Migliorare la postura di sicurezza della rete con la protezione avanzata adattiva per la rete

  • Articolo

La protezione avanzata adattiva della rete è una funzionalità senza agente di Microsoft Defender per il cloud. Non è necessario installare nulla nei computer per trarre vantaggio da questo strumento di protezione avanzata della rete.

Questa pagina illustra come configurare e gestire la protezione avanzata adattiva della rete in Defender per il cloud.

Disponibilità

Aspetto Dettagli
Stato della versione: Disponibilità generale (GA)
Prezzi: Richiede Microsoft Defender per server piano 2
Autorizzazioni e ruoli obbligatori: Autorizzazioni di scrittura per i gruppi di sicurezza di rete del computer
Cloud: Cloud commerciali
Nazionale (Azure per enti pubblici, Microsoft Azure gestito da 21Vianet)
account AWS Connessione ed

Che cos'è la protezione avanzata adattiva della rete?

L'applicazione di gruppi di sicurezza di rete (NSG) per filtrare il traffico da e verso le risorse migliora il comportamento di sicurezza di rete. In alcuni casi, tuttavia, è comunque possibile che il traffico effettivo che attraversa il gruppo di sicurezza di rete corrisponda a un subset delle regole del gruppo di sicurezza di rete definite. In questi casi è possibile migliorare ancora il comportamento di sicurezza applicando la protezione avanzata alle regole del gruppo di sicurezza di rete, in base ai criteri effettivi del traffico.

Protezione avanzata adattiva per la rete fornisce raccomandazioni per migliorare ulteriormente la protezione delle regole dei gruppi di sicurezza di rete. Usa un algoritmo di Machine Learning che prende in considerazione il traffico effettivo, la configurazione attendibile nota, l'intelligence sulle minacce e altri indicatori di compromissione e quindi fornisce raccomandazioni per consentire il traffico solo da tuple di IP/porta specifiche.

Si supponga, ad esempio, che la regola NSG esistente consenta il traffico dalla porta 140.20.30.10/24 sulla porta 22. In base all'analisi del traffico, la protezione avanzata adattiva della rete potrebbe consigliare di restringere l'intervallo per consentire il traffico da 140.23.30.10/29 e negare tutto l'altro traffico a tale porta. Per l'elenco completo delle porte supportate, vedere la voce domande comuni Quali porte sono supportate?.

  1. Dal menu di Defender per il cloud aprire il dashboard Protezione del carico di lavoro.

  2. Selezionare il riquadro protezione avanzata adattiva della rete (1) o l'elemento del pannello informazioni dettagliate correlato alla protezione avanzata adattiva della rete (2).

    Accessing the adaptive network hardening tools.

    Suggerimento

    Il pannello informazioni dettagliate mostra la percentuale delle macchine virtuali attualmente difese con protezione avanzata adattiva della rete.

  3. La pagina dei dettagli per le raccomandazioni per la protezione avanzata adattiva della rete deve essere applicata alle macchine virtuali con connessione Internet si apre con le macchine virtuali di rete raggruppate in tre schede:

    • Risorse non integre: macchine virtuali con raccomandazioni e avvisi attivati eseguendo l'algoritmo adattivo di protezione avanzata della rete.
    • Risorse integre: macchine virtuali senza avvisi e raccomandazioni.
    • Risorse non a cui è stata eseguita l'analisi: le macchine virtuali in cui l'algoritmo di protezione avanzata adattiva della rete non può essere eseguito a causa di uno dei motivi seguenti:
      • Le macchine virtuali sono macchine virtuali classiche: sono supportate solo le macchine virtuali di Azure Resource Manager.
      • Non sono disponibili dati sufficienti: per generare raccomandazioni accurate sulla protezione avanzata del traffico, Defender per il cloud richiede almeno 30 giorni di dati sul traffico.
      • La macchina virtuale non è protetta da Microsoft Defender per server: solo le macchine virtuali protette con Microsoft Defender per server sono idonee per questa funzionalità.

    Details page of the recommendation Adaptive network hardening recommendations should be applied on internet facing virtual machines.

  4. Nella scheda Risorse non integre selezionare una macchina virtuale per visualizzarne gli avvisi e le regole di protezione avanzata consigliate da applicare.

    • Nella scheda Regole sono elencate le regole consigliate dalla protezione avanzata adattiva della rete
    • Nella scheda Avvisi sono elencati gli avvisi generati a causa del traffico, che passa alla risorsa, che non rientra nell'intervallo IP consentito nelle regole consigliate.

  5. Facoltativamente, modificare le regole:

  6. Selezionare le regole da applicare nel gruppo di sicurezza di rete e selezionare Applica.

    Suggerimento

    Se gli intervalli IP di origine consentiti vengono visualizzati come "Nessuno", significa che la regola consigliata è una regola di negazione . In caso contrario, si tratta di una regola consentita .

    Managing adaptive network hardening rules.

    Nota

    Le regole applicate vengono aggiunte ai gruppi di sicurezza di rete che proteggono la macchina virtuale. Una macchina virtuale può essere protetta da un gruppo di sicurezza di rete associato alla relativa scheda di interfaccia di rete o dalla subnet in cui risiede la macchina virtuale o da entrambi.

Modificare una regola

È possibile modificare i parametri di una regola consigliata. Ad esempio, è possibile modificare gli intervalli IP consigliati.

Alcune linee guida importanti per la modifica di una regola di protezione avanzata adattiva della rete:

Per modificare una regola di protezione avanzata adattiva della rete:

  1. Per modificare alcuni dei parametri di una regola, nella scheda Regole selezionare i tre puntini (...) alla fine della riga della regola e selezionare Modifica.

    Editing s rule.

  2. Nella finestra Modifica regola aggiornare i dettagli da modificare e selezionare Salva.

    Nota

    Dopo aver selezionato Salva, la regola è stata modificata correttamente. Tuttavia, non è stato applicato al gruppo di sicurezza di rete. Per applicarla, è necessario selezionare la regola nell'elenco e selezionare Applica (come illustrato nel passaggio successivo).

    Selecting Save.

  3. Per applicare la regola aggiornata, nell'elenco selezionare la regola aggiornata e selezionare Applica.

    enforce rule.

Aggiungere una nuova regola

È possibile aggiungere una regola "consenti" non consigliata da Defender per il cloud.

Nota

Qui è possibile aggiungere solo le regole "consenti". Se si desidera aggiungere regole di "negazione", è possibile farlo direttamente nel gruppo di sicurezza di rete. Per altre informazioni, vedere Creare, modificare o eliminare un gruppo di sicurezza di rete.

Per aggiungere una regola di protezione avanzata adattiva della rete:

  1. Nella barra degli strumenti superiore selezionare Aggiungi regola.

    add rule.

  2. Nella finestra Nuova regola immettere i dettagli e selezionare Aggiungi.

    Nota

    Dopo aver selezionato Aggiungi, la regola è stata aggiunta correttamente ed è elencata con le altre regole consigliate. Tuttavia, non è stato applicato al gruppo di sicurezza di rete. Per attivarlo, è necessario selezionare la regola nell'elenco e selezionare Applica (come illustrato nel passaggio successivo).

  3. Per applicare la nuova regola, nell'elenco selezionare la nuova regola e selezionare Applica.

    enforce rule.

Eliminare una regola

Quando necessario, è possibile eliminare una regola consigliata per la sessione corrente. Ad esempio, è possibile determinare che l'applicazione di una regola suggerita potrebbe bloccare il traffico legittimo.

Per eliminare una regola di protezione avanzata adattiva della rete per la sessione corrente:

  • Nella scheda Regole selezionare i tre puntini (...) alla fine della riga della regola e selezionare Elimina.

    Deleting a rule.

Passaggio successivo