Abilitare e gestire i controlli applicazioni adattivi
I controlli applicazioni adattivi di Microsoft Defender per il cloud offrono una soluzione automatizzata basata sui dati e intelligente che migliora la sicurezza definendo elenchi consentiti di applicazioni sicure note per i computer. Con questa funzionalità, le organizzazioni possono gestire raccolte di computer che eseguono regolarmente gli stessi processi. Usando l'apprendimento automatico, Microsoft Defender per il cloud può analizzare le applicazioni in esecuzione nei computer e creare un elenco di software sicuro noto. Questi elenchi di elementi consentiti sono basati su carichi di lavoro di Azure specifici. È possibile personalizzare ulteriormente le raccomandazioni usando le istruzioni fornite in questa pagina.
In un gruppo di computer
Se Microsoft Defender per il cloud ha identificato gruppi di computer nelle sottoscrizioni che eseguono in modo coerente un set di applicazioni simile, verrà richiesto il suggerimento seguente: I controlli applicazioni adattivi per la definizione di applicazioni sicure devono essere abilitati nei computer.
Selezionare la raccomandazione oppure aprire la pagina dei controlli applicazioni adattivi per visualizzare l'elenco di applicazioni e gruppi di computer noti suggeriti.
Aprire il dashboard Protezione del carico di lavoro e nell'area protezione avanzata selezionare Controlli applicazioni adattivi.
Viene visualizzata la pagina Controlli applicazione adattivi con le macchine virtuali raggruppate nelle schede seguenti:
Configurato : gruppi di computer che dispongono già di un elenco di applicazioni consentito definito. Per ogni gruppo, la scheda configurata mostra:
- numero di computer nel gruppo
- avvisi recenti
Consigliato : gruppi di computer che eseguono in modo coerente le stesse applicazioni e non dispongono di un elenco di elementi consentiti configurato. È consigliabile abilitare i controlli applicazioni adattivi per questi gruppi.
Suggerimento
Se viene visualizzato un nome di gruppo con il prefisso REVIEWGROUP, contiene computer con un elenco parzialmente coerente di applicazioni. Microsoft Defender per il cloud non è possibile visualizzare un modello, ma consiglia di esaminare questo gruppo per verificare se è possibile definire manualmente alcune regole dei controlli applicazioni adattivi come descritto in Modificare la regola dei controlli applicazioni adattivi di un gruppo.
È anche possibile spostare i computer da questo gruppo ad altri gruppi, come descritto in Spostare un computer da un gruppo a un altro.
Nessuna raccomandazione : i computer senza un elenco consentito definito di applicazioni e che non supportano la funzionalità. Il computer potrebbe trovarsi in questa scheda per i motivi seguenti:
- Manca un agente di Log Analytics
- L'agente di Log Analytics non invia eventi
- Si tratta di un computer Windows con criteri di AppLocker preesistenti abilitati da un oggetto Criteri di gruppo o da un criterio di sicurezza locale
- AppLocker non è disponibile (installazioni di Windows Server Core)
Suggerimento
Defender per il cloud richiede almeno due settimane di dati per definire i consigli univoci per ogni gruppo di computer. I computer che sono stati creati di recente o che appartengono a sottoscrizioni protette solo di recente da Microsoft Defender per server verranno visualizzati nella scheda Nessuna raccomandazione .
Aprire la scheda Consigliato . Vengono visualizzati i gruppi di computer con elenchi consentiti consigliati.
Selezionare un gruppo.
Per configurare la nuova regola, esaminare le varie sezioni della pagina Configurare le regole di controllo delle applicazioni e il contenuto, che sarà univoco per questo gruppo specifico di computer:
Selezionare i computer : per impostazione predefinita, vengono selezionati tutti i computer nel gruppo identificato. Deselezionare gli eventuali elementi da rimuovere da questa regola.
Applicazioni consigliate: esaminare questo elenco di applicazioni comuni ai computer all'interno di questo gruppo e consigliate per l'esecuzione.
Altre applicazioni : esaminare questo elenco di applicazioni che vengono visualizzate meno frequentemente nei computer all'interno di questo gruppo o che sono note per essere sfruttabili. Un'icona di avviso indica che un'applicazione specifica può essere usata da un utente malintenzionato per ignorare un elenco di elementi consentiti dell'applicazione. È consigliabile esaminare attentamente queste applicazioni.
Suggerimento
Entrambi gli elenchi di applicazioni includono l'opzione per limitare un'applicazione specifica a determinati utenti. Adottare il principio dei privilegi minimi quando possibile.
Le applicazioni vengono definite dai rispettivi editori. Se un'applicazione non dispone di informazioni sull'editore (non firmato), viene creata una regola di percorso per il percorso completo dell'applicazione specifica.
Per applicare la regola, selezionare Controlla.
Modificare la regola dei controlli applicazioni adattivi di un gruppo
È possibile decidere di modificare l'elenco di elementi consentiti per un gruppo di computer a causa di modifiche note nell'organizzazione.
Per modificare le regole per un gruppo di computer:
Aprire il dashboard Protezione del carico di lavoro e nell'area protezione avanzata selezionare Controlli applicazioni adattivi.
Nella scheda Configurato selezionare il gruppo con la regola da modificare.
Esaminare le varie sezioni della pagina Configurare le regole di controllo delle applicazioni come descritto in In un gruppo di computer.
Facoltativamente, aggiungere una o più regole personalizzate:
- Seleziona Aggiungi regola.
Se si definisce un percorso sicuro noto, modificare il tipo di regola in "Percorso" e immettere un singolo percorso. È possibile includere caratteri jolly nel percorso. Le schermate seguenti illustrano alcuni esempi di come usare i caratteri jolly.
Suggerimento
Alcuni scenari per i quali i caratteri jolly in un percorso potrebbero essere utili:
- Utilizzando un carattere jolly alla fine di un percorso per consentire tutti i file eseguibili all'interno di questa cartella e sottocartelle.
- Usando un carattere jolly al centro di un percorso per abilitare un nome eseguibile noto con un nome di cartella modificato( ad esempio, cartelle utente personali contenenti un eseguibile noto, nomi di cartelle generati automaticamente e così via).
Definire gli utenti consentiti e i tipi di file protetti.
Al termine della definizione della regola, selezionare Aggiungi.
Per applicare le modifiche, selezionare Salva.
Rivedere e modificare le impostazioni di un gruppo
Per visualizzare i dettagli e le impostazioni del gruppo, selezionare Impostazioni gruppo.
Questo riquadro mostra il nome del gruppo (che può essere modificato), il tipo di sistema operativo, la posizione e altri dettagli pertinenti.
Facoltativamente, modificare il nome del gruppo o le modalità di protezione dei tipi di file.
Selezionare Applica e Salva.
Rispondere alla raccomandazione "Allowlist rules in your adaptive application control policy should be updated" (Le regole consentite nei criteri di controllo applicazioni adattivi devono essere aggiornate)
Questa raccomandazione verrà visualizzata quando l'apprendimento automatico di Defender per il cloud identifica un comportamento potenzialmente legittimo che non è stato consentito in precedenza. La raccomandazione suggerisce nuove regole per le definizioni esistenti per ridurre il numero di avvisi falsi positivi.
Per correggere i problemi:
Nella pagina delle raccomandazioni selezionare le regole consenti nei criteri di controllo delle applicazioni adattivi devono essere aggiornate per visualizzare i gruppi con un comportamento potenzialmente legittimo identificato.
Selezionare il gruppo con la regola da modificare.
Esaminare le varie sezioni della pagina Configurare le regole di controllo delle applicazioni come descritto in In un gruppo di computer.
Per applicare le modifiche, selezionare Controlla.
Controllare avvisi e violazioni
Aprire il dashboard Protezione del carico di lavoro e nell'area protezione avanzata selezionare Controlli applicazioni adattivi.
Per visualizzare i gruppi con computer con avvisi recenti, esaminare i gruppi elencati nella scheda Configurato .
Per approfondire l'analisi, selezionare un gruppo.
Per altri dettagli e l'elenco dei computer interessati, selezionare un avviso.
La pagina degli avvisi di sicurezza mostra altri dettagli degli avvisi e fornisce un collegamento Azione di esecuzione con raccomandazioni su come attenuare la minaccia.
Nota
I controlli applicazioni adattivi calcolano gli eventi una volta ogni dodici ore. L'ora di inizio dell'attività visualizzata nella pagina degli avvisi di sicurezza è l'ora in cui i controlli adattivi dell'applicazione hanno creato l'avviso, non l'ora in cui il processo sospetto è stato attivo.
Spostare un computer da un gruppo a un altro
Quando si sposta un computer da un gruppo a un altro, i criteri di controllo dell'applicazione applicati cambiano alle impostazioni del gruppo in cui è stato spostato. È anche possibile spostare un computer da un gruppo configurato a un gruppo non configurato, che rimuove tutte le regole di controllo dell'applicazione applicate al computer.
Aprire il dashboard Protezione del carico di lavoro e nell'area protezione avanzata selezionare Controlli applicazioni adattivi.
Nella pagina Controlli applicazione adattivi selezionare il gruppo contenente il computer da spostare nella scheda Configurata.
Aprire l'elenco computer configurati.
Aprire il menu del computer da tre puntini alla fine della riga e selezionare Sposta. Verrà visualizzato il riquadro Sposta computer in un gruppo diverso.
Selezionare il gruppo di destinazione e selezionare Sposta computer.
Seleziona Salva per salvare le modifiche.
Gestire i controlli dell'applicazione tramite l'API REST
Per gestire i controlli delle applicazioni adattivi a livello di codice, usare l'API REST.
La documentazione dell'API pertinente è disponibile nella sezione Controlli applicazioni adattivi della documentazione dell'API di Defender per il cloud.
Alcune delle funzioni disponibili nell'API REST includono:
L'elenco recupera tutte le raccomandazioni del gruppo e fornisce un codice JSON con un oggetto per ogni gruppo.
Recupera il codice JSON con i dati di raccomandazione completi, ovvero un elenco di computer, regole di pubblicazione/percorso e così via.
Put configura la regola (usare il codice JSON recuperato con Get come corpo per questa richiesta).
Importante
La funzione Put prevede un minor numero di parametri rispetto al codice JSON restituito dal comando Get .
Rimuovere le proprietà seguenti prima di usare il codice JSON nella richiesta Put : recommendationStatus, configurationStatus, issues, location e sourceSystem.
Passaggi successivi
In questa pagina si è appreso come usare il controllo applicazioni adattivo in Microsoft Defender per il cloud per definire elenchi consentiti di applicazioni in esecuzione nei computer Azure e non Azure. Per altre informazioni su altre funzionalità di protezione del carico di lavoro cloud, vedere:
- Informazioni sull'accesso JIT alle macchine virtuali
- Protezione dei cluster Azure Kubernetes
- Visualizzare una domanda comune sui controlli applicazioni adattivi