Adaptív alkalmazásvezérlők használata a gépek támadási felületének csökkentéséhez

Megjegyzés

Azure Security Center és Azure Defender neve mostantól Microsoft Defender for Cloud. A csomagokat Microsoft Defender-csomagokra Azure Defender át. A microsoftos Azure Defender például Storage Microsoft Defender for Storage.

További információ a Microsoft biztonsági szolgáltatásainak legutóbbi átnanatálásáról.

Ismerje meg a Microsoft Defender előnyeit a Cloud adaptív alkalmazásvezérlői számára, és megtudhatja, hogyan javíthatja a biztonságot ezzel az adatvezérelt, intelligens funkcióval.

Mik azok az adaptív alkalmazásvezérlők?

Az adaptív alkalmazásvezérlők intelligens és automatizált megoldások, amelyek lehetővé teszik az ismerten biztonságos alkalmazások listáinak definiálása a gépeken.

A szervezetek gyakran olyan gépgyűjteményekkel is vannak, amelyek rendszeresen ugyanazt a folyamatot futtatják. A Microsoft Defender for Cloud gépi tanulással elemzi a gépeken futó alkalmazásokat, és létrehoz egy listát az ismerten biztonságos szoftverekről. Az engedélyező listák az adott Azure-beli számítási feladatokon alapulnak, a javaslatokat pedig az alábbi utasítások alapján testreszabhatja.

Ha engedélyezte és konfigurálta az adaptív alkalmazásvezérlőket, biztonsági riasztásokat kap, ha bármely alkalmazás nem a biztonságosként definiált alkalmazásokat futtatja.

Milyen előnyökkel jár az adaptív alkalmazásvezérlők használata?

Az ismerten biztonságos alkalmazások listáinak definiálása és riasztások generálása bármely más alkalmazás végrehajtásakor több felügyeleti és megfelelőségi cél elérésére is képes:

  • Azonosítsa a potenciális kártevőket, még azokat is, amelyek kihagyhatóak a kártevőirtó megoldások által
  • A csak a licencelt szoftverek használatát előírjákó helyi biztonsági szabályzatok megfelelőségét javítja
  • Az alkalmazások elavult vagy nem támogatott verzióinak azonosítása
  • Azonosítsa azokat a szoftvereket, amelyek a szervezet által tiltottak, de továbbra is futnak a gépeken
  • A bizalmas adatokhoz hozzáférő alkalmazások felügyeletének növelése

Jelenleg nincsenek kényszerítési lehetőségek. Az adaptív alkalmazásvezérlők célja, hogy biztonsági riasztásokat adjanak, ha az Ön által biztonságosként meghatározottakon kívül bármilyen alkalmazás fut.

Rendelkezésre állás

Szempont Részletek
Kiadási állapot: Általános rendelkezésre állás (GA)
Árképzés: A kiszolgálókhoz a Microsoft Defender szükséges
Támogatott gépek: Azure-beli és nem Azure-beli gépek Windows Linuxon
Azure Arc gépek
Szükséges szerepkörök és engedélyek: A Biztonsági olvasó és az Olvasó szerepkör a csoportokat és az ismerten biztonságos alkalmazások listáját is megtekintheti
A közreműködői és biztonsági rendszergazdai szerepkörök a csoportokat és az ismert biztonságos alkalmazások listáját is szerkeszthetik
Felhők: Kereskedelmi felhők
Országos (Azure Government, Azure China 21Vianet)

Alkalmazásvezérlők engedélyezése gépek egy csoportján

Ha a Microsoft Defender for Cloud olyan gépcsoportokat azonosított az előfizetésében, amelyek konzisztensen hasonló alkalmazásokat futtatnak, a rendszer a következő javaslatot fogja kérni: A biztonságos alkalmazások meghatározásához szükséges adaptív alkalmazásvezérlőket engedélyezni kell a gépeken.

Válassza ki a javaslatot, vagy nyissa meg az adaptív alkalmazásvezérlők lapot a javasolt, ismerten biztonságos alkalmazások és gépcsoportok listájának megtekintéséhez.

  1. Nyissa meg a Számítási feladatok védelme irányítópultot, és a speciális védelem területen válassza az Adaptív alkalmazásvezérlők lehetőséget.

    Adaptív alkalmazásvezérlők megnyitása az Azure-irányítópultról.

    Megnyílik az Adaptív alkalmazásvezérlők lap, és a virtuális gépeket a következő lapokra csoportosítja:

    • Konfigurálva – Olyan gépek csoportjai, amelyek már rendelkezik meghatározott alkalmazás-engedélyezőlistával. A konfigurált lapon minden csoportnál a következő látható:

      • a csoportban a gépek száma
      • legutóbbi riasztások
    • Ajánlott – Olyan gépek csoportjai, amelyek konzisztensen futtatják ugyanazt az alkalmazást, és nincsenek konfigurálva az engedélyezőlistával. Javasoljuk, hogy engedélyezze az adaptív alkalmazásvezérlőket ezekhez a csoportokhoz.

      Tipp

      Ha a "REVIEWGROUP" előtaggal lát egy csoportnevet, akkor az alkalmazások részlegesen konzisztens listáját tartalmazó gépeket tartalmaz. A Microsoft Defender for Cloud nem lát mintát, de javasolja ennek a csoportnak az áttekintését, hogy manuálisan definiálhat-e adaptív alkalmazásvezérlő szabályokat a csoport adaptív alkalmazásvezérlő-szabályának szerkesztésével kapcsolatos cikk alapján.

      A gépeket ebből a csoportból más csoportokba is áthelyezheti a Gépek áthelyezése egy csoportból egy másikba.

    • Nincs javaslat – Olyan gépek, amelyekhez nincs megadva az alkalmazások listájának engedélyezése, és amelyek nem támogatják a funkciót. A gépe a következő okokból lehet ezen a lapon:

      • Hiányzik egy Log Analytics-ügynök
      • A Log Analytics-ügynök nem küld eseményeket
      • Ez egy olyan Windows gép, amely egy csoportházirend-objektum vagy egy helyi biztonsági házirend által engedélyezett, már létező AppLocker-házirendet is engedélyez

      Tipp

      A Defender for Cloudnak legalább két hét adatra van szüksége az egyedi javaslatok gépcsoportonkénti meghatározásához. Azok a nemrégiben létrehozott gépek, vagy amelyek olyan előfizetésekhez tartoznak, amelyeket csak a Microsoft Defender véd a kiszolgálókhoz, a Nincs javaslat lapon jelennek meg.

  2. Nyissa meg az Ajánlott lapot. Megjelenik az ajánlott engedélyezőlistákkal a gépek csoportjai.

    Ajánlott lap.

  3. Válasszon ki egy csoportot.

  4. Az új szabály konfigurálásához tekintse át a Configure application control rules (Alkalmazásvezérlési szabályok konfigurálása) lap különböző szakaszait, valamint annak tartalmát, amelyek a gépek adott csoportján belül egyediek lesznek:

    Konfigurál egy új szabályt.

    1. Gépek kiválasztása – Alapértelmezés szerint az azonosított csoportban minden gép ki van választva. Törölje az egyik kijelölését a szabályból való eltávolításukhoz.

    2. Ajánlott alkalmazások – Tekintse át azon alkalmazások listáját, amelyek közösek a csoportban található gépeken, és ajánlott a futtatás.

    3. További alkalmazások – Tekintse át ezt a listát azokról az alkalmazásokról, amelyek ritkábban láthatók a csoportban található gépeken, vagy amelyekről ismert, hogy kihasználhatók. A figyelmeztető ikon azt jelzi, hogy a támadók egy adott alkalmazás segítségével megkerülhetik az alkalmazások engedélyezőlistát. Javasoljuk, hogy alaposan tekintse át ezeket az alkalmazásokat.

      Tipp

      Mindkét alkalmazáslista lehetővé teszi egy adott alkalmazás adott felhasználókra való korlátozását. Amikor csak lehetséges, a legkisebb jogosultság elvének elfogadása.

      Az alkalmazásokat a közzétevőik határozzák meg, ha egy alkalmazás nem tartalmaz közzétevői információt (nincs aláírva), akkor létrejön egy elérésiút-szabály az adott alkalmazás teljes elérési útjával.

    4. A szabály alkalmazáshoz válassza a Naplózás lehetőséget.

Csoport adaptív alkalmazásvezérlési szabályának szerkesztése

Dönthet úgy, hogy a szervezet ismert változásai miatt szerkeszti a gépek egy csoportjának engedélyezőlistát.

A gépek egy csoportjára vonatkozó szabályok szerkesztése:

  1. Nyissa meg a Számítási feladatok védelme irányítópultot, és a speciális védelem területen válassza az Adaptív alkalmazásvezérlők lehetőséget.

  2. A Konfigurált lapon válassza ki azt a csoportot, amely a szerkeszteni kívánt szabályt adja meg.

  3. Tekintse át az Alkalmazásvezérlési szabályok konfigurálása lap különböző szakaszait az Adaptív alkalmazásvezérlők engedélyezése gépek egy csoportján szakaszban leírtak szerint.

  4. Igény szerint hozzáadhat egy vagy több egyéni szabályt:

    1. Válassza a Szabály hozzáadása lehetőséget.

      Adjon hozzá egy egyéni szabályt.

    2. Ha ismert biztonságos útvonalat definiál, módosítsa a Szabály típusát "Elérési út" típusra, és adjon meg egyetlen elérési utat. Helyettesítő karaktereket is tartalmazhat az elérési útban.

      Tipp

      Néhány forgatókönyv, amelyekben hasznosak lehetnek az elérési út helyettesítő karakterei:

      • Helyettesítő karakter használata az elérési út végén a mappában és az almappákban található összes végrehajtható fájl engedélyezése érdekében.
      • Helyettesítő karakter használata egy elérési út közepén egy változó mappanévvel (például egy ismert végrehajtható fájlt, automatikusan létrehozott mappaneveket stb.) tartalmazó személyes felhasználói mappa engedélyezéséhez.
    3. Határozza meg az engedélyezett felhasználókat és a védett fájltípusokat.

    4. Ha befejezte a szabály definiálása, válassza a Hozzáadás lehetőséget.

  5. A módosítások alkalmazáshoz válassza a Mentés lehetőséget.

Csoport beállításainak áttekintése és szerkesztése

  1. A csoport részleteinek és beállításainak megtekintéséhez válassza a Csoportbeállítások lehetőséget.

    Ezen a panelen látható a csoport neve (amely módosítható), az operációs rendszer típusa, a hely és egyéb releváns részletek.

    Az adaptív alkalmazásvezérlők csoportbeállítási oldala.

  2. Ha szeretné, módosíthatja a csoport nevét vagy fájltípus-védelmi módjai.

  3. Válassza az Alkalmaz és a Mentés lehetőséget.

Válasz az "Adaptív alkalmazásvezérlési szabályzat engedélyezési szabályainak frissítése" javaslatra

Ez a javaslat akkor látható, ha a Defender for Cloud gépi tanulása olyan, potenciálisan megbízható viselkedést azonosít, amely korábban nem volt engedélyezett. A javaslat új szabályokat javasol a meglévő definíciókhoz a téves riasztások számának csökkentése érdekében.

A problémák megoldása:

  1. A javaslatok lapon válassza ki az adaptív alkalmazásvezérlési szabályzat frissíteni kívánt szabályainak engedélyezési listára vonatkozó szabályait, hogy lássa az újonnan azonosított, potenciálisan megbízható viselkedéssel bíró csoportokat.

  2. Válassza ki azt a csoportot, amely a szerkeszteni kívánt szabályt adja meg.

  3. Tekintse át az Alkalmazásvezérlési szabályok konfigurálása lap különböző szakaszait az Adaptív alkalmazásvezérlők engedélyezése gépek egy csoportján szakaszban leírtak szerint.

  4. A módosítások alkalmazáshoz válassza a Naplózás lehetőséget.

Riasztások és szabálysértések naplózása

  1. Nyissa meg a Számítási feladatok védelme irányítópultot, és a Speciális védelem területen válassza az Adaptív alkalmazásvezérlők lehetőséget.

  2. A legutóbbi riasztásokat figyelő gépekkel kapcsolatos csoportokért tekintse át a Konfigurált lapon felsorolt csoportokat.

  3. A további vizsgálathoz válasszon ki egy csoportot.

    Legutóbbi riasztások.

  4. A további részletekért és az érintett gépek listájáért válasszon ki egy riasztást.

    A riasztások oldal a riasztások további részleteit jeleníti meg, és a Művelet javaslatokat tartalmazó Művelet hivatkozással jelzi, hogyan mérsékelhető a fenyegetés.

    Az adaptív alkalmazásvezérlő riasztások kezdési ideje az az idő, amikor az adaptív alkalmazásvezérlők létrehozták a riasztást.

    Megjegyzés

    Az adaptív alkalmazásvezérlők 12 óránként számítják ki az eseményeket. A riasztások lapon látható "tevékenység kezdési ideje" az az időpont, amikor az adaptív alkalmazásvezérlők létrehozták a riasztást, nem pedig az az idő, amikor a gyanús folyamat aktív volt.

Gép áthelyezése egyik csoportból a másikba

Amikor egy gépet áthelyez egy csoportból egy másikba, az arra alkalmazott alkalmazásvezérlési szabályzat annak a csoportnak a beállításaira módosul, amelybe áthelyezte. A gépeket át is mozgathatja egy konfigurált csoportból egy nem konfigurált csoportba, ezzel eltávolítja a gépre alkalmazott alkalmazásvezérlési szabályokat.

  1. Nyissa meg a Számítási feladatok védelme irányítópultot, és a Speciális védelem területen válassza az Adaptív alkalmazásvezérlők lehetőséget.

  2. Az Adaptív alkalmazásvezérlők lapon, a Konfigurálva lapon válassza ki az áthelyezni kívánt gépet tartalmazó csoportot.

  3. Nyissa meg a Konfigurált gépek listáját.

  4. Nyissa meg a gép menüjét a sor végén található három pontból, majd válassza az Áthelyezés lehetőséget. Megnyílik a Gép áthelyezése másik csoportba panel.

  5. Válassza ki a célcsoportot, majd válassza a Gép áthelyezése lehetőséget.

  6. Kattintson a Mentés gombra a módosítások mentéséhez.

Alkalmazásvezérlők kezelése a REST API

Az adaptív alkalmazásvezérlők programozott kezeléséhez használja a REST API.

A kapcsolódó API-dokumentáció a Defender for Cloud API dokumentációjának Adaptív alkalmazásvezérlők szakaszában érhető el.

Néhány függvény, amely elérhető a REST API:

  • A List (Lista) lekéri az összes csoportra vonatkozó javaslatot, és egy JSON-t biztosít minden csoporthoz egy objektummal.

  • Lekéri a JSON-t a teljes javaslatadatokkal (vagyis a gépek listájával, közzétevői/elérésiút-szabályokkal stb.).

  • A Put konfigurálja a szabályt (használja a Lekéréssel lekért JSON-t a kérés törzseként).

    Fontos

    A Put függvény kevesebb paramétert vár, mint a Get parancs által visszaadott JSON.

    Távolítsa el a következő tulajdonságokat, mielőtt a JSON-t használná a Put kérésben: recommendationStatus, configurationStatus, issues, location és sourceSystem.

Gyakori kérdések – Adaptív alkalmazásvezérlők

Van lehetőség az alkalmazásvezérlők kényszerítésében?

Jelenleg nincsenek kényszerítési lehetőségek. Az adaptív alkalmazásvezérlők célja, hogy biztonsági riasztásokat adjanak, ha az Ön által biztonságosként meghatározottakon kívül bármilyen alkalmazás fut. Számos előnyt kínálnak (mik az adaptív alkalmazásvezérlőkelőnyei?),és rendkívül testreszabhatók, ahogy ezen az oldalon is látható.

A Kiszolgálókhoz való Microsoft Defender további költségek nélkül tartalmazza a biztonsági rések keresését a gépeken. Nincs szükség Qualys-licencre vagy akár Qualys-fiókra – a Defender for Cloudon belül minden problémamentesen kezelhető. A vizsgálat részleteiért és a telepítésével kapcsolatos utasításokért lásd: Defender for Cloud's integrated Qualys vulnerability assessment solution (A Defender for Cloud integrált Qualys sebezhetőség-felmérési megoldása).

Annak érdekében, hogy ne generáljon riasztást, amikor a Defender for Cloud telepíti a scannert, az adaptív alkalmazásvezérlők ajánlott engedélyező listája tartalmazza az összes gép képolvasóját.

Következő lépések

Ezen az oldalon megtanulta, hogyan használhatja az adaptív alkalmazásvezérlést a Microsoft Defender for Cloudban az Azure-beli és nem Azure-beli gépeken futó alkalmazások listáinak meghatározásához. További információ a felhőbeli számítási feladatok egyéb védelmi funkcióiról: