A hálózati biztonsági állapotának javítása adaptív hálózatmegerősítéssel

Az adaptív hálózatmegerősítés a Microsoft Defender for Cloud ügynök nélküli funkciója – a hálózatmegerősítő eszköz használatához semmit sem kell telepíteni a gépekre.

Ez a lap bemutatja, hogyan konfigurálhatja és kezelheti az adaptív hálózati megerősítettségeket a Defender for Cloudban.

Rendelkezésre állás

Szempont	Részletek
Kiadási állapot:	Általános rendelkezésre állás (GA)
Árképzés:	A Microsoft Defender for Servers 2. csomagjának szükséges
Szükséges szerepkörök és engedélyek:	Írási engedélyek a gép NSG-jén
Felhők:	Kereskedelmi felhők Nemzeti (Azure Government, Azure China 21Vianet) Csatlakoztatott AWS-fiókok

Mi az az adaptív hálózati megkeményedés?

A hálózati biztonsági csoportok (NSG) alkalmazásával szűrheti az erőforrások felé és az onnan érkező forgalmat, javítja a hálózati biztonsági állapotot. Vannak azonban olyan esetek, amikor az NSG-n áthaladó tényleges forgalom az NSG-szabályok meghatározott részhalmaza. Ezekben az esetekben a biztonsági helyzet tovább javítható az NSG-szabályok a tényleges forgalmi minták alapján történő megkeményítésével.

Az adaptív hálózatmegkeményítés javaslatokat nyújt az NSG-szabályok további keményítésére. Egy olyan gépi tanulási algoritmust használ, amely figyelembe veszi a tényleges forgalmat, az ismert megbízható konfigurációt, a fenyegetésekkel kapcsolatos információkat és a biztonsági incidensekkel kapcsolatos egyéb tényezőket, majd javaslatokat biztosít arra vonatkozóan, hogy csak bizonyos IP-/portrekordokból származó forgalmat engedélyezzen.

Tegyük fel például, hogy a meglévő NSG-szabály engedélyezi a 140.20.30.10/24-ről érkező forgalmat a 22-s porton. A forgalomelemzés alapján az adaptív hálózati megkeményedés javasolhatja a tartomány szűkítését a 140.23.30.10/29-ről érkező forgalom engedélyezéséhez, és tiltsa le az adott portra érkező összes többi forgalmat. A támogatott portok teljes listájáért tekintse meg a gyakori kérdések bejegyzést , mely portok támogatottak?.

A megkeményítési riasztások és az ajánlott szabályok megtekintése

1. A Defender for Cloud menüjében nyissa meg a Számítási feladatok védelme irányítópultot .

2. Válassza ki az adaptív hálózatkeményítés csempét (1), vagy az adaptív hálózatkeményítéshez kapcsolódó Elemzések panelelemet (2).

   

   Tipp

   Az Elemzések panelen látható, hogy jelenleg hány virtuális gépet véd az adaptív hálózatmegkeményítés.

3. Megnyílik az adaptív hálózatmegszűkítési javaslatok részletes lapja az internetkapcsolattal rendelkező virtuális gépekre vonatkozó javaslatok esetében, a hálózati virtuális gépek három lapra csoportosítva:

   • Nem megfelelő állapotú erőforrások: Azok a virtuális gépek, amelyek jelenleg az adaptív hálózatmegerősítési algoritmus futtatásával aktiváltak javaslatokat és riasztásokat.
   • Kifogástalan állapotú erőforrások: riasztások és javaslatok nélküli virtuális gépek.
   • Be nem vizsgált erőforrások: Azok a virtuális gépek, amelyeken az adaptív hálózatmegerősítési algoritmus nem futtatható az alábbi okok valamelyike miatt:
     • A virtuális gépek klasszikus virtuális gépek: Csak az Azure Resource Manager virtuális gépek támogatottak.
     • Nincs elég adat: A forgalom pontos korlátozására vonatkozó javaslatok létrehozásához a Defender for Cloud legalább 30 napos adatforgalmi adatot igényel.
     • A virtuális gépet nem védi a Microsoft Defender for Servers: Csak a Microsoft Defender for Servers által védett virtuális gépek jogosultak erre a funkcióra.

   

4. A Nem megfelelő állapotú erőforrások lapon válasszon ki egy virtuális gépet a riasztásainak és az alkalmazáshoz javasolt megerősített szabályoknak a megtekintéséhez.

   • A Szabályok lap felsorolja azokat a szabályokat, amelyeket az adaptív hálózati megkeményítés javasolt
   • A Riasztások lap felsorolja azokat a riasztásokat, amelyek az erőforrás felé áramló forgalom miatt jöttek létre, amely nem esik az ajánlott szabályokban engedélyezett IP-címtartományba.

5. Igény szerint szerkessze a szabályokat:

   • Szabály módosítása
   • Szabály törlése
   • A szabály beállítása

6. Jelölje ki az NSG-n alkalmazni kívánt szabályokat, és válassza a Kényszerítés lehetőséget.

   Tipp

   Ha az engedélyezett forrás IP-címtartományok "Nincs" értéket mutatnak, az azt jelenti, hogy az ajánlott szabály egy megtagadási szabály, ellenkező esetben ez egy engedélyezési szabály.

   

   Megjegyzés

   A rendszer hozzáadja a kényszerített szabályokat a virtuális gépet védő NSG-khez. (A virtuális gépeket védheti egy hálózati adapterhez társított NSG, vagy az alhálózat, amelyben a virtuális gép található, vagy mindkettő)

Szabály módosítása

Érdemes lehet módosítani egy javasolt szabály paramétereit. Módosíthatja például az ajánlott IP-címtartományokat.

Néhány fontos irányelv az adaptív hálózatmegszűkítési szabály módosításához:

• Nem módosíthatja , hogy a szabályok megtagadási szabályokká váljanak.

• Csak az engedélyezési szabályok paraméterei módosíthatók.

  A "megtagadási" szabályok létrehozása és módosítása közvetlenül az NSG-n történik. További információ: Hálózati biztonsági csoport létrehozása, módosítása vagy törlése.

• Az összes forgalmi szabály megtagadása az itt felsorolt "megtagadási" szabály egyetlen típusa, és nem módosítható. Törölheti azonban azt (lásd : Szabály törlése). Az ilyen típusú szabályokról a Gyakori kérdések című cikkből tájékozódhat: Mikor érdemes "Az összes forgalom megtagadása" szabályt használni?

Adaptív hálózatkeményítési szabály módosítása:

1. Egy szabály egyes paramétereinek módosításához a Szabályok lapon válassza ki a szabály sorának végén található három pont (...) elemet, és válassza a Szerkesztés lehetőséget.

   

2. A Szabály szerkesztése ablakban frissítse a módosítani kívánt adatokat, és válassza a Mentés lehetőséget.

   Megjegyzés

   A Mentés lehetőség kiválasztása után sikeresen módosította a szabályt. Ezt azonban nem alkalmazta az NSG-ben. Az alkalmazáshoz ki kell jelölnie a szabályt a listában, majd a Kényszerítés lehetőséget kell választania (a következő lépésben leírtak szerint).

   

3. A frissített szabály alkalmazásához válassza ki a frissített szabályt a listából, és válassza a Kényszerítés lehetőséget.

   

Új szabály hozzáadása

Hozzáadhat olyan "engedélyezési" szabályt, amelyet a Defender for Cloud nem ajánlott.

Megjegyzés

Itt csak az "engedélyezés" szabályok vehetők fel. Ha "megtagadási" szabályokat szeretne hozzáadni, ezt közvetlenül az NSG-n teheti meg. További információ: Hálózati biztonsági csoport létrehozása, módosítása vagy törlése.

Adaptív hálózatkeményítési szabály hozzáadása:

1. A felső eszköztáron válassza a Szabály hozzáadása lehetőséget.

   

2. Az Új szabály ablakban adja meg a részleteket, és válassza a Hozzáadás lehetőséget.

   Megjegyzés

   A Hozzáadás lehetőség kiválasztása után sikeresen hozzáadta a szabályt, és megjelenik a többi ajánlott szabály mellett. Azonban nem alkalmazta az NSG-n. Az aktiváláshoz ki kell jelölnie a szabályt a listában, majd a Kényszerítés lehetőséget kell választania (a következő lépésben leírtak szerint).

3. Az új szabály alkalmazásához válassza ki az új szabályt a listából, és válassza a Kényszerítés lehetőséget.

   

Szabály törlése

Szükség esetén törölheti az aktuális munkamenethez javasolt szabályt. Megállapíthatja például, hogy egy javasolt szabály alkalmazása blokkolhatja a jogszerű forgalmat.

Adaptív hálózatkeményítési szabály törlése az aktuális munkamenethez:

• A Szabályok lapon jelölje ki a szabály sorának végén található három elemet (...), és válassza a Törlés lehetőséget.

  

Gyakori kérdések – Adaptív hálózati megkeményedés

• Mely portok támogatottak?
• Vannak előfeltételek vagy virtuálisgép-bővítmények az adaptív hálózatmegkeményítéshez?

Mely portok támogatottak?

Az adaptív hálózatmegszűrési javaslatok csak az alábbi konkrét portokon támogatottak (UDP és TCP esetén egyaránt):

13, 17, 19, 22, 23, 53, 69, 81, 111, 119, 123, 135, 137, 138, 139, 161, 162, 389, 445, 512, 514, 593, 636, 873, 1433, 1434, 1900, 2049, 2301, 2323, 2381, 3268, 3306, 3389, 4333, 5353, 5432, 5555, 5800, 5900, 5900, 5985, 5986, 6379, 6379, 7000, 7001, 7199, 8081, 8089, 8545, 9042, 9160, 9300, 11211, 16379, 26379, 27017, 37215

Vannak előfeltételek vagy virtuálisgép-bővítmények az adaptív hálózatmegkeményítéshez?

Az adaptív hálózatmegerősítés a Microsoft Defender for Cloud ügynök nélküli funkciója – a hálózatmegerősítő eszköz használatához semmit sem kell telepíteni a gépekre.

Mikor érdemes "Az összes forgalom megtagadása" szabályt használni?

Az összes forgalmi szabály elutasítása akkor ajánlott, ha az algoritmus futtatása miatt a Defender for Cloud nem azonosítja az engedélyezni kívánt forgalmat a meglévő NSG-konfiguráció alapján. Ezért az ajánlott szabály az, hogy a megadott portra történő összes forgalmat megtagadja. Az ilyen típusú szabály neve "Rendszer generálva" néven jelenik meg. A szabály kényszerítése után az NSG-ben a tényleges neve a protokollból, a forgalom irányából, a "DENY" és egy véletlenszerű számból álló sztring lesz.