Adaptív alkalmazásvezérlők használata a gépek támadási felületének csökkentéséhez

Megismerheti a Microsoft Defender for Cloud adaptív alkalmazásvezérlőinek előnyeit, és megtudhatja, hogyan javíthatja a biztonságot ezzel az adatvezérelt, intelligens funkcióval.

Mik azok az adaptív alkalmazásvezérlők?

Az adaptív alkalmazásvezérlők intelligens és automatizált megoldások a gépek ismert biztonságos alkalmazásainak engedélyezési listájának meghatározásához.

A szervezetek gyakran rendelkeznek olyan gépgyűjteményekkel, amelyek rendszeresen ugyanazokat a folyamatokat futtatják. A Microsoft Defender for Cloud gépi tanulással elemzi a gépeken futó alkalmazásokat, és létrehozza az ismert biztonságos szoftverek listáját. Az engedélyezési listák az Adott Azure-beli számítási feladatokon alapulnak, és az alábbi utasítások segítségével tovább testre szabhatja a javaslatokat.

Ha engedélyezte és konfigurálta az adaptív alkalmazásvezérlőket, biztonsági riasztásokat kap, ha bármely alkalmazás a biztonságosként definiálttól eltérően fut.

Mik az adaptív alkalmazásvezérlők előnyei?

Az ismert biztonságos alkalmazások listáinak meghatározásával és riasztások létrehozásával, amikor bármi más is fut, több felügyeleti és megfelelőségi célt is elérhet:

• Azonosítsa a potenciális kártevőket, még azokat is, amelyeket a kártevőirtó megoldások kihagyhatnak
• A csak licencelt szoftverek használatát diktáló helyi biztonsági szabályzatoknak való megfelelés javítása
• Az alkalmazások elavult vagy nem támogatott verzióinak azonosítása
• Azonosítsa a szervezet által tiltott, de mégis a gépeken futó szoftvereket
• A bizalmas adatokhoz hozzáférő alkalmazások felügyeletének növelése

Jelenleg nem érhetők el kényszerítési lehetőségek. Az adaptív alkalmazásvezérlők biztonsági riasztásokat biztosítanak, ha bármely alkalmazás a biztonságosként definiálttól eltérően fut.

Rendelkezésre állás

Szempont	Részletek
Kiadási állapot:	Általános rendelkezésre állás (GA)
Árképzés:	A Microsoft Defender for Servers 2. csomagjának szükséges
Támogatott gépek:	Windowst és Linuxot futtató Azure-beli és nem Azure-beli gépek Azure Arc-gépek
Szükséges szerepkörök és engedélyek:	A biztonsági olvasó és olvasó szerepkörök megtekinthetik a csoportokat és az ismert biztonságos alkalmazások listáját A közreműködői és biztonsági Rendszergazda szerepkörök szerkeszthetik a csoportokat és az ismert biztonságos alkalmazások listáját
Felhők:	Kereskedelmi felhők National (Azure Government, Azure China 21Vianet) Csatlakoztatott AWS-fiókok

Alkalmazásvezérlők engedélyezése egy gépcsoporton

Ha a Microsoft Defender for Cloud olyan gépek csoportjait azonosította az előfizetéseiben, amelyek folyamatosan hasonló alkalmazáskészletet futtatnak, a rendszer a következő javaslatot fogja kérni: A biztonságos alkalmazások meghatározásához szükséges adaptív alkalmazásvezérlőket engedélyezni kell a gépeken.

Válassza ki a javaslatot, vagy nyissa meg az adaptív alkalmazásvezérlők lapot a javasolt ismert biztonságos alkalmazások és gépcsoportok listájának megtekintéséhez.

1. Nyissa meg a Számítási feladatok védelme irányítópultot, és a speciális védelmi területen válassza az Adaptív alkalmazásvezérlők lehetőséget.

   

   Megnyílik az Adaptív alkalmazásvezérlők lap, amelyen a virtuális gépek a következő lapokba lesznek csoportosítva:

   • Konfigurálva – Olyan gépek csoportjai, amelyek már rendelkeznek az alkalmazások meghatározott engedélyezési listájával. Az egyes csoportokhoz a konfigurált lap a következőt jeleníti meg:

     • a csoportban lévő gépek száma
     • legutóbbi riasztások

   • Ajánlott – Olyan gépek csoportjai, amelyek konzisztensen futtatják ugyanazokat az alkalmazásokat, és nincsenek konfigurálva engedélyezési listák. Javasoljuk, hogy engedélyezze az adaptív alkalmazásvezérlőket ezekhez a csoportokhoz.

     Tipp

     Ha egy "REVIEWGROUP" előtagú csoportnév jelenik meg, az alkalmazáslistát részben konzisztens gépeket tartalmaz. A Microsoft Defender for Cloud nem lát mintát, de azt javasolja, hogy tekintse át ezt a csoportot, és ellenőrizze , hogy definiálhat-e manuálisan néhány adaptív alkalmazásvezérlő-szabályt a csoport adaptív alkalmazásvezérlő-szabályának szerkesztésével kapcsolatban.

     A gépeket át is helyezheti ebből a csoportból más csoportokba a gépek egyik csoportból a másikba történő áthelyezésével foglalkozó cikkben leírtak szerint.

   • Nincs javaslat – Az alkalmazások meghatározott engedélyezési listájával nem rendelkező gépek, amelyek nem támogatják a funkciót. A gép a következő okok miatt lehet ezen a lapon:

     • Hiányzik egy Log Analytics-ügynök
     • A Log Analytics-ügynök nem küld eseményeket
     • Ez egy Windows rendszerű gép, amelyen egy csoportházirend-objektum vagy egy helyi biztonsági házirend által engedélyezett, már meglévő AppLocker-házirend van engedélyezve
     • Az AppLocker nem érhető el (Windows Server Core telepítések)

     Tipp

     A Defender for Cloudnak legalább két hétnyi adatra van szüksége az egyedi javaslatok gépcsoportonkénti meghatározásához. A nemrég létrehozott vagy csak a Microsoft Defender for Servers által nemrégiben védett előfizetésekhez tartozó gépek a Nincs javaslat lapon jelennek meg.

2. Nyissa meg az Ajánlott lapot. Ekkor megjelennek a javasolt engedélyezési listákkal rendelkező gépek csoportjai.

   

3. Válasszon ki egy csoportot.

4. Az új szabály konfigurálásához tekintse át az alkalmazásvezérlési szabályok konfigurálása lap különböző szakaszait és tartalmát, amelyek egyediek lesznek az adott gépcsoportra vonatkozóan:

   

   1. Gépek kiválasztása – Alapértelmezés szerint az azonosított csoport összes gépe ki van jelölve. Törölje a jelölésüket a szabályból való eltávolításukhoz.

   2. Ajánlott alkalmazások – Tekintse át a csoporton belüli gépeken gyakran használt alkalmazások listáját, és javasolt a futtatás engedélyezése.

   3. További alkalmazások – Tekintse át azoknak az alkalmazásoknak a listáját, amelyek vagy ritkábban jelennek meg a csoportban lévő gépeken, vagy amelyekről ismert, hogy kihasználhatók. A figyelmeztető ikon azt jelzi, hogy egy támadó egy adott alkalmazással megkerülheti az alkalmazásengedélyezési listát. Javasoljuk, hogy alaposan tekintse át ezeket az alkalmazásokat.

      Tipp

      Mindkét alkalmazáslista tartalmazza az adott alkalmazás bizonyos felhasználókra való korlátozásának lehetőségét. Amikor csak lehetséges, fogadja el a minimális jogosultság elvét.

      Az alkalmazásokat közzétevőik határozzák meg, ha egy alkalmazás nem rendelkezik közzétevői információkkal (nincs aláírva), a rendszer létrehoz egy elérésiút-szabályt az adott alkalmazás teljes elérési útjára vonatkozóan.

   4. A szabály alkalmazásához válassza a Naplózás lehetőséget.

Csoport adaptív alkalmazásvezérlő-szabályának szerkesztése

Előfordulhat, hogy a szervezet ismert változásai miatt úgy dönt, hogy egy gépcsoport engedélyezési listáját szerkessze.

Egy gépcsoport szabályainak szerkesztése:

1. Nyissa meg a Számítási feladatok védelme irányítópultot , és a speciális védelmi területen válassza az Adaptív alkalmazásvezérlők lehetőséget.

2. A Konfigurált lapon válassza ki a szerkeszteni kívánt szabályt tartalmazó csoportot.

3. Tekintse át az Alkalmazásvezérlési szabályok konfigurálása lap különböző szakaszait az adaptív alkalmazásvezérlők engedélyezése egy gépcsoporton című szakaszban leírtak szerint.

4. Igény szerint hozzáadhat egy vagy több egyéni szabályt:

   1. Válassza a Szabály hozzáadása lehetőséget.

      

   2. Ha egy ismert biztonságos elérési utat határoz meg, módosítsa a szabály típusát "Elérési út" típusra , és adjon meg egyetlen elérési utat. Az elérési útba helyettesítő karaktereket is felvehet.

      Tipp

      Néhány olyan forgatókönyv, amelyben az elérési út helyettesítő karakterei hasznosak lehetnek:

      • Helyettesítő karakter használata az elérési út végén a mappában és az almappákban található összes végrehajtható fájl engedélyezéséhez.
      • Helyettesítő karakter használata az elérési út közepén egy változó mappanévvel rendelkező ismert végrehajtható név engedélyezéséhez (például egy ismert végrehajtható fájlt tartalmazó személyes felhasználói mappák, automatikusan létrehozott mappanevek stb.).

   3. Határozza meg az engedélyezett felhasználókat és a védett fájltípusokat.

   4. A szabály definiálása után válassza a Hozzáadás lehetőséget.

5. A módosítások alkalmazásához válassza a Mentés lehetőséget.

Csoport beállításainak áttekintése és szerkesztése

1. A csoport részleteinek és beállításainak megtekintéséhez válassza a Csoportbeállítások lehetőséget

   Ezen a panelen látható a csoport neve (amely módosítható), az operációs rendszer típusa, a hely és egyéb releváns részletek.

   

2. Igény szerint módosíthatja a csoport nevét vagy fájltípus-védelmi módját.

3. Válassza az Alkalmaz és mentés lehetőséget.

Válaszoljon az "Adaptív alkalmazásvezérlési szabályzat engedélyezési listára vonatkozó szabályainak frissítésére" javaslatra

Ez a javaslat akkor jelenik meg, ha a Defender for Cloud gépi tanulása olyan potenciálisan jogos viselkedést azonosít, amely korábban nem volt engedélyezve. A javaslat új szabályokat javasol a meglévő definíciókhoz a téves riasztások számának csökkentése érdekében.

A problémák elhárítása:

1. A javaslatok lapon válassza ki az adaptív alkalmazásvezérlési szabályzat Engedélyezési listára vonatkozó szabályait , és frissítse a javaslatot, hogy láthassa az újonnan azonosított, vélhetően jogszerű viselkedéssel rendelkező csoportokat.

2. Jelölje ki a szerkeszteni kívánt szabályt tartalmazó csoportot.

3. Tekintse át az Alkalmazásvezérlési szabályok konfigurálása lap különböző szakaszait az adaptív alkalmazásvezérlők engedélyezése egy gépcsoporton című szakaszban leírtak szerint.

4. A módosítások alkalmazásához válassza a Naplózás lehetőséget.

Riasztások és szabálysértések naplózása

1. Nyissa meg a Számítási feladatok védelme irányítópultot , és a speciális védelmi területen válassza az Adaptív alkalmazásvezérlők lehetőséget.

2. A legutóbbi riasztásokkal rendelkező számítógépekkel rendelkező csoportok megtekintéséhez tekintse át a Konfigurált lapon felsorolt csoportokat.

3. A további vizsgálathoz válasszon ki egy csoportot.

   

4. További részletekért és az érintett gépek listájáért válasszon ki egy riasztást.

   A riasztások oldal a riasztások további részleteit jeleníti meg, és egy Művelet végrehajtása hivatkozást tartalmaz, amely a fenyegetés elhárítására vonatkozó javaslatokat tartalmaz.

   

   Megjegyzés

   Az adaptív alkalmazásvezérlők tizenkét óránként egyszer számítják ki az eseményeket. A riasztások oldalán látható "tevékenység kezdési ideje" az az idő, amikor az adaptív alkalmazásvezérlők létrehozták a riasztást, nem pedig a gyanús folyamat aktív állapotának időpontja.

Gép áthelyezése egyik csoportból a másikba

Amikor áthelyez egy gépet az egyik csoportból a másikba, a rá alkalmazott alkalmazásvezérlési szabályzat annak a csoportnak a beállításaira változik, amelybe áthelyezte azt. A gépet egy konfigurált csoportból egy nem konfigurált csoportba is áthelyezheti, így eltávolítja a gépre alkalmazott alkalmazásvezérlési szabályokat.

1. Nyissa meg a Számítási feladatok védelme irányítópultot , és a speciális védelmi területen válassza az Adaptív alkalmazásvezérlők lehetőséget.

2. Az Adaptív alkalmazásvezérlők lap Konfigurált lapján válassza ki az áthelyezni kívánt gépet tartalmazó csoportot.

3. Nyissa meg a konfigurált gépek listáját.

4. Nyissa meg a gép menüjét a sor végén található három pontból, és válassza az Áthelyezés lehetőséget. Megnyílik a gép áthelyezése egy másik csoportpanelre .

5. Jelölje ki a célcsoportot, és válassza a Gép áthelyezése lehetőséget.

6. Kattintson a Mentés gombra a módosítások mentéséhez.

Alkalmazásvezérlők kezelése a REST API-val

Az adaptív alkalmazásvezérlők programozott kezeléséhez használja a REST API-t.

A megfelelő API-dokumentáció a Defender for Cloud API-dokumentációjának Adaptív alkalmazásvezérlők szakaszában érhető el.

A REST API-ból elérhető függvények némelyike:

• A lista lekéri az összes csoportjavaslatot, és minden csoporthoz biztosít egy JSON-t egy objektummal.

• A Get lekéri a JSON-t a teljes javaslati adatokkal (azaz a gépek listájával, a közzétevői/elérésiút-szabályokkal stb.).

• A Put konfigurálja a szabályt (használja a Kéréssel lekért JSON-t a kérés törzseként).

  Fontos

  A Put függvény kevesebb paramétert vár, mint amennyit a Get parancs által visszaadott JSON tartalmaz.

  Távolítsa el a következő tulajdonságokat, mielőtt a JSON-t használné a Put kérelemben: recommendationStatus, configurationStatus, issues, location és sourceSystem.

Gyakori kérdések – Adaptív alkalmazásvezérlők

• Van lehetőség az alkalmazásvezérlők kikényszerítésére?
• Miért jelenik meg egy Qualys-alkalmazás az ajánlott alkalmazásokban?

Van lehetőség az alkalmazásvezérlők kikényszerítésére?

Jelenleg nem érhetők el kényszerítési lehetőségek. Az adaptív alkalmazásvezérlők biztonsági riasztásokat biztosítanak, ha bármely alkalmazás a biztonságosként definiálttól eltérően fut. Számos előnnyel rendelkeznek (Mik az adaptív alkalmazásvezérlők előnyei?), és rendkívül testre szabhatók, ahogy az ezen az oldalon látható.

Miért jelenik meg egy Qualys-alkalmazás az ajánlott alkalmazásokban?

A Microsoft Defender for Servers további költségek nélkül tartalmazza a gépek biztonságirés-vizsgálatát. Nincs szüksége Qualys-licencre vagy akár Qualys-fiókra sem – minden zökkenőmentesen kezelhető a Defender for Cloudban. A képolvasó részleteiért és az üzembe helyezésével kapcsolatos utasításokért tekintse meg a Defender for Cloud integrált Qualys sebezhetőségi felmérési megoldását.

Annak érdekében, hogy a Defender for Cloud ne generáljon riasztásokat a szkenner üzembe helyezésekor, az adaptív alkalmazásvezérlők ajánlott engedélyezési listája tartalmazza az összes gép szkennerét.

Következő lépések

Ezen az oldalon megtanulta, hogyan használhat adaptív alkalmazásvezérlést a Microsoft Defender for Cloudban az Azure-on és nem Azure-beli gépeken futó alkalmazások engedélyezési listájának meghatározásához. A felhőalapú számítási feladatok egyéb védelmi funkcióival kapcsolatos további információkért lásd:

• Az igény szerinti (JIT) virtuálisgép-hozzáférés ismertetése
• Az Azure Kubernetes-fürtök biztonságossá tétele