Migliorare la postura di sicurezza della rete con la protezione avanzata adattiva per la rete

La protezione avanzata della rete adattiva è una funzionalità senza agente di Microsoft Defender for Cloud: non è necessario installare nulla nei computer per trarre vantaggio da questo strumento di protezione avanzata della rete.

Questa pagina illustra come configurare e gestire la protezione avanzata della rete adattiva in Defender for Cloud.

Disponibilità

Aspetto Dettagli
Stato della versione: Disponibilità generale (GA)
Prezzi: Richiede Microsoft Defender per server piano 2
Autorizzazioni e ruoli obbligatori: Autorizzazioni di scrittura per i gruppi di sicurezza di rete del computer
Cloud: Cloud commerciali
Nazionale (Azure per enti pubblici, Azure China 21Vianet)
Account AWS connessi

Che cos'è la protezione avanzata della rete adattiva?

L'applicazione dei gruppi di sicurezza di rete (NSG) per filtrare il traffico verso e dalle risorse migliora il comportamento di sicurezza di rete. In alcuni casi, tuttavia, è comunque possibile che il traffico effettivo che attraversa il gruppo di sicurezza di rete corrisponda a un subset delle regole del gruppo di sicurezza di rete definite. In questi casi è possibile migliorare ancora il comportamento di sicurezza applicando la protezione avanzata alle regole del gruppo di sicurezza di rete, in base ai criteri effettivi del traffico.

Protezione avanzata adattiva per la rete fornisce raccomandazioni per migliorare ulteriormente la protezione delle regole dei gruppi di sicurezza di rete. Usa un algoritmo di Machine Learning che prende in considerazione il traffico effettivo, la configurazione attendibile nota, l'intelligence sulle minacce e altri indicatori di compromissione e quindi fornisce raccomandazioni per consentire il traffico solo da tuple di IP/porta specifiche.

Ad esempio, si supponga che la regola NSG esistente consenta il traffico da 140.20.30.10/24 sulla porta 22. In base all'analisi del traffico, la protezione avanzata della rete adattiva potrebbe consigliare di limitare l'intervallo per consentire il traffico da 140.23.30.10/29 e negare tutto il traffico a tale porta. Per l'elenco completo delle porte supportate, vedere la voce Domande frequenti Quali porte sono supportate?.

  1. Dal menu di Defender for Cloud aprire il dashboard Protezione dei carichi di lavoro .

  2. Selezionare il riquadro di protezione avanzata della rete adattiva (1) o l'elemento del pannello informazioni dettagliate correlato alla protezione avanzata della rete adattiva (2).

    Accessing the adaptive network hardening tools.

    Suggerimento

    Il pannello informazioni dettagliate mostra la percentuale delle macchine virtuali attualmente difese con protezione avanzata della rete adattiva.

  3. La pagina dei dettagli per le raccomandazioni di protezione avanzata rete adattiva deve essere applicata alle macchine virtuali con connessione Internet si apre con le macchine virtuali di rete raggruppate in tre schede:

    • Risorse non integre: le macchine virtuali che attualmente dispongono di raccomandazioni e avvisi attivati eseguendo l'algoritmo di protezione avanzata della rete adattiva.
    • Risorse integre: macchine virtuali senza avvisi e raccomandazioni.
    • Risorse non visualizzate: le macchine virtuali che l'algoritmo di protezione avanzata della rete adattiva non può essere eseguito a causa di uno dei motivi seguenti:
      • Le macchine virtuali sono macchine virtuali classiche: sono supportate solo macchine virtuali di Azure Resource Manager.
      • Non sono disponibili dati sufficienti: per generare raccomandazioni di protezione avanzata del traffico accurate, Defender for Cloud richiede almeno 30 giorni di dati del traffico.
      • La macchina virtuale non è protetta da Microsoft Defender per server: solo le macchine virtuali protette con Microsoft Defender per server sono idonee per questa funzionalità.

    Details page of the recommendation Adaptive Network Hardening recommendations should be applied on internet facing virtual machines.

  4. Nella scheda Risorse non integre selezionare una macchina virtuale per visualizzarne gli avvisi e le regole di protezione avanzata consigliate da applicare.

    • La scheda Regole elenca le regole che la protezione avanzata della rete adattiva consiglia di aggiungere
    • La scheda Avvisi elenca gli avvisi generati a causa del traffico, che scorre alla risorsa, che non rientra nell'intervallo IP consentito nelle regole consigliate.
  5. Facoltativamente, modificare le regole:

  6. Selezionare le regole da applicare nel gruppo di sicurezza di rete e selezionare Applica.

    Suggerimento

    Se gli intervalli IP di origine consentiti vengono visualizzati come "Nessuna", significa che la regola consigliata è una regola di negazione , in caso contrario, è una regola di autorizzazione .

    Managing adaptive network hardening rules.

    Nota

    Le regole applicate vengono aggiunte ai gruppi di sicurezza di rete che proteggono la macchina virtuale. Una macchina virtuale può essere protetta da un gruppo di sicurezza di rete associato alla scheda di interfaccia di rete o alla subnet in cui risiede la macchina virtuale o entrambi.

Modificare una regola

È possibile modificare i parametri di una regola consigliata. Ad esempio, è possibile modificare gli intervalli IP consigliati.

Alcune linee guida importanti per modificare una regola di protezione avanzata della rete adattiva:

Per modificare una regola di protezione avanzata della rete adattiva:

  1. Per modificare alcuni dei parametri di una regola, nella scheda Regole selezionare sui tre punti (...) alla fine della riga della regola e selezionare Modifica.

    Editing s rule.

  2. Nella finestra Modifica regola aggiornare i dettagli da modificare e selezionare Salva.

    Nota

    Dopo aver selezionato Salva, la regola è stata modificata correttamente. Tuttavia, non l'hai applicata al gruppo di sicurezza di rete. Per applicarlo , è necessario selezionare la regola nell'elenco e selezionare Applica (come illustrato nel passaggio successivo).

    Selecting Save.

  3. Per applicare la regola aggiornata, nell'elenco selezionare la regola aggiornata e selezionare Applica.

    enforce rule.

Aggiungere una nuova regola

È possibile aggiungere una regola "allow" non consigliata da Defender for Cloud.

Nota

È possibile aggiungere qui solo le regole "allow". Se si desidera aggiungere regole "nega", è possibile farlo direttamente nel gruppo di sicurezza di rete. Per altre informazioni, vedere Creare, modificare o eliminare un gruppo di sicurezza di rete.

Per aggiungere una regola di protezione avanzata della rete adattiva:

  1. Nella barra degli strumenti superiore selezionare Aggiungi regola.

    add rule.

  2. Nella finestra Nuova regola immettere i dettagli e selezionare Aggiungi.

    Nota

    Dopo aver selezionato Aggiungi, è stata aggiunta la regola e viene elencata con le altre regole consigliate. Tuttavia, non l'hai applicata nel gruppo di sicurezza di rete. Per attivarlo, è necessario selezionare la regola nell'elenco e selezionare Applica (come illustrato nel passaggio successivo).

  3. Per applicare la nuova regola, nell'elenco selezionare la nuova regola e selezionare Applica.

    enforce rule.

Eliminare una regola

Se necessario, è possibile eliminare una regola consigliata per la sessione corrente. Ad esempio, è possibile determinare che l'applicazione di una regola suggerita potrebbe bloccare il traffico legittimo.

Per eliminare una regola di protezione avanzata della rete adattiva per la sessione corrente:

  • Nella scheda Regole selezionare i tre punti (...) alla fine della riga della regola e selezionare Elimina.

    Deleting a rule.

Domande frequenti - Protezione avanzata della rete adattiva

Quali porte sono supportate?

Le raccomandazioni di protezione avanzata della rete adattiva sono supportate solo nelle porte specifiche seguenti (sia per UDP che PER TCP):

13, 17, 19, 22, 23, 53, 69, 81, 111, 119, 123, 135, 137, 138, 139, 161, 162, 389, 445, 512, 514, 593, 636, 873, 1433, 1434, 1900, 2049, 2301, 2323, 2381, 3268, 3306, 3389, 4333, 5353, 5432, 5555, 5800, 5900, 5900, 5985, 5986, 6379, 6379, 7000, 7001, 7199, 8081, 8089, 8545, 9042, 9160, 9300, 11211, 16379, 26379, 27017, 37215

Esistono prerequisiti o estensioni della macchina virtuale necessarie per la protezione avanzata della rete adattiva?

La protezione avanzata della rete adattiva è una funzionalità senza agente di Microsoft Defender for Cloud: non è necessario installare nulla nei computer per trarre vantaggio da questo strumento di protezione avanzata della rete.

Quando è necessario usare una regola "Nega tutto il traffico"?

È consigliabile rifiutare tutte le regole di traffico quando, in seguito all'esecuzione dell'algoritmo, Defender for Cloud non identifica il traffico che deve essere consentito, in base alla configurazione del gruppo di sicurezza di rete esistente. Pertanto, la regola consigliata consiste nel negare tutto il traffico verso la porta specificata. Il nome di questo tipo di regola viene visualizzato come "System Generated". Dopo l'applicazione di questa regola, il nome effettivo nel gruppo di sicurezza di rete sarà una stringa costituita dal protocollo, dalla direzione del traffico, da "DENY" e da un numero casuale.