Contrôles d’application adaptative dans Azure Security CenterAdaptive application controls in Azure Security Center

Découvrez comment configurer le contrôle d’application dans Azure Security Center à l’aide de cette procédure pas à pas.Learn how to configure application control in Azure Security Center using this walkthrough.

Que sont les contrôles d’application adaptative dans Azure Security Center ?What are adaptive application controls in Security Center?

Le contrôle d’application adaptatif est une solution de bout en bout intelligente et automatisée d’Azure Security Center qui vous permet de contrôler les applications qui peuvent s’exécuter sur vos machines virtuelles Azure et non-Azure (Windows et Linux).Adaptive application control is an intelligent, automated, end-to-end solution from Azure Security Center which helps you control which applications can run on your Azure and non-Azure VMs (Windows and Linux). Parmi d’autres avantages, cela permet de renforcer la protection de vos machines virtuelles contre les logiciels malveillants.Among other benefits, this helps harden your VMs against malware. Security Center utilise le Machine Learning pour analyser les applications en cours d’exécution sur vos machines virtuelles et tire parti de ces informations pour créer une liste verte.Security Center uses machine learning to analyze the applications running on your VMs and creates an allow list from this intelligence. Cette fonctionnalité simplifie considérablement le processus de configuration et de gestion des stratégies de mise en liste verte des applications, ce qui vous permet d’effectuer les applications suivantes :This capability greatly simplifies the process of configuring and maintaining application allow list policies, enabling you to:

  • Bloquer ou vous alerter si une application malveillante tente de s’exécuter, y compris celles pouvant être omises par les solutions de logiciels anti-programme malveillant.Block or alert on attempts to run malicious applications, including those that might otherwise be missed by antimalware solutions.
  • Respecter la stratégie de sécurité de votre organisation qui autorise uniquement l’utilisation de certains logiciels licenciés.Comply with your organization's security policy that dictates the use of only licensed software.
  • Empêcher l’utilisation de logiciels indésirables sur votre environnement.Avoid unwanted software to be used in your environment.
  • Empêcher l’exécution des applications obsolètes et non prises en charge.Avoid old and unsupported apps to run.
  • Bloquer des outils logiciels spécifiques qui ne sont pas autorisés dans votre organisation.Prevent specific software tools that are not allowed in your organization.
  • Autoriser le service informatique à contrôler l’accès aux données sensibles en utilisant l’application.Enable IT to control the access to sensitive data through app usage.

Notes

Pour les machines virtuelles Linux et non Azure, les contrôles d’application adaptatifs sont pris en charge en mode audit uniquement.For Non-Azure and Linux VMs, adaptive application controls are supported in audit mode only.

Comment activer les contrôles d’application adaptative ?How to enable adaptive application controls?

Les contrôles d’application adaptative vous aident à définir un ensemble d’applications autorisées à s’exécuter sur des groupes configurés de machines virtuelles.Adaptive application controls help you define a set of applications that are allowed to run on configured groups of VMs. Cette fonctionnalité est disponible pour les machines virtuelles et les serveurs Azure et non Azure Windows (toutes versions, classique ou Azure Resource Manager), mais aussi Linux.This feature is available for both Azure and non-Azure Windows (all versions, classic, or Azure Resource Manager) and Linux VMs and servers. Effectuez les étapes suivantes pour configurer vos listes vertes d’applications :Use the following steps to configure your application allow lists:

  1. Ouvrez le tableau de bord Security Center.Open the Security Center dashboard.

  2. Dans le volet de gauche, sélectionnez Adaptive application controls (Contrôles d’application adaptatifs) situé sous Advanced cloud defense (Défense de cloud avancée).In the left pane, select Adaptive application controls located under Advanced cloud defense.

    Défense

La page Adaptive application controls (Contrôles d’application adaptatifs) apparaît.The Adaptive application controls page appears.

controls

La section Groupes de machines virtuelles contient trois onglets :The Groups of VMs section contains three tabs:

  • Configuré : liste des groupes contenant les machines virtuelles qui ont été configurées avec le contrôle d’applications.Configured: list of groups containing the VMs that were configured with application control.
  • Recommandé : liste des groupes pour lesquels le contrôle d’applications est recommandé.Recommended: list of groups for which application control is recommended. Security Center utilise le machine learning pour identifier les machines virtuelles potentiellement concernées par le contrôle d’application en fonction de leur capacité à exécuter les mêmes applications en continu.Security Center uses machine learning to identify VMs that are good candidates for application control based on whether the VMs consistently run the same applications.
  • Aucune recommandation : liste des groupes contenant des machines virtuelles sans recommandation de contrôle d’applications.No recommendation: list of groups containing VMs without any application control recommendations. Par exemple, les machines virtuelles dont les applications sont toujours en cours de modification et qui n’ont pas atteint un état stable.For example, VMs on which applications are always changing, and haven’t reached a steady state.

Notes

Security Center utilise un algorithme de clustering propriétaire pour créer des groupes de machines virtuelles s’assurant que les machines virtuelles similaires reçoivent la meilleure stratégie de contrôle d’application optimale recommandée.Security Center uses a proprietary clustering algorithm to create groups of VMs making sure that similar VMs get the optimal recommended application control policy.

Configurer une nouvelle stratégie de contrôle des applicationsConfigure a new application control policy

  1. Cliquez sur l’onglet Recommandé pour obtenir une liste des groupes disposant de recommandations de contrôle d’applications :Click on the Recommended tab for a list of groups with application control recommendations:

    Recommandé

    Cette liste comprend les éléments suivants :The list includes:

    • Nom du groupe : nom de l’abonnement et du groupeGroup Name: The name of the subscription and group
    • Machines virtuelles et ordinateurs : nombre de machines virtuelles dans le groupeVMs and Computers: The number of virtual machines in the group
    • État : état des recommandationsState: the state of the recommendations
    • Gravité : niveau de gravité des recommandationsSeverity: the severity level of the recommendations
  2. Cliquez sur un groupe pour ouvrir l’option Créer des règles de contrôle d’applications.Click on a group to open the Create application control rules option.

    Règles de contrôle d’application

  3. Dans Sélectionner les machines virtuelles, examinez la liste des machines virtuelles recommandées et décochez celles pour lesquelles vous ne souhaitez pas appliquer de stratégie de mise en liste verte d’application.In the Select VMs, review the list of recommended VMs and uncheck any you do not want to apply an application whitelisting policy to. Ensuite, deux listes sont affichées :Next, you see two lists:

    • Applications recommandées : liste des applications fréquentes sur les machines virtuelles de ce groupe et donc recommandées pour recevoir l’autorisation d’exécution.Recommended applications: a list of applications that are frequent on the VMs within this group, and are recommended to be allowed to run.
    • Plus d’applications : liste des applications qui sont moins fréquentes sur les machines virtuelles de ce groupe, ou qui sont appelées Exploitables (voir ci-dessous) et recommandées pour un examen.More applications: a list of applications that are either less frequent on the VMs within this group or that are known as Exploitables (see more below), and recommended for review.
  4. Examinez les applications dans chacune des listes, et décochez celles auxquelles vous ne souhaitez pas appliquer les règles.Review the applications in each of the lists, and uncheck any you do not want to apply. Chaque liste comprend les éléments suivants :Each list includes:

    • NOM : informations de certificat ou chemin d’accès complet de l’applicationNAME: the certificate information or the full path of an application
    • TYPES DE FICHIERS : type du fichier d’application.FILE TYPES: the application file type. Cela peut être EXE, Script, MSI, ou toute autre permutation de ces types.This can be EXE, Script, MSI, or any permutation of these types.
    • EXPLOITABLE : une icône d’avertissement indique si une application spécifique peut être utilisée par un attaquant pour ignorer une liste verte d’applications.EXPLOITABLE: a warning icon indicates if a specific application could be used by an attacker to bypass an application allow list. Nous vous recommandons de vérifier ces applications avant de les valider.It is recommended to review these applications prior to their approval.
    • UTILISATEURS : utilisateurs recommandés pour recevoir l’autorisation d’exécution d’une applicationUSERS: users that are recommended to be allowed to run an application
  5. Une fois que vous avez terminé vos sélections, sélectionnez Créer.Once you finish your selections, select Create.
    Une fois que vous avez sélectionné Créer, Azure Security Center crée automatiquement les règles appropriées sur la solution de liste verte d’applications intégrée disponible sur les serveurs Windows (AppLocker).After you select Create, Azure Security Center automatically creates the appropriate rules on top of the built-in application allow list solution available on Windows servers (AppLocker).

Notes

  • Security Center se base sur l’équivalent de deux semaines de données au minimum pour établir une ligne de base et remplir les recommandations uniques par groupe de machines virtuelles.Security Center relies on a minimum of two weeks of data in order to create a baseline and populate the unique recommendations per group of VMs. Les nouveaux clients du niveau Standard de Security Center peuvent s’attendre à un comportement dans lequel leurs groupes de machines virtuelles apparaîtront d’abord sous l’onglet Aucune recommandation.New customers of Security Center standard tier should expect a behavior in which at first their groups of VMs appear under the no recommendation tab.
  • Les contrôles d’application adaptative du Security Center ne prennent pas en charge les machines virtuelles pour lesquelles une stratégie AppLocker est déjà activée par un objet de stratégie de groupe (GPO) ou une stratégie de sécurité locale.Adaptive Application Controls from Security Center doesn’t support VMs for which an AppLocker policy is already enabled by either a GPO or a local security policy.
  • Afin d’assurer les meilleures pratiques de sécurité, Security Center essaie toujours de créer une règle d’éditeur pour les applications sélectionnées à autoriser. Si une application ne possède pas d’informations d’éditeur (l’application n’est pas signée), une règle de chemin d’accès est créée pour le chemin d’accès complet d’un fichier EXE spécifique.As a security best practice, Security Center will always try to create a publisher rule for applications that are selected to be allowed, and only if an application doesn’t have a publisher information (aka not signed), a path rule will be created for the full path of the specific application.

Modifier et surveiller un groupe configuré avec le contrôle d’applicationEditing and monitoring a group configured with application control

  1. Pour modifier et superviser un groupe configuré avec une stratégie de liste verte d’applications, retournez à la page Contrôles d’applications adaptatifs, puis sélectionnez CONFIGURÉ sous Groupes de machines virtuelles :To edit and monitor a group configured with an application allow list policy, return to the Adaptive application controls page and select CONFIGURED under Groups of VMs:

    Groupes

    Cette liste comprend les éléments suivants :The list includes:

    • Nom du groupe : nom de l’abonnement et du groupeGroup Name: the name of the subscription and group
    • Machines virtuelles et ordinateurs : nombre de machines virtuelles dans le groupeVMs and Computers: the number of virtual machines in the group
    • Mode : Le mode Audit journalise les tentatives d’exécution d’applications qui ne figurent pas dans la liste verte. Appliquer autorise l’exécution des applications seulement si elles figurent dans la liste verteMode: Audit mode will log attempts to run applications that aren't on the allow list; Enforce will not allow applications to run unless they are on the allow list
    • Alertes : toutes les violations en coursAlerts: any current violations
  2. Cliquez sur un groupe pour apporter des modifications à la page Modifier la stratégie de contrôle d’application.Click on a group to make changes in the Edit application control policy page.

    Protection

  3. Dans Mode de Protection, vous pouvez sélectionner une des options suivantes :Under Protection mode, you have the option to select between the following:

    • Audit : dans ce mode, la solution de contrôle d’application n’applique pas les règles et effectue uniquement les audits de l’activité des machines virtuelles protégées.Audit: in this mode, the application control solution does not enforce the rules, and only audits the activity on the protected VMs. Ce mode est recommandé pour les scénarios dont vous souhaitez tout d’abord observer le comportement global avant de bloquer l’exécution d’une application dans la machine virtuelle cible.This is recommended for scenarios where you want to first observe the overall behavior before blocking an app to run in the target VM.
    • Appliquer : dans ce mode, la solution de contrôle d’application applique les règles, puis s’assure que les applications n’ayant pas d’autorisation soient bloquées.Enforce: in this mode, the application control solution does enforce the rules, and makes sure that applications that are not allowed to run are blocked.

    Notes

    • Le mode de protection Appliquer est désactivé jusqu’à nouvel ordre.Enforce protection mode is disabled until further notice.
    • Comme nous l’avons indiqué précédemment, une nouvelle stratégie de contrôle d’application est toujours configurée par défaut dans le mode Audit.As previously mentioned, by default a new application control policy is always configured in Audit mode.
  4. Dans Extension de stratégie, ajoutez tout chemin d’application que vous souhaitez autoriser.Under Policy extension, add any application path that you want to allow. Une fois que vous ajoutez ces chemins, Security Center met à jour la stratégie de liste verte d’applications sur les machines virtuelles au sein du groupe de machines virtuelles sélectionné et crée les règles appropriées pour ces applications, en plus des règles déjà en place.After you add these paths, Security Center updates the application allow list policy on the VMs within the selected group of VMS and creates the appropriate rules for these applications, in addition to the rules that are already in place.

  5. Passez en revue les violations en cours répertoriées dans la section Alertes récentes.Review the current violations listed in the Recent alerts section. Cliquez sur chaque ligne pour être redirigé vers la page Alertes dans Azure Security Center et afficher toutes les alertes qui ont été détectées par Azure Security Center sur les machines virtuelles associées.Click on each line to be redirected to the Alerts page within Azure Security Center, and view all the alerts that were detected by Azure Security Center on the associated VMs.

    • Alertes : toutes les violations enregistrées.Alerts: any violations that were logged.
    • Nombre de machines virtuelles : le nombre de machines virtuelles avec ce type d’alerte.No. of VMs: the number of virtual machines with this alert type.
  6. Sous Règles de mise en liste verte de l’éditeur, Règles de mise en liste verte des chemins d’accès, et Règles de mise en liste verte de hachage, vous pouvez voir les règles de mise en liste verte des applications actuellement configurées sur les machines virtuelles au sein d’un groupe, en fonction du type de regroupement de règles.Under Publisher whitelisting rules, Path whitelisting rules, and Hash whitelisting rules you can see which application whitelisting rules are currently configured on the VMs within a group, according to the rule collection type. Pour chaque règle, vous pouvez découvrir :For each rule you can see:

    • Règle : paramètres spécifiques en fonction desquels une application est examinée par AppLocker pour déterminer si une application est autorisée à s’exécuter.Rule: The specific parameters according to which an application is examined by AppLocker to determine if an application is allowed to run.
    • Type de fichier : types de fichiers couverts par une règle spécifique.File type: The file types that are covered by a specific rule. Il peut s’agir d’un des éléments suivants : EXE, Script, MSI ou toute autre permutation de ces types de fichiers.This can be any of the following: EXE, Script, MSI, or any permutation of those file types.
    • Utilisateurs : nom ou nombre d’utilisateurs autorisés à exécuter une application couverte par une règle de mise en liste verte des applications.Users: Name or number of users who are allowed to run an application that is covered by an application whitelisting rule.

    Règles de mise en liste verte

  7. Cliquez sur les trois points à la fin de chaque ligne si vous souhaitez supprimer une règle spécifique ou modifier les utilisateurs autorisés.Click on the three dots at the end of each line if you want to delete the specific rule or edit the allowed users.

  8. Après avoir apporté des modifications à une stratégie de contrôles d’application adaptatifs, cliquez sur Enregistrer.After making changes to an Adaptive application controls policy, click Save.

Security Center ne recommande des stratégies de mise en liste verte des applications que pour les machines virtuelles exécutant un ensemble stable d’applications.Security Center only recommends application whitelisting policies for virtual machines running a stable set of applications. Les recommandations ne sont pas créées si les applications sur les machines virtuelles associées sont en cours de modification.Recommendations are not created if applications on the associated VMs keep changing.

Recommandation

La liste contient :The list contains:

  • Nom du groupe : nom de l’abonnement et du groupeGroup Name: the name of the subscription and group
  • Machines virtuelles et ordinateurs : nombre de machines virtuelles dans le groupeVMs and Computers: the number of virtual machines in the group

Azure Security Center vous permet également de définir une stratégie de mise en liste verte des applications sur des groupes non recommandés de machines virtuelles.Azure Security Center enables you to define an application whitelisting policy on non-recommended groups of VMs as well. Suivez les mêmes principes que ceux indiqués précédemment, pour configurer une stratégie de mise en liste verte des applications sur ces groupes.Follow the same principles as were previously described, to configure an application whitelisting policy on those groups as well.

Déplacer une machine virtuelle d’un groupe à un autreMove a VM from one group to another

Lorsque vous déplacez une machine virtuelle d’un groupe à un autre, la stratégie de contrôle des applications qui lui est appliquée change en fonction des paramètres du groupe de destination.When you move a VM from one group to another, the application control policy applied to it changes to the settings of the group that you moved it to. Vous pouvez aussi déplacer une machine virtuelle d’un groupe configuré vers un groupe non configuré, ce qui supprime toute stratégie de contrôle d’application précédemment appliquée à une machine virtuelle.You can also move a VM from a configured group to a non-configured group, which results in removing any application control policy that was previously applied to the VM.

  1. Sur la page Contrôles d’application adaptatifs, dans l’onglet CONFIGURÉS, cliquez sur le groupe auquel appartient la machine virtuelle à déplacer.From the Adaptive application controls page, from the CONFIGURED tab, click the group which the VM to be moved currently belongs to.

  2. Cliquez sur Machines virtuelles et ordinateurs configurés.Click Configured VMs and Computers.

  3. Cliquez sur les points de suspension de la ligne de la machine virtuelle à déplacer, puis cliquez sur Déplacer.Click the three dots in the line of the VM to move and click Move. La fenêtre Déplacer l’ordinateur vers un autre groupe s’ouvre.The Move computer to different group window opens.

    Protection

  4. Sélectionnez le groupe vers lequel déplacer la machine virtuelle, puis cliquez sur Déplacer l’ordinateur, et enfin sur Enregistrer.Select the group to move the VM to, and click Move Computer, and click Save.

    Protection

Notes

Veillez à cliquer sur Enregistrer après avoir cliqué sur Déplacer l’ordinateur.Be sure to click Save after clicking Move Computer. Si vous ne cliquez pas sur Enregistrer, l’ordinateur ne sera pas déplacé.If you do not click Save, then the computer will not be moved.

Étapes suivantesNext steps

Dans ce document, vous avez découvert comment utiliser les contrôles d’application adaptatifs dans Azure Security Center afin d’inclure dans une liste verte des applications s’exécutant sur les machines virtuelles Azure et non Azure.In this document, you learned how to use adaptive application control in Azure Security Center to whitelist applications running in Azure and non-Azure VMs. Pour plus d’informations sur le Centre de sécurité Azure, consultez les rubriques suivantes :To learn more about Azure Security Center, see the following: