Usare i controlli applicazioni adattivi per ridurre le superfici di attacco dei computer

Nota

Centro sicurezza di Azure e Azure Defender sono ora denominati Microsoft Defender per cloud. Sono stati anche rinominati i Azure Defender in piani di Microsoft Defender. Ad esempio, Azure Defender per Archiviazione è ora Microsoft Defender per Archiviazione.

Altre informazioni sulla ridenominazione recente dei servizi di sicurezza Microsoft.

Informazioni sui vantaggi dei controlli applicazioni adattivi di Microsoft Defender per cloud e su come migliorare la sicurezza con questa funzionalità intelligente basata sui dati.

Che cosa sono i controlli applicazioni adattivi?

I controlli applicazioni adattivi sono una soluzione intelligente e automatizzata per la definizione di elenchi consentiti di applicazioni sicure note per i computer.

Spesso le organizzazioni hanno raccolte di computer che eseguono regolarmente gli stessi processi. Microsoft Defender per cloud usa Machine Learning per analizzare le applicazioni in esecuzione nei computer e creare un elenco del software sicuro noto. Gli elenchi di elementi consentiti si basano sui carichi di lavoro di Azure specifici ed è possibile personalizzare ulteriormente le raccomandazioni usando le istruzioni riportate di seguito.

Dopo l'abilitazione e la configurazione dei controlli applicazioni adattivi, si riceveranno avvisi di sicurezza se viene eseguita un'applicazione non inclusa nell'elenco di applicazioni definite come sicure.

Quali sono i vantaggi dei controlli applicazioni adattivi?

Definendo elenchi di applicazioni sicure note e generando avvisi quando viene eseguito qualsiasi altro elemento, è possibile raggiungere più obiettivi di supervisione e conformità:

  • Identificare il potenziale malware, anche quello che potrebbe essere perso dalle soluzioni antimalware
  • Migliorare la conformità con i criteri di sicurezza locali che determinano l'uso solo di software concesso in licenza
  • Identificare le versioni obsolete o non supportate delle applicazioni
  • Identificare il software escluso dall'organizzazione, ma comunque in esecuzione nei computer
  • Aumentare la supervisione delle app che accedono a dati sensibili

Non sono attualmente disponibili opzioni di imposizione. I controlli applicazioni adattivi sono concepiti per fornire avvisi di sicurezza se un'applicazione viene eseguita in modo diverso da quelli definiti come sicuri.

Disponibilità

Aspetto Dettagli
Stato della versione: Disponibilità generale (GA)
Prezzi: Richiede Microsoft Defender per i server
Computer supportati: Computer Azure e non Azure che eseguono Windows e Linux
Azure Arc macchine virtuali
Autorizzazioni e ruoli obbligatori: I ruoli Ruolo con autorizzazioni di lettura per la sicurezza e Lettore possono visualizzare sia i gruppi che gli elenchi di applicazioni sicure note
I ruoli Collaboratore e Amministratore della sicurezza possono modificare i gruppi e gli elenchi di applicazioni sicure note
Cloud: Cloud commerciali
Nazionale (Azure per enti pubblici, Azure China (21Vianet))

Abilitare i controlli delle applicazioni in un gruppo di computer

Se Microsoft Defender per Cloud ha identificato gruppi di computer nelle sottoscrizioni che eseguono in modo coerente un set simile di applicazioni, verrà visualizzata la raccomandazione seguente: Adaptive application controls for defining safe applications should be enabled on your machines(I controlli delle applicazioni adattivi per la definizione di applicazioni sicure devono essere abilitati nei computer).

Selezionare la raccomandazione o aprire la pagina controlli applicazioni adattivi per visualizzare l'elenco delle applicazioni e dei gruppi di computer noti consigliati.

  1. Aprire il dashboard Protezione del carico di lavoro e nell'area Protezione avanzata selezionare Controlli applicazione adattivi.

    Apertura di controlli applicazioni adattivi dal dashboard di Azure.

    Viene visualizzata la pagina Controlli applicazioni adattivi con le macchine virtuali raggruppate nelle schede seguenti:

    • Configurato: gruppi di computer che dispongono già di un elenco di applicazioni consentite definito. Per ogni gruppo, la scheda configurata mostra:

      • il numero di computer nel gruppo
      • avvisi recenti
    • Consigliato: gruppi di computer che eseguono in modo coerente le stesse applicazioni e non hanno un elenco di computer consentiti configurato. È consigliabile abilitare i controlli applicazioni adattivi per questi gruppi.

      Suggerimento

      Se viene visualizzato un nome di gruppo con il prefisso "REVIEWGROUP", contiene i computer con un elenco parzialmente coerente di applicazioni. Microsoft Defender per cloud non può visualizzare un modello, ma consiglia di esaminare questo gruppo per verificare se è possibile definire manualmente alcune regole dei controlli applicazioni adattivi, come descritto in Modifica della regola dei controlli applicazioni adattivi di un gruppo.

      È anche possibile spostare i computer da questo gruppo ad altri gruppi, come descritto in Spostare un computer da un gruppo a un altro.

    • Nessuna raccomandazione: computer senza un elenco di applicazioni consentite definito e che non supportano la funzionalità. Il computer potrebbe essere in questa scheda per i motivi seguenti:

      • Manca un agente di Log Analytics
      • L'agente di Log Analytics non invia eventi
      • Si tratta di un computer Windows con un criterio di AppLocker preesistnte abilitato da un oggetto Criteri di gruppo o da un criterio di sicurezza locale

      Suggerimento

      Defender per il cloud richiede almeno due settimane di dati per definire le raccomandazioni univoche per ogni gruppo di computer. I computer creati di recente o che appartengono a sottoscrizioni protette solo di recente da Microsoft Defender per i server verranno visualizzati nella scheda Nessuna raccomandazione.

  2. Aprire la scheda Consigliato. Vengono visualizzati i gruppi di computer con elenchi di computer consentiti consigliati.

    Scheda Consigliata.

  3. Selezionare un gruppo.

  4. Per configurare la nuova regola, esaminare le varie sezioni di questa pagina Configurare le regole di controllo delle applicazioni e il contenuto, che sarà univoco per questo gruppo specifico di computer:

    Configurare una nuova regola.

    1. Seleziona computer: per impostazione predefinita, vengono selezionati tutti i computer nel gruppo identificato. Deselezionare qualsiasi per rimuovere tali elementi da questa regola.

    2. Applicazioni consigliate: esaminare questo elenco di applicazioni comuni ai computer all'interno di questo gruppo ed è consigliabile che sia consentita l'esecuzione.

    3. Altre applicazioni: esaminare questo elenco di applicazioni che vengono viste meno frequentemente nei computer all'interno di questo gruppo o che sono note come sfruttabili. Un'icona di avviso indica che un'applicazione specifica potrebbe essere usata da un utente malintenzionato per ignorare un elenco di applicazioni consentite. È consigliabile esaminare attentamente queste applicazioni.

      Suggerimento

      Entrambi gli elenchi di applicazioni includono l'opzione per limitare un'applicazione specifica a determinati utenti. Adottare il principio dei privilegi minimi quando possibile.

      Le applicazioni vengono definite dagli editori. Se un'applicazione non dispone di informazioni sull'editore (non firmate), viene creata una regola di percorso per il percorso completo dell'applicazione specifica.

    4. Per applicare la regola, selezionare Controlla.

Modificare la regola dei controlli applicazioni adattivi di un gruppo

È possibile decidere di modificare l'elenco di computer consentiti per un gruppo di computer a causa di modifiche note all'interno dell'organizzazione.

Per modificare le regole per un gruppo di computer:

  1. Aprire il dashboard Protezione del carico di lavoro e nell'area Protezione avanzata selezionare Controlli applicazione adattivi.

  2. Nella scheda Configurato selezionare il gruppo con la regola da modificare.

  3. Esaminare le varie sezioni della pagina Configurare le regole di controllo delle applicazioni come descritto in Abilitare i controlli applicazioni adattivi in un gruppo di computer.

  4. Facoltativamente, aggiungere una o più regole personalizzate:

    1. Selezionare Aggiungi regola.

      Aggiungere una regola personalizzata.

    2. Se si sta definendo un percorso sicuro noto, modificare il tipo di regola in "Percorso" e immettere un singolo percorso. È possibile includere caratteri jolly nel percorso.

      Suggerimento

      Alcuni scenari per cui i caratteri jolly in un percorso possono essere utili:

      • Utilizzo di un carattere jolly alla fine di un percorso per consentire tutti i file eseguibili all'interno di questa cartella e sottocartelle.
      • Uso di un carattere jolly al centro di un percorso per abilitare un nome eseguibile noto con un nome di cartella che cambia (ad esempio, cartelle utente personali contenenti un eseguibile noto, nomi di cartelle generati automaticamente e così via).
    3. Definire gli utenti consentiti e i tipi di file protetti.

    4. Al termine della definizione della regola, selezionare Aggiungi.

  5. Per applicare le modifiche, selezionare Salva.

Esaminare e modificare le impostazioni di un gruppo

  1. Per visualizzare i dettagli e le impostazioni del gruppo, selezionare Impostazioni gruppo

    Questo riquadro mostra il nome del gruppo (che può essere modificato), il tipo di sistema operativo, la posizione e altri dettagli rilevanti.

    Pagina delle impostazioni di gruppo per i controlli applicazione adattivi.

  2. Facoltativamente, modificare le modalità di protezione del nome o del tipo di file del gruppo.

  3. Selezionare Applica e salva.

Rispondere alla raccomandazione "Le regole dell'elenco consenti nei criteri di controllo delle applicazioni adattivi devono essere aggiornate"

Questa raccomandazione verrà visualizzata quando l'apprendimento automatico di Defender per cloud identifica un comportamento potenzialmente legittimo che non è stato consentito in precedenza. La raccomandazione suggerisce nuove regole per le definizioni esistenti per ridurre il numero di avvisi falsi positivi.

Per risolvere i problemi:

  1. Nella pagina raccomandazioni selezionare la raccomandazione Allowlist rules in your adaptive application control policy should be updated (Le regole dell'elenco elementi consentiti nei criteri di controllo delle applicazioni adattivi devono essere aggiornate) per visualizzare i gruppi con un comportamento appena identificato e potenzialmente legittimo.

  2. Selezionare il gruppo con la regola da modificare.

  3. Esaminare le varie sezioni della pagina Configurare le regole di controllo dell'applicazione come descritto in Abilitare i controlli delle applicazioni adattivi in un gruppo di computer.

  4. Per applicare le modifiche, selezionare Controlla.

Controllare avvisi e violazioni

  1. Aprire il dashboard Protezione del carico di lavoro e nell'area Protezione avanzata selezionare Controlli applicazione adattivi.

  2. Per visualizzare i gruppi con computer con avvisi recenti, esaminare i gruppi elencati nella scheda Configurato.

  3. Per approfondire la ricerca, selezionare un gruppo.

    Avvisi recenti.

  4. Per altri dettagli e l'elenco dei computer interessati, selezionare un avviso.

    La pagina degli avvisi mostra più dettagli degli avvisi e fornisce un collegamento Azione con consigli su come attenuare la minaccia.

    L'ora di inizio degli avvisi dei controlli delle applicazioni adattivi è l'ora in cui i controlli dell'applicazione adattivi hanno creato l'avviso.

    Nota

    I controlli dell'applicazione adattivi calcolano gli eventi una volta ogni dodici ore. L'"ora di inizio dell'attività" visualizzata nella pagina degli avvisi è l'ora in cui i controlli dell'applicazione adattivi hanno creato l'avviso, non l'ora in cui il processo sospetto era attivo.

Spostare un computer da un gruppo a un altro

Quando si sposta un computer da un gruppo a un altro, i criteri di controllo dell'applicazione applicati cambiano in base alle impostazioni del gruppo in cui è stato spostato. È anche possibile spostare un computer da un gruppo configurato a un gruppo non configurato, in modo da rimuovere tutte le regole di controllo dell'applicazione applicate al computer.

  1. Aprire il dashboard Protezione del carico di lavoro e nell'area Protezione avanzata selezionare Controlli applicazione adattivi.

  2. Nella pagina Controlli applicazione adattivi selezionare il gruppo contenente il computer da spostare nella scheda Configurato.

  3. Aprire l'elenco dei computer configurati.

  4. Aprire il menu del computer da tre punti alla fine della riga e selezionare Sposta. Verrà visualizzato il riquadro Sposta computer in un gruppo diverso.

  5. Selezionare il gruppo di destinazione e selezionare Sposta computer.

  6. Per salvare le modifiche, selezionare Salva.

Gestire i controlli dell'applicazione tramite l'API REST

Per gestire i controlli dell'applicazione adattivi a livello di codice, usare l'API REST.

La documentazione dell'APIpertinente è disponibile nella sezione Controlli delle applicazioni adattivi della documentazione sulle API di Defender per Cloud.

Alcune delle funzioni disponibili nell'API REST:

  • List recupera tutte le raccomandazioni del gruppo e fornisce un json con un oggetto per ogni gruppo.

  • Get recupera il codice JSON con i dati di raccomandazione completi, ovvero l'elenco di computer, le regole di pubblicazione/percorso e così via.

  • Put configura la regola (usare il codice JSON recuperato con Get come corpo per questa richiesta).

    Importante

    La funzione Put prevede un numero di parametri inferiore a quello contenuto nel codice JSON restituito dal comando Get.

    Rimuovere le proprietà seguenti prima di usare il codice JSON nella richiesta Put: recommendationStatus, configurationStatus, issues, location e sourceSystem.

Domande frequenti - Controlli delle applicazioni adattivi

Sono disponibili opzioni per applicare i controlli dell'applicazione?

Non sono attualmente disponibili opzioni di imposizione. I controlli delle applicazioni adattivi sono destinati a fornire avvisi di sicurezza se un'applicazione viene eseguita in modo diverso da quelli definiti come sicuri. Hanno una gamma di vantaggi ( Quali sono i vantaggi dei controlli delle applicazioniadattivi?) e sono estremamente personalizzabili come illustrato in questa pagina.

Microsoft Defender per i server include l'analisi delle vulnerabilità per i computer senza costi aggiuntivi. Non è necessaria una licenza Qualys o anche un account Qualys: tutto viene gestito senza problemi all'interno di Defender for Cloud. Per informazioni dettagliate su questo scanner e per istruzioni su come distribuirlo, vedere La soluzione di valutazione della vulnerabilità qualysintegrata di Defender for Cloud.

Per assicurarsi che non siano generati avvisi quando Defender for Cloud distribuisce lo scanner, l'elenco dei controlli delle applicazioni adattivi consigliati include lo scanner per tutti i computer.

Passaggi successivi

In questa pagina si è appreso come usare il controllo delle applicazioni adattive in Microsoft Defender per Cloud per definire elenchi consentiti di applicazioni in esecuzione nei computer Azure e non Azure. Per altre informazioni su altre funzionalità di protezione del carico di lavoro cloud, vedere: