適応型アプリケーション制御を使用して、マシンの攻撃対象領域を減らすUse adaptive application controls to reduce your machines' attack surfaces

Azure Security Center の適応型アプリケーション制御の利点と、このデータ ドリブンでインテリジェントな機能を使用してセキュリティを強化する方法について学習します。Learn about the benefits of Azure Security Center's adaptive application controls and how you can enhance your security with this data-driven, intelligent feature.

Security Center の適応型アプリケーション制御とはWhat are Security Center's adaptive application controls?

適応型アプリケーション制御は、マシンの既知の安全なアプリケーションの許可リストを定義するためのインテリジェントで自動化されたソリューションです。Adaptive application controls are an intelligent and automated solution for defining allow lists of known-safe applications for your machines.

多くの場合、組織には、同じプロセスを定期的に実行するマシンのコレクションがあります。Often, organizations have collections of machines that routinely run the same processes. Security Center によって機械学習が使用され、マシン上で実行されているアプリケーションが分析され、既知の安全なソフトウェアのリストが作成されます。Security Center uses machine learning to analyze the applications running on your machines and create a list of the known-safe software. 許可リストは特定の Azure ワークロードに基づいています。以下の手順を使用して、推奨事項をさらにカスタマイズすることができます。Allow lists are based on your specific Azure workloads, and you can further customize the recommendations using the instructions below.

適応型アプリケーション制御を有効にして構成した場合、安全なものとして定義したもの以外のアプリケーションが実行されると、セキュリティ アラートが表示されます。When you've enabled and configured adaptive application controls, you'll get security alerts if any application runs other than the ones you've defined as safe.

適応型アプリケーション制御の利点とはWhat are the benefits of adaptive application controls?

既知の安全なアプリケーションのリストを定義し、それ以外のものが実行されたときにアラートを生成すると、以下のような複数のセキュリティ強化の目標を達成できます。By defining lists of known-safe applications, and generating alerts when anything else is executed, you can achieve multiple hardening goals:

  • 潜在的なマルウェア (マルウェア対策ソリューションでは見逃される可能性のあるものを含む) を識別するIdentify potential malware, even any that might be missed by antimalware solutions
  • ライセンスのあるソフトウェアのみの使用を規定するローカル セキュリティ ポリシーのコンプライアンスを強化するImprove compliance with local security policies that dictate the use of only licensed software
  • 古い、あるいはサポートされていないアプリケーションの実行を避けるAvoid running old or unsupported applications
  • 組織で禁止されている特定のソフトウェアが使用されないようにするPrevent specific software that's banned by your organization
  • 機密データにアクセスするアプリの監視を強化するIncrease oversight of apps that access sensitive data

可用性Availability

側面Aspect 詳細Details
リリース状態:Release state: 一般提供 (GA)Generally available (GA)
価格:Pricing: Azure Defender for servers が必要Requires Azure Defender for servers
サポートされているマシン:Supported machines: Yes Windows および Linux を実行する Azure と Azure 以外のマシンYes Azure and non-Azure machines running Windows and Linux
Yes Azure Arc マシンYes Azure Arc machines
必要なロールとアクセス許可:Required roles and permissions: セキュリティ閲覧者および閲覧者のいずれのロールでも、グループと、既知の安全なアプリケーションのリストを表示できますSecurity Reader and Reader roles can both view groups and the lists of known-safe applications
共同作成者およびセキュリティ管理者のいずれのロールでも、グループと、既知の安全なアプリケーションのリストを編集できますContributor and Security Admin roles can both edit groups and the lists of known-safe applications
クラウド:Clouds: Yes 商用クラウドCommercial clouds
Yes ナショナル/ソブリン (US Gov、China Gov、その他の Gov)National/Sovereign (US Gov, China Gov, Other Gov)

マシンのグループに対してアプリケーション制御を有効にするEnable application controls on a group of machines

類似した一連のアプリケーションを一貫して実行する、サブスクリプション内のマシンのグループが Security Center によって特定された場合は、次の推奨事項が示されます: 安全なアプリケーションの定義のために適応型アプリケーション制御をマシンで有効にする必要があるIf Security Center has identified groups of machines in your subscriptions that consistently run a similar set of applications, you'll be prompted with the following recommendation: Adaptive application controls for defining safe applications should be enabled on your machines.

推奨事項を選択するか、適応型アプリケーション制御ページを開いて、推奨される既知の安全なアプリケーションのリストとマシンのグループを表示します。Select the recommendation, or open the adaptive application controls page to view the list of suggested known-safe applications and groups of machines.

  1. Azure Defender ダッシュボードを開き、高度な保護領域から [適応型アプリケーション制御] を選択します。Open the Azure Defender dashboard and from the advanced protection area, select Adaptive application controls.

    Azure ダッシュボードから適応型アプリケーション制御を開く

    [適応型アプリケーション制御] ページが開き、VM が次のタブにグループ化されます。The Adaptive application controls page opens with your VMs grouped into the following tabs:

    • 構成済み - アプリケーションの許可リストが既に定義されているマシンのグループ。Configured - Groups of machines that already have a defined allow list of applications. グループごとに、[構成済み] タブには以下の内容が示されます。For each group, the configured tab shows:

      • グループ内のマシンの数the number of machines in the group
      • 最近のアラートrecent alerts
    • 推奨 - 同じアプリケーションを一貫して実行し、許可リストが構成されていないマシンのグループ。Recommended - Groups of machines that consistently run the same applications, and don't have an allow list configured. これらのグループに対して適応型アプリケーション制御を有効にすることをお勧めします。We recommend that you enable adaptive application controls for these groups.

      ヒント

      "REVIEWGROUP" というプレフィックスが付いたグループ名が表示される場合は、部分的に一貫性のあるアプリケーションのリストがあるマシンが含まれます。If you see a group name with the prefix "REVIEWGROUP", it contains machines with a a partially consistent list of applications. Security Center でパターンは表示できませんが、このグループを参照し、「グループの適応型アプリケーション制御規則の編集」の説明に従って、いくつかの適応型アプリケーション制御規則を "お客様" が手動で定義できるかどうかを確認することが推奨されます。Security Center can't see a pattern but recommends reviewing this group to see whether you can manually define some adaptive application controls rules as described in Editing a group's adaptive application controls rule.

      グループ間でマシンを移動する」の説明に従って、このグループから他のグループにマシンを移動することもできます。You can also move machines from this group to other groups as described in Move a machine from one group to another.

    • 推奨なし - アプリケーションの許可リストが定義されておらず、機能がサポートされていないマシン。No recommendation - Machines without a defined allow list of applications, and which don't support the feature. マシンは次の理由により、このタブに表示される場合があります。Your machine might be in this tab for the following reasons:

      • Log Analytics エージェントが欠落しているIt's missing a Log Analytics agent
      • Log Analytics エージェントによってイベントが送信されていないThe Log Analytics agent isn't sending events
      • GPO またはローカル セキュリティ ポリシーによって既存の AppLocker ポリシーが有効になっている Windows マシンであるIt's a Windows machine with a pre-existing AppLocker policy enabled by either a GPO or a local security policy

      ヒント

      マシンのグループごとに固有の推奨事項を定義するには、Security Center では少なくとも 2 週間分のデータが必要です。Security Center needs at least two weeks of data to define the unique recommendations per group of machines. 最近作成されたか、Azure Defender でのみ最近有効にされたサブスクリプションに属しているマシンは、 [推奨なし] タブの下に表示されます。Machines that have recently been created, or which belong to subscriptions that were only recently enabled with Azure Defender, will appear under the No recommendation tab.

  2. [推奨] タブを開きます。推奨される許可リストがあるマシンのグループが表示されます。Open the Recommended tab. The groups of machines with recommended allow lists appears.

    [推奨] タブ

  3. グループを選びます。Select a group.

  4. 新しい規則を構成するには、この [アプリケーションの制御に関する規則の構成] ページのさまざまなセクションとその内容を確認します。これは、特定のマシンのグループに固有のものです。To configure your new rule, review the various sections of this Configure application control rules page and the contents, which will be unique to this specific group of machines:

    新しい規則を構成する

    1. マシンの選択 - 既定では、識別されたグループ内のすべてのマシンが選択されます。Select machines - By default, all machines in the identified group are selected. いずれかの選択を解除すると、それらはこの規則から除外されます。Unselect any to removed them from this rule.

    2. 推奨アプリケーション - このグループ内のマシンに共通し、実行を許可することが推奨されるアプリケーションのこのリストを確認します。Recommended applications - Review this list of applications that are common to the machines within this group, and recommended to be allowed to run.

    3. その他のアプリケーション - このグループ内のマシンでの表示頻度が低いか、あるいは利用可能であることがわかっているアプリケーションのこのリストを確認します。More applications - Review this list of applications that are either seen less frequently on the machines within this group, or are known to be exploitable. 警告アイコンは、アプリケーションの許可リストをバイパスするために、特定のアプリケーションが攻撃者によって使用される可能性があることを示します。A warning icon indicates that a specific application could be used by an attacker to bypass an application allow list. これらのアプリケーションを慎重に確認することをお勧めします。We recommend that you carefully review these applications.

      ヒント

      どちらのアプリケーション リストにも、特定のアプリケーションを特定のユーザーに制限するオプションが含まれています。Both application lists include the option to restrict a specific application to certain users. 可能な限り、最小限の特権の原則を採用してください。Adopt the principle of least privilege whenever possible.

      アプリケーションは、発行元によって定義されます。アプリケーションに発行元情報がない (署名されていない) 場合、特定のアプリケーションの完全なパスに対してパス規則が作成されます。Applications are defined by their publishers, if an application doesn't have publisher information (it's unsigned), a path rule is created for the full path of the specific application.

    4. 規則を適用するには、 [監査] を選択します。To apply the rule, select Audit.

グループの適応型アプリケーション制御規則の編集Edit a group's adaptive application controls rule

組織内の既知の変更により、マシンのグループの許可リストを編集することができます。You might decide to edit the allow list for a group of machines because of known changes in your organization.

マシン グループの規則を編集するには、次のようにします。To edit the rules for a group of machines:

  1. Azure Defender ダッシュボードを開き、高度な保護領域から [適応型アプリケーション制御] を選択します。Open the Azure Defender dashboard and from the advanced protection area, select Adaptive application controls.

  2. [構成済み] タブから、規則を編集するグループを選択します。From the Configured tab, select the group with the rule you want to edit.

  3. マシンのグループに対する適応型アプリケーション制御の有効化に関する説明に従って、 [アプリケーションの制御に関する規則の構成] ページのさまざまなセクションを確認します。Review the various sections of the Configure application control rules page as described in Enable adaptive application controls on a group of machines.

  4. 必要に応じて、1 つまたは複数のカスタム規則を追加します。Optionally, add one or more custom rules:

    1. [規則の追加] を選択します。Select Add rule.

      カスタム規則を追加する

    2. 既知の安全なパスを定義する場合は、 [規則の種類] を [パス] に変更します。If you're defining a known safe path, change the Rule type to 'Path'. パスにはワイルドカードを含めることができます。You can include wildcards in the path.

      ヒント

      パスのワイルドカードが役立つ場合があるシナリオには、次のようなものがあります。Some scenarios for which wildcards in a path might be useful:

      • パスの末尾でワイルドカードを使用し、そのフォルダーとサブフォルダー内のすべての実行可能ファイルを許可します。Using a wildcard at the end of a path to allow all executables within this folder and sub-folders.
      • パスの途中でワイルドカードを使用し、変化するフォルダー名を持つ既知の実行可能ファイルの名前 (既知の実行可能ファイルを含む個人ユーザー フォルダーや自動生成されたフォルダー名など) を有効にします。Using a wildcard in the middle of a path to enable a known executable name with a changing folder name (for example, personal user folders containing a known executable, automatically generated folder names, etc).
    3. 許可されるユーザーと保護されるファイルの種類を定義します。Define the allowed users and protected file types.

    4. 規則の定義が完了したら、 [追加] を選択します。When you've finished defining the rule, select Add.

  5. 変更を適用するには、 [保存] を選択します。To apply the changes, select Save.

グループの設定を確認して編集するReview and edit a group's settings

  1. グループの詳細と設定を表示するには、 [グループ設定] を選択しますTo view the details and settings of your group, select Group settings

    このウィンドウには、グループの名前 (変更可能)、OS の種類、場所、およびその他の関連する詳細が表示されます。This pane shows the name of the group (which can be modified), the OS type, the location, and other relevant details.

    Azure ダッシュボードから適応型アプリケーション制御を開く

    重要

    [ファイルの種類の保護モード] 設定の [強制] オプションは、すべてのシナリオで淡色表示されます。The Enforce option, in the file type protection mode settings, is greyed out in all scenarios. 現時点では、利用できる強制オプションはありません。No enforcement options are available at this time.

    Azure ダッシュボードから適応型アプリケーション制御を開く

  2. 必要に応じて、グループの名前やファイルの種類の保護モードを変更します。Optionally, modify the group's name or file type protection modes.

  3. [適用] を選択し、 [保存] を選択します。Select Apply and Save.

[適応型アプリケーション制御ポリシーの許可リスト ルールを更新する必要がある] 推奨事項への対応Respond to the "Allowlist rules in your adaptive application control policy should be updated" recommendation

Security Center の機械学習で、以前は許可されていなかった、正当である可能性のある動作が識別された場合、この推奨事項が表示されます。You'll see this recommendation when Security Center's machine learning identifies potentially legitimate behavior that hasn't previously been allowed. 誤検知アラートの数を減らすために、推奨事項で既存の定義の新しい規則が提案されます。The recommendation suggests new rules for your existing definitions to reduce the number of false positive alerts.

問題を修復するには、次のようにします。To remediate the issues:

  1. 推奨事項ページから、 [適応型アプリケーション制御ポリシーの許可リスト ルールを更新する必要がある] 推奨事項を選択し、新しく識別された、正当である可能性のある動作のグループを表示します。From the recommendations page, select the Allowlist rules in your adaptive application control policy should be updated recommendation to see groups with newly identified, potentially legitimate behavior.

  2. 規則を編集するグループを選択します。Select the group with the rule you want to edit.

  3. マシンのグループに対する適応型アプリケーション制御の有効化に関する説明に従って、 [アプリケーションの制御に関する規則の構成] ページのさまざまなセクションを確認します。Review the various sections of the Configure application control rules page as described in Enable adaptive application controls on a group of machines.

  4. 変更を適用するには、 [監査] を選択します。To apply the changes, select Audit.

アラートと違反の監査Audit alerts and violations

  1. Azure Defender ダッシュボードを開き、高度な保護領域から [適応型アプリケーション制御] を選択します。Open the Azure Defender dashboard and from the advanced protection area, select Adaptive application controls.

  2. 最近のアラートが示されたマシンのグループを表示するには、 [構成済み] タブに一覧表示されているグループを確認します。To see groups with machines that have recent alerts, review the groups listed in the Configured tab.

  3. さらに調査するには、グループを選択します。To investigate further, select a group.

    最近のアラート

  4. 詳細および影響を受けるマシンのリストを表示するには、アラートを選択します。For further details, and the list of affected machines, select an alert.

グループ間でマシンを移動するMove a machine from one group to another

グループ間でマシンを移動すると、適用されていたアプリケーション制御ポリシーが移動先のグループの設定に変更されます。When you move a machine from one group to another, the application control policy applied to it changes to the settings of the group that you moved it to. 構成されたグループから構成されていないグループにマシンを移動することもできます。これにより、マシンに適用されていたアプリケーション制御規則がすべて削除されます。You can also move a machine from a configured group to a non-configured group, doing so removes any application control rules that were applied to the machine.

  1. Azure Defender ダッシュボードを開き、高度な保護領域から [適応型アプリケーション制御] を選択します。Open the Azure Defender dashboard and from the advanced protection area, select Adaptive application controls.

  2. [適応型アプリケーション制御] ページの [構成済み] タブから、移動対象のマシンを含むグループを選択します。From the Adaptive application controls page, from the Configured tab, select the group containing the machine to be moved.

  3. [構成されたマシン] のリストを開きます。Open the list of Configured machines.

  4. 行の末尾にある 3 つの点をクリックしてマシンのメニューを開き、 [移動] を選択します。Open the machine's menu from three dots at the end of the row, and select Move. [Move machine to a different group](マシンを別のグループに移動する) ペインが開きます。The Move machine to a different group pane opens.

  5. 移動先グループを選び、 [Move machine](マシンを移動) を選択します。Select the destination group, and select Move machine.

  6. 変更を保存するには、 [保存] を選択します。To save your changes, select Save.

REST API を使用したアプリケーション制御の管理Manage application controls via the REST API

適応型アプリケーション制御をプログラムで管理するには、REST API を使用します。To manage your adaptive application controls programatically, use our REST API.

完全な API のドキュメントはこちらにあります。The full API documentation is here.

REST API から使用できる関数をいくつか以下に示します。Some of the functions that are available from the REST API:

  • List を使用すると、すべてのグループの推奨事項が取得され、各グループのオブジェクトを含む JSON が提供されます。List retrieves all your group recommendations and provides a JSON with an object for each group.

  • Get を使用すると、すべての推奨データ (つまり、マシン、発行元またはパスの規則のリスト) を含む JSON が取得されます。Get retrieves the JSON with the full recommendation data (that is, list of machines, publisher/path rules, and so on).

  • Put を使用すると、規則が構成されます (この要求の本文として、Get で取得した JSON を使用)。Put configures your rule (use the JSON you retrieved with Get as the body for this request).

    重要

    Put 関数には、Get コマンドによって返される JSON に含まれるものより少ない数のパラメーターが必要です。The Put function expects fewer parameters than the JSON returned by the Get command contains.

    Put 要求で JSON を使用する前に、recommendationStatus、configurationStatus、issues、location、sourceSystem の各プロパティを削除してください。Remove the following properties before using the JSON in the Put request: recommendationStatus, configurationStatus, issues, location, and sourceSystem.

次の手順Next steps

このドキュメントでは、Azure と Azure 以外のマシンで実行されるアプリケーションの許可リストを定義するために、Azure Security Center で適応型アプリケーション制御を使用する方法を学習しました。In this document, you learned how to use adaptive application control in Azure Security Center to define allow lists of applications running on your Azure and non-Azure machines. Security Center の他のいくつかのクラウド ワークロード保護機能の詳細については、次のページを参照してください。To learn more about some of Security Center's other cloud workload protection features, see: