A hálózati biztonsági állapotának javítása adaptív hálózatmegerősítéssel

Az adaptív hálózatmegerősítés a Microsoft Defender for Cloud ügynök nélküli funkciója – a hálózatmegerősítő eszköz használatához semmit sem kell telepíteni a gépekre.

Ez az oldal bemutatja, hogyan konfigurálhatja és kezelheti az adaptív hálózatmegszűkítést a Defender for Cloudban.

Rendelkezésre állás

Szempont Részletek
Kiadási állapot: Általános rendelkezésre állás (GA)
Árképzés: A Microsoft Defender for Servers 2. csomagjának szükséges
Szükséges szerepkörök és engedélyek: Írási engedélyek a gép NSG-ihez
Felhők: Kereskedelmi felhők
National (Azure Government, Azure China 21Vianet)
Csatlakoztatott AWS-fiókok

Mi az az adaptív hálózatmegszűkítés?

Ha hálózati biztonsági csoportokat (NSG-t) alkalmaz az erőforrások bejövő és kimenő forgalmának szűrésére, javítja a hálózati biztonsági helyzetet. Vannak azonban olyan esetek, amikor az NSG-n áthaladó tényleges forgalom az NSG-szabályok meghatározott részhalmaza. Ezekben az esetekben a biztonsági helyzet további javítása az NSG-szabályoknak a tényleges forgalmi mintákon alapuló szigorításával érhető el.

Az adaptív hálózatmegszűkítés javaslatokat tesz az NSG-szabályok további szigorítására. Egy olyan gépi tanulási algoritmust használ, amely figyelembe veszi a tényleges forgalmat, az ismert megbízható konfigurációt, a fenyegetésekkel kapcsolatos információkat és a biztonsági incidensekkel kapcsolatos egyéb tényezőket, majd javaslatokat biztosít arra vonatkozóan, hogy csak bizonyos IP-/portrekordokból származó forgalmat engedélyezzen.

Tegyük fel például, hogy a meglévő NSG-szabály engedélyezi a 140.20.30.10/24-ről érkező forgalmat a 22-s porton. A forgalomelemzés alapján az adaptív hálózatmegszűkítés azt javasolhatja, hogy szűkítse a tartományt a 140.23.30.10/29-ről érkező forgalom engedélyezéséhez, és tiltsa le az adott portra érkező összes többi forgalmat. A támogatott portok teljes listájáért tekintse meg a gyakori kérdéseket tartalmazó bejegyzést, mely portok támogatottak?

  1. A Defender for Cloud menüjében nyissa meg a Workload Protections irányítópultot.

  2. Válassza ki az adaptív hálózatmegszűkítés csempét (1), vagy az adaptív hálózatmegszűkítéshez kapcsolódó Elemzések panelelemet (2).

    Az adaptív hálózatmegtartó eszközök elérése.

    Tipp

    Az Elemzések panelen látható, hogy jelenleg hány virtuális gép védhető adaptív hálózatkeményítéssel.

  3. Megnyílik az adaptív hálózatmegszűkítési javaslatok részletező oldala az internetkapcsolattal rendelkező virtuális gépekre vonatkozó javaslatokkal, a hálózati virtuális gépek három lapra csoportosítva:

    • Nem megfelelő állapotú erőforrások: Azok a virtuális gépek, amelyek jelenleg javaslatokkal és riasztásokkal rendelkeznek, amelyeket az adaptív hálózatmegerősítési algoritmus futtatásával aktiváltak.
    • Kifogástalan erőforrások: riasztások és javaslatok nélküli virtuális gépek.
    • Be nem vizsgált erőforrások: Azok a virtuális gépek, amelyeken az adaptív hálózatmegerősítési algoritmus nem futtatható az alábbi okok egyike miatt:
      • A virtuális gépek klasszikus virtuális gépek: Csak az Azure Resource Manager virtuális gépek támogatottak.
      • Nem áll rendelkezésre elegendő adat: A forgalom pontos korlátozására vonatkozó javaslatok létrehozásához a Defender for Cloud legalább 30 napos adatforgalmi adatot igényel.
      • A virtuális gépet nem védi a Microsoft Defender for Servers: Csak a Microsoft Defender for Servers által védett virtuális gépek jogosultak erre a funkcióra.

    Az adaptív hálózatmegszűkítési javaslatok részletező oldalát az internetkapcsolattal rendelkező virtuális gépeken kell alkalmazni.

  4. A Nem kifogástalan állapotú erőforrások lapon válasszon ki egy virtuális gépet a riasztások és az alkalmazandó ajánlott korlátozási szabályok megtekintéséhez.

    • A Szabályok lap felsorolja azokat a szabályokat, amelyeket az adaptív hálózatmegszűkítés javasolt
    • A Riasztások lap felsorolja azokat a riasztásokat, amelyek az erőforrás felé áramló forgalom miatt jöttek létre, amely nem esik az ajánlott szabályokban engedélyezett IP-címtartományba.
  5. Ha szeretné, szerkessze a szabályokat:

  6. Jelölje ki az NSG-n alkalmazni kívánt szabályokat, és válassza a Kényszerítés lehetőséget.

    Tipp

    Ha az engedélyezett forrás IP-tartományok "Nincs" állapotúként jelennek meg, az azt jelenti, hogy az ajánlott szabály megtagadási szabály, ellenkező esetben engedélyezési szabály.

    Adaptív hálózatmegszűkítési szabályok kezelése.

    Megjegyzés

    A rendszer hozzáadja a kényszerített szabályokat a virtuális gépet védő NSG-khez. (A virtuális gépeket védheti egy hálózati adapterhez társított NSG, vagy a virtuális gép alhálózata, vagy mindkettő)

Szabály módosítása

Érdemes lehet módosítani egy ajánlott szabály paramétereit. Módosíthatja például az ajánlott IP-címtartományokat.

Néhány fontos irányelv az adaptív hálózatmegszűkítési szabályok módosításához:

Adaptív hálózatmegszűkítési szabály módosítása:

  1. Egy szabály egyes paramétereinek módosításához a Szabályok lapon válassza a szabály sorának végén található három pont (...) elemet, és válassza a Szerkesztés lehetőséget.

    Szerkessze az s szabályt.

  2. A Szabály szerkesztése ablakban frissítse a módosítani kívánt adatokat, és válassza a Mentés lehetőséget.

    Megjegyzés

    A Mentés gomb kiválasztása után sikeresen módosította a szabályt. Azonban nem alkalmazta az NSG-re. Az alkalmazáshoz ki kell választania a szabályt a listában, és ki kell választania a Kényszerítés lehetőséget (a következő lépésben leírtak szerint).

    Válassza a Mentés lehetőséget.

  3. A frissített szabály alkalmazásához válassza ki a frissített szabályt a listából, és válassza a Kényszerítés lehetőséget.

    kényszerítse ki a szabályt.

Új szabály hozzáadása

Hozzáadhat olyan "engedélyezési" szabályt, amelyet a Defender for Cloud nem ajánlott.

Megjegyzés

Itt csak az "engedélyezés" szabályok adhatók hozzá. Ha "megtagadási" szabályokat szeretne hozzáadni, ezt közvetlenül az NSG-n teheti meg. További információ: Hálózati biztonsági csoport létrehozása, módosítása vagy törlése.

Adaptív hálózati korlátozási szabály hozzáadása:

  1. A felső eszköztáron válassza a Szabály hozzáadása lehetőséget.

    szabály hozzáadása gombra.

  2. Az Új szabály ablakban adja meg a részleteket, és válassza a Hozzáadás lehetőséget.

    Megjegyzés

    A Hozzáadás lehetőség kiválasztása után sikeresen hozzáadta a szabályt, és megjelenik a többi ajánlott szabály mellett. Azonban nem alkalmazta az NSG-n. Az aktiváláshoz ki kell jelölnie a szabályt a listában, és ki kell választania a Kényszerítés lehetőséget (a következő lépésben leírtak szerint).

  3. Az új szabály alkalmazásához válassza ki az új szabályt a listából, és válassza a Kényszerítés lehetőséget.

    kényszerítse ki a szabályt.

Szabály törlése

Szükség esetén törölheti az aktuális munkamenet ajánlott szabályát. Például megállapíthatja, hogy egy javasolt szabály alkalmazása blokkolhatja a jogszerű forgalmat.

Az aktuális munkamenet adaptív hálózati korlátozási szabályának törlése:

  • A Szabályok lapon jelölje ki a szabály sorának végén található három elemet (...), és válassza a Törlés lehetőséget.

    Szabály törlése.

Gyakori kérdések – Adaptív hálózatmegszűkítés

Mely portok támogatottak?

Az adaptív hálózatmegszűrési javaslatok csak az alábbi konkrét portokon támogatottak (UDP és TCP esetén egyaránt):

13, 17, 19, 22, 23, 53, 69, 81, 111, 119, 123, 135, 137, 138, 139, 161, 162, 389, 445, 512, 514, 593, 636, 873, 1433, 1434, 1900, 2049, 2301, 2323, 2381, 3268, 3306, 3389, 4333, 5353, 5432, 5555, 5800, 5900, 5900, 5985, 5986, 6379, 6379, 7000, 7001, 7199, 8081, 8089, 8545, 9042, 9160, 9300, 11211, 16379, 26379, 27017, 37215

Vannak előfeltételek vagy virtuálisgép-bővítmények az adaptív hálózatmegkeményítéshez?

Az adaptív hálózatmegerősítés a Microsoft Defender for Cloud ügynök nélküli funkciója – a hálózatmegerősítő eszköz használatához semmit sem kell telepíteni a gépekre.

Mikor érdemes "Az összes forgalom megtagadása" szabályt használni?

Az összes forgalmi szabály elutasítása akkor ajánlott, ha az algoritmus futtatása miatt a Defender for Cloud nem azonosítja az engedélyezni kívánt forgalmat a meglévő NSG-konfiguráció alapján. Ezért az ajánlott szabály az, hogy a megadott portra történő összes forgalmat megtagadja. Az ilyen típusú szabály neve "Rendszer generálva" néven jelenik meg. A szabály kényszerítése után az NSG-ben a tényleges neve a protokollból, a forgalom irányából, a "DENY" és egy véletlenszerű számból álló sztring lesz.