configuración y mantenimiento de directivas de listas de aplicaciones permitidas, lo que le permite:This capability greatly simplifies the process of configuring and maintaining application allow list policies, enabling you to:

  • Bloquear o alertar sobre intentos de ejecución de aplicaciones malintencionadas, incluidas aquellas que podrían ser omitidas por las soluciones antimalware.Block or alert on attempts to run malicious applications, including those that might otherwise be missed by antimalware solutions.
  • Cumplir con la directiva de seguridad de la organización que dicta el uso de software con licencia únicamente.Comply with your organization's security policy that dictates the use of only licensed software.
  • Evitar el uso de software no deseado en el entorno.Avoid unwanted software to be used in your environment.
  • Evitar la ejecución de aplicaciones anteriores y no compatibles.Avoid old and unsupported apps to run.
  • Impedir herramientas de software específicas no permitidas en la organización.Prevent specific software tools that are not allowed in your organization.
  • Permiten que TI controle el acceso a información confidencial a través del uso de aplicaciones.Enable IT to control the access to sensitive data through app usage.

Nota

Para las máquinas virtuales que no son de Azure y las de Linux, se admiten controles de aplicación adaptables solo en modo auditoría.For Non-Azure and Linux machines, adaptive application controls are supported in audit mode only.

¿Cómo habilitar los controles de aplicación adaptables?How to enable adaptive application controls?

Los controles de aplicación adaptables ayudan a definir un conjunto de aplicaciones que se pueden ejecutar en los grupos configurados de las máquinas virtuales.Adaptive application controls help you define a set of applications that are allowed to run on configured groups of machines. Esta característica está disponible tanto para máquinas virtuales y servidores de Azure como Windows (todas las versiones, clásica o Azure Resource Manager) y Linux que no son de Azure.This feature is available for both Azure and non-Azure Windows (all versions, classic, or Azure Resource Manager) and Linux machines. Siga estos pasos para configurar las listas de aplicaciones permitidas:Use the following steps to configure your application allow lists:

  1. Abra el panel Security Center.Open the Security Center dashboard.

  2. En el panel de la izquierda, seleccione Controles de aplicaciones adaptables que se encuentra en Protección en la nube avanzada.In the left pane, select Adaptive application controls located under Advanced cloud defense.

    DefensaDefense

Se muestra la página Controles de aplicaciones adaptables.The Adaptive application controls page appears.

controls

La sección Grupos de máquinas virtuales contiene tres pestañas:The Groups of VMs section contains three tabs:

  • Configured (Configurado): lista de grupos que contienen las máquinas virtuales que se configuraron con el control de aplicaciones.Configured: list of groups containing the VMs that were configured with application control.
  • Recommended (Recomendado): lista de grupos para los que se recomienda el control de aplicación.Recommended: list of groups for which application control is recommended. Security Center utiliza el aprendizaje automático para identificar las máquinas virtuales que son buenas candidatas para el control de aplicación en función de si las máquinas virtuales ejecutan de forma coherente las mismas aplicaciones.Security Center uses machine learning to identify VMs that are good candidates for application control based on whether the VMs consistently run the same applications.
  • No recommendation (Sin recomendación): lista de grupos que contienen máquinas virtuales sin ninguna recomendación de control de aplicación.No recommendation: list of groups containing VMs without any application control recommendations. Por ejemplo, máquinas virtuales en las que las aplicaciones cambian constantemente y no han alcanzado un estado estable.For example, VMs on which applications are always changing, and haven’t reached a steady state.

Nota

Security Center utiliza un algoritmo de agrupación en clústeres propietario para crear grupos de máquinas virtuales, lo que garantiza que máquinas virtuales similares obtienen la directiva de control de aplicaciones recomendada óptima.Security Center uses a proprietary clustering algorithm to create groups of VMs making sure that similar VMs get the optimal recommended application control policy.

Configuración de una nueva directiva de control de aplicaciónConfigure a new application control policy

  1. Seleccione la pestaña Recommended (Recomendado) para obtener una lista de los grupos con recomendaciones de control de aplicación:Select the Recommended tab for a list of groups with application control recommendations:

    Recomendado

    La lista incluye:The list includes:

    • Nombre de grupo: nombre de la suscripción y el grupoGroup Name: The name of the subscription and group
    • Máquinas virtuales y equipos: número de máquinas virtuales del grupoVMs and Computers: The number of virtual machines in the group
    • Estado: estado de las recomendacionesState: the state of the recommendations
    • Gravedad: nivel de gravedad de las recomendacionesSeverity: the severity level of the recommendations
  2. Pulse en un grupo para abrir la opción Crear reglas de control de aplicaciones.Click on a group to open the Create application control rules option.

    Reglas de control de aplicaciónApplication control rules

  3. En Seleccionar máquinas virtuales, revise la lista de máquinas virtuales recomendadas y desactive cualquiera a la que no desee aplicar la directiva de inclusión en la listas de aplicaciones permitidas.In the Select VMs, review the list of recommended VMs and uncheck any you do not want to apply an application whitelisting policy to. A continuación, se ven dos listas:Next, you see two lists:

    • Recommended applications (Aplicaciones recomendadas): una lista de las aplicaciones frecuentes en las máquinas virtuales dentro de este grupo y cuya ejecución se recomienda permitir.Recommended applications: a list of applications that are frequent on the VMs within this group, and are recommended to be allowed to run.
    • More applications (Más aplicaciones): una lista de las aplicaciones que son menos frecuentes en las máquinas virtuales dentro de este grupo o que se conocen como Infringibles (encontrará más información al respecto a continuación) y se recomienda para su revisión.More applications: a list of applications that are either less frequent on the VMs within this group or that are known as Exploitables (see more below), and recommended for review.
  4. Revise las aplicaciones en cada una de las listas y desactive las que no desee aplicar.Review the applications in each of the lists, and uncheck any you do not want to apply. Cada lista incluye:Each list includes:

    • NOMBRE: la información del certificado o de la ruta de acceso completa de una aplicaciónNAME: the certificate information or the full path of an application
    • TIPOS DE ARCHIVO: el tipo de archivo de la aplicación.FILE TYPES: the application file type. Puede ser EXE, Script, MSI o cualquier permutación de estos tipos.This can be EXE, Script, MSI, or any permutation of these types.
    • INFRINGIBLE: un icono de advertencia indica si un atacante podría usar una determinada aplicación para evitar una lista de aplicaciones permitidas.EXPLOITABLE: a warning icon indicates if a specific application could be used by an attacker to bypass an application allow list. Se recomienda revisar estas aplicaciones antes de su aprobación.It is recommended to review these applications prior to their approval.
    • USUARIOS: los usuarios a los que se recomienda admitir para ejecutar una aplicaciónUSERS: users that are recommended to be allowed to run an application
  5. Cuando haya terminado de realizar las selecciones, elija Crear.Once you finish your selections, select Create.
    Después de seleccionar Crear, Azure Security Center crea automáticamente las reglas adecuadas en la solución integrada de listas de aplicaciones permitidas disponible en los servidores de Windows (AppLocker).After you select Create, Azure Security Center automatically creates the appropriate rules on top of the built-in application allow list solution available on Windows servers (AppLocker).

Nota

  • Security Center necesita al menos dos semanas de datos para crear una base de referencia y rellenar las recomendaciones únicas para cada grupo de máquinas virtuales.Security Center relies on a minimum of two weeks of data in order to create a baseline and populate the unique recommendations per group of VMs. Los clientes nuevos del nivel estándar de Security Center experimentarán un comportamiento en el que, al principio, sus grupos de máquinas virtuales aparecen en la pestaña Ninguna recomendación.New customers of Security Center standard tier should expect a behavior in which at first their groups of VMs appear under the no recommendation tab.
  • Controles de aplicación adaptables de Security Center no admite máquinas virtuales para las que ya esté habilitada una directiva de AppLocker mediante un GPO o una directiva de seguridad local.Adaptive Application Controls from Security Center doesn’t support VMs for which an AppLocker policy is already enabled by either a GPO or a local security policy.
  • Como procedimiento recomendado de seguridad, Security Center siempre intenta crear una regla de publicador para las aplicaciones permitidas y solo si una aplicación no tiene información del publicador (también conocido como no firmada), se creará una regla de ruta de acceso para la ruta de acceso completa de la aplicación específica.As a security best practice, Security Center will always try to create a publisher rule for applications that are selected to be allowed, and only if an application doesn’t have a publisher information (aka not signed), a path rule will be created for the full path of the specific application.

Edición y supervisión de un grupo configurado con control de aplicaciónEditing and monitoring a group configured with application control

  1. Para editar y supervisar un grupo configurado con una directiva de listas de aplicaciones permitidas, vuelva a la página Controles de aplicaciones adaptables y seleccione CONFIGURADO en Grupos de máquinas virtuales:To edit and monitor a group configured with an application allow list policy, return to the Adaptive application controls page and select CONFIGURED under Groups of VMs:

    Grupos

    La lista incluye:The list includes:

    • Nombre de grupo: el nombre de la suscripción y el grupoGroup Name: the name of the subscription and group
    • Máquinas virtuales y equipos: el número de máquinas virtuales del grupoVMs and Computers: the number of virtual machines in the group
    • Modo: El modo Auditoría registrará los intentos de ejecución de aplicaciones que no están en la listas de aplicaciones permitidas; el modo Forzar no permitirá que se ejecuten aplicaciones que no estén en la lista de permitidas.Mode: Audit mode will log attempts to run applications that aren't on the allow list; Enforce will not allow applications to run unless they are on the allow list
    • Alertas: cualquier infracción actualAlerts: any current violations
  2. Haga clic en un grupo para realizar cambios en la página Editar directiva de control de aplicaciones.Click on a group to make changes in the Edit application control policy page.

    Protección

  3. En Modo de protección, puede seleccionar entre las siguientes opciones:Under Protection mode, you have the option to select between the following:

    • Auditoría: en este modo, la solución de control de aplicación no exige el cumplimiento de las reglas y solo audita la actividad en las máquinas virtuales protegidas.Audit: in this mode, the application control solution does not enforce the rules, and only audits the activity on the protected VMs. Esto se recomienda para escenarios donde desea primero observar el comportamiento general antes de bloquear la ejecución de una aplicación en la máquina virtual de destino.This is recommended for scenarios where you want to first observe the overall behavior before blocking an app to run in the target VM.
    • Forzar: en este modo, la solución de control de aplicación exige el cumplimiento de las reglas y se asegura de bloquear las aplicaciones cuya ejecución no está permitida.Enforce: in this mode, the application control solution does enforce the rules, and makes sure that applications that are not allowed to run are blocked.

    Nota

    • El modo de aplicación Forzar está deshabilitado hasta nuevo aviso.Enforce protection mode is disabled until further notice.
    • Como se mencionó anteriormente, una nueva directiva de control de aplicación siempre se configura en modo Auditoría de forma predeterminada.As previously mentioned, by default a new application control policy is always configured in Audit mode.
  4. En Extensión de directiva, agregue cualquier ruta de acceso de aplicación que quiera permitir.Under Policy extension, add any application path that you want to allow. Después de agregar estas rutas de acceso, Security Center actualiza la directiva de lista de aplicaciones permitidas en las máquinas virtuales dentro del grupo seleccionado de máquinas virtuales y crea las reglas adecuadas para estas aplicaciones, además de las reglas que ya están en vigor.After you add these paths, Security Center updates the application allow list policy on the VMs within the selected group of VMS and creates the appropriate rules for these applications, in addition to the rules that are already in place.

  5. Revise las infracciones actuales que aparecen en la sección Alertas recientes.Review the current violations listed in the Recent alerts section. Haga clic en cada línea para ser redirigido a la página Alertas de Azure Security Center, y vea todas las alertas que detectó Azure Security Center en las máquinas virtuales asociadas.Click on each line to be redirected to the Alerts page within Azure Security Center, and view all the alerts that were detected by Azure Security Center on the associated VMs.

    • Alertas: cualquier infracción que se registró.Alerts: any violations that were logged.
    • Núm. de máquinas virtuales: número de máquinas virtuales con este tipo de alerta.No. of VMs: the number of virtual machines with this alert type.
  6. En Reglas de inclusión en lista aprobada de publicadores, Reglas de inclusión en listas de rutas de acceso permitidas y Reglas hash relativas a las listas de permitidos puede ver qué reglas de la lista de aplicaciones permitidas están actualmente configuradas en las máquinas virtuales dentro de un grupo, según el tipo de regla de recopilación.Under Publisher whitelisting rules, Path whitelisting rules, and Hash whitelisting rules you can see which application whitelisting rules are currently configured on the VMs within a group, according to the rule collection type. Para cada regla se puede ver lo siguiente:For each rule you can see:

    • Regla: los parámetros específicos según los cuales AppLocker examina una aplicación para determinar si una aplicación puede ejecutarse.Rule: The specific parameters according to which an application is examined by AppLocker to determine if an application is allowed to run.
    • Tipo de archivo: los tipos de archivo cubiertos por una regla específica.File type: The file types that are covered by a specific rule. Puede ser uno de los siguientes: EXE, Script, MSI o cualquier permutación de estos tipos.This can be any of the following: EXE, Script, MSI, or any permutation of those file types.
    • Usuarios: nombre o número de usuarios que tienen permiso para ejecutar una aplicación que está cubierta por una regla de inclusión en listas de aplicaciones permitidas.Users: Name or number of users who are allowed to run an application that is covered by an application whitelisting rule.

    Reglas de inclusión en listas de permitidos

  7. Haga clic en los puntos suspensivos al final de cada línea si quiere eliminar la regla concreta o editar los usuarios permitidos.Click on the three dots at the end of each line if you want to delete the specific rule or edit the allowed users.

  8. Después de realizar cambios en una directiva Controles de aplicación adaptables, haga clic en Guardar.After making changes to an Adaptive application controls policy, click Save.

Security Center solo recomienda las directivas de listas de aplicaciones permitidas para las máquinas virtuales que ejecutan un conjunto estable de aplicaciones.Security Center only recommends application whitelisting policies for virtual machines running a stable set of applications. No se crean recomendaciones si las aplicaciones en las máquinas virtuales asociadas cambian continuamente.Recommendations are not created if applications on the associated VMs keep changing.

Recomendación

La lista contiene:The list contains:

  • Nombre de grupo: el nombre de la suscripción y el grupoGroup Name: the name of the subscription and group
  • Máquinas virtuales y equipos: el número de máquinas virtuales del grupoVMs and Computers: the number of virtual machines in the group

Azure Security Center también le permite definir una directiva de creación de listas de aplicaciones permitidas en grupos no recomendados de máquinas virtuales.Azure Security Center enables you to define an application whitelisting policy on non-recommended groups of VMs as well. Siga los mismos principios que se han descrito anteriormente, para configurar una directiva de creación de listas de aplicaciones permitidas también en esos grupos.Follow the same principles as were previously described, to configure an application whitelisting policy on those groups as well.

Mover una máquina virtual de un grupo a otroMove a VM from one group to another

Cuando se mueve una máquina virtual de un grupo a otro, la directiva de control de aplicaciones que se le aplica cambia a la configuración del grupo al que se ha movido.When you move a VM from one group to another, the application control policy applied to it changes to the settings of the group that you moved it to. También se puede mover una máquina virtual de un grupo configurado a otro grupo no configurado, lo que da lugar a que se quite cualquier directiva de control de aplicaciones que se hubiera aplicado antes a una máquina virtual.You can also move a VM from a configured group to a non-configured group, which results in removing any application control policy that was previously applied to the VM.

  1. En la página Controles de aplicaciones adaptables, en la pestaña CONFIGURACIÓN REALIZADA, haga clic en el grupo al que pertenece actualmente la máquina virtual que va a mover.From the Adaptive application controls page, from the CONFIGURED tab, click the group which the VM to be moved currently belongs to.

  2. Haga clic en Máquinas virtuales y equipos configurados.Click Configured VMs and Computers.

  3. Haga clic en los tres puntos en la línea de la máquina virtual que se va a mover y haga clic en Mover.Click the three dots in the line of the VM to move and click Move. Se abre la ventana Operación para mover un equipo a otro grupo .The Move computer to different group window opens.

    Protección

  4. Seleccione el grupo al que quiere mover la máquina virtual y haga clic en Mover equipo y luego en Guardar.Select the group to move the VM to, and click Move Computer, and click Save.

    Protección

Nota

Asegúrese de hacer clic en Guardar, después de hacer clic en Mover equipo.Be sure to click Save after clicking Move Computer. Si no hace clic en Guardar, el equipo no se moverá.If you do not click Save, then the computer will not be moved.

Pasos siguientesNext steps

En este documento ha aprendido a usar el control de aplicación adaptable en Azure Security Center para incluir en la lista de permitidos las aplicaciones que se ejecutan en máquinas virtuales de Azure y no Azure.In this document, you learned how to use adaptive application control in Azure Security Center to whitelist applications running in Azure and non-Azure VMs. Para obtener más información sobre Azure Security Center, consulte los siguientes recursos:To learn more about Azure Security Center, see the following: