De beveiligingspostuur van uw netwerk verbeteren met adaptieve netwerkbeveiliging

Adaptieve netwerkbeveiliging is een functie zonder agents van Microsoft Defender voor Cloud. Er hoeft niets op uw computers te worden geïnstalleerd om te profiteren van dit hulpprogramma voor netwerkbeveiliging.

Op deze pagina wordt uitgelegd hoe u adaptieve netwerkbeveiliging configureert en beheert in Defender voor Cloud.

Beschikbaarheid

Aspect Details
Releasestatus: Algemene beschikbaarheid (GA)
Prijzen: Vereist Microsoft Defender for Servers Plan 2
Vereiste rollen en machtigingen: Schrijfmachtigingen op de NSG's van de computer
Clouds: Commerciële clouds
Nationaal (Azure Government, Azure China 21Vianet)
Verbonden AWS-accounts

Wat is adaptieve netwerkbeveiliging?

Door netwerkbeveiligingsgroepen (NSG) toe te passen om verkeer van en naar resources te filteren, wordt uw netwerkbeveiligingspostuur verbeterd. Maar er kunnen toch nog enkele gevallen zijn waarin het werkelijke verkeer dat via de NSG stroomt een subset is van de gedefinieerde NSG-regels. In dergelijke gevallen kunt u het beveiligingspostuur verder verbeteren door de NSG-regels te versterken op basis van de werkelijke verkeerspatronen.

Adaptieve netwerkbeveiliging biedt aanbevelingen om de NSG-regels verder te beveiligen. Het maakt gebruik van een machine learning-algoritme dat rekening houdt met werkelijk verkeer, bekende vertrouwde configuratie, bedreigingsinformatie en andere aanwijzingen voor aantasting, en geeft vervolgens aanbevelingen om alleen verkeer van bepaalde IP-/poort-tuples toe te staan.

Stel dat de bestaande NSG-regel verkeer vanaf 140.20.30.10/24 op poort 22 toestaat. Op basis van verkeersanalyse kan adaptieve netwerkbeveiliging het beste het bereik beperken om verkeer van 140.23.30.10/29 toe te staan en al het andere verkeer naar die poort te weigeren. Zie de veelgestelde vragen over welke poorten worden ondersteund voor de volledige lijst met ondersteunde poorten.

  1. Open in het menu van Defender voor Cloud het dashboard Workloadbeveiliging.

  2. Selecteer de tegel adaptieve netwerkbeveiliging (1) of het deelvenster-item inzichten met betrekking tot adaptieve netwerkbeveiliging (2).

    Accessing the adaptive network hardening tools.

    Tip

    In het deelvenster Inzichten ziet u het percentage van uw VM's dat momenteel wordt verdedigd met adaptieve netwerkbeveiliging.

  3. De detailpagina voor de aanbevelingen voor adaptieve netwerkbeveiliging moet worden toegepast op de aanbeveling voor internetgerichte virtuele machines wordt geopend met uw netwerk-VM's gegroepeerd op drie tabbladen:

    • Resources met een slechte status: VM's die momenteel aanbevelingen en waarschuwingen hebben die zijn geactiveerd door het algoritme voor adaptieve netwerkbeveiliging uit te voeren.
    • Resources in orde: VM's zonder waarschuwingen en aanbevelingen.
    • Niet-gescande resources: VM's waarop het algoritme voor adaptieve netwerkbeveiliging niet kan worden uitgevoerd vanwege een van de volgende redenen:
      • VM's zijn klassieke VM's: alleen Azure Resource Manager-VM's worden ondersteund.
      • Er zijn onvoldoende gegevens beschikbaar: om nauwkeurige aanbevelingen voor verkeersbeveiliging te genereren, vereist Defender voor Cloud ten minste 30 dagen aan verkeersgegevens.
      • VM wordt niet beveiligd door Microsoft Defender voor Servers: alleen VM's die zijn beveiligd met Microsoft Defender voor Servers komen in aanmerking voor deze functie.

    Details page of the recommendation Adaptive network hardening recommendations should be applied on internet facing virtual machines.

  4. Selecteer op het tabblad Beschadigde resources een VIRTUELE machine om de waarschuwingen en de aanbevolen regels voor beveiliging toe te passen.

    • Het tabblad Regels bevat de regels die adaptieve netwerkbeveiliging aanbeveelt om toe te voegen
    • Het tabblad Waarschuwingen bevat de waarschuwingen die zijn gegenereerd vanwege verkeer, die naar de resource stromen, die zich niet binnen het IP-bereik bevindt dat is toegestaan in de aanbevolen regels.
  5. Bewerk desgewenst de regels:

  6. Selecteer de regels die u wilt toepassen op de NSG en selecteer Afdwingen.

    Tip

    Als de toegestane bron-IP-bereiken worden weergegeven als Geen, betekent dit dat de aanbevolen regel een regel voor weigeren is, anders is het een regel voor toestaan .

    Managing adaptive network hardening rules.

    Notitie

    De afgedwongen regels worden toegevoegd aan de NSG(s) die de VIRTUELE machine beveiligen. (Een VM kan worden beveiligd door een NSG die is gekoppeld aan de NIC, of het subnet waarin de VIRTUELE machine zich bevindt, of beide)

Een regel wijzigen

Mogelijk wilt u de parameters wijzigen van een regel die is aanbevolen. U kunt bijvoorbeeld de aanbevolen IP-bereiken wijzigen.

Enkele belangrijke richtlijnen voor het wijzigen van een adaptieve netwerkbeveiligingsregel:

Een adaptieve netwerkbeveiligingsregel wijzigen:

  1. Als u enkele parameters van een regel wilt wijzigen, selecteert u op het tabblad Regels de drie puntjes (...) aan het einde van de rij van de regel en selecteert u Bewerken.

    Editing s rule.

  2. Werk in het venster Regel bewerken de details bij die u wilt wijzigen en selecteer Opslaan.

    Notitie

    Nadat u Opslaan hebt geselecteerd, hebt u de regel gewijzigd. U hebt deze echter niet toegepast op de NSG. Als u deze wilt toepassen, moet u de regel in de lijst selecteren en Afdwingen selecteren (zoals uitgelegd in de volgende stap).

    Selecting Save.

  3. Als u de bijgewerkte regel wilt toepassen, selecteert u in de lijst de bijgewerkte regel en selecteert u Afdwingen.

    enforce rule.

Een nieuwe regel toevoegen

U kunt een regel voor toestaan toevoegen die niet is aanbevolen door Defender voor Cloud.

Notitie

Hier kunnen alleen regels voor toestaan worden toegevoegd. Als u 'weigeren'-regels wilt toevoegen, kunt u dit rechtstreeks doen op de NSG. Zie Een netwerkbeveiligingsgroep maken, wijzigen of verwijderen voor meer informatie.

Een adaptieve netwerkbeveiligingsregel toevoegen:

  1. Selecteer Regel toevoegen in de bovenste werkbalk.

    add rule.

  2. Voer in het venster Nieuwe regel de details in en selecteer Toevoegen.

    Notitie

    Nadat u Toevoegen hebt geselecteerd, hebt u de regel toegevoegd en wordt deze weergegeven met de andere aanbevolen regels. U hebt deze echter niet toegepast op de NSG. Als u deze wilt activeren, moet u de regel in de lijst selecteren en Afdwingen selecteren (zoals uitgelegd in de volgende stap).

  3. Als u de nieuwe regel wilt toepassen, selecteert u in de lijst de nieuwe regel en selecteert u Afdwingen.

    enforce rule.

Een regel verwijderen

Indien nodig kunt u een aanbevolen regel voor de huidige sessie verwijderen. U kunt bijvoorbeeld bepalen dat het toepassen van een voorgestelde regel legitiem verkeer kan blokkeren.

Een adaptieve netwerkbeveiligingsregel verwijderen voor uw huidige sessie:

  • Selecteer op het tabblad Regels de drie puntjes (...) aan het einde van de rij van de regel en selecteer Verwijderen.

    Deleting a rule.

Veelgestelde vragen - Adaptieve netwerkbeveiliging

Welke poorten worden ondersteund?

Aanbevelingen voor adaptieve netwerkbeveiliging worden alleen ondersteund op de volgende specifieke poorten (voor zowel UDP als TCP):

13, 17, 19, 22, 23, 53, 69, 81, 111, 119, 123, 135, 137, 138, 139, 161, 162, 389, 445, 512, 514, 593, 636, 873, 1433, 1434, 1900, 2049, 2301, 2323, 2381, 3268, 3306, 3389, 4333, 5353, 5432, 5555, 5800, 5900, 5900, 5985, 5986, 6379, 6379, 7000, 7001, 7199, 8081, 8089, 8545, 9042, 9160, 9300, 11211, 16379, 26379, 27017, 37215

Zijn er vereisten of VM-extensies vereist voor adaptieve netwerkbeveiliging?

Adaptieve netwerkbeveiliging is een functie zonder agents van Microsoft Defender voor Cloud. Er hoeft niets op uw computers te worden geïnstalleerd om te profiteren van dit hulpprogramma voor netwerkbeveiliging.

Wanneer moet ik een regel 'Al het verkeer weigeren' gebruiken?

Een regel voor het weigeren van alle verkeer wordt aanbevolen wanneer, als gevolg van het uitvoeren van het algoritme, Defender voor Cloud geen verkeer identificeert dat moet worden toegestaan, op basis van de bestaande NSG-configuratie. Daarom is de aanbevolen regel om al het verkeer naar de opgegeven poort te weigeren. De naam van dit type regel wordt weergegeven als 'Door systeem gegenereerd'. Na het afdwingen van deze regel is de werkelijke naam in de NSG een tekenreeks die bestaat uit het protocol, de verkeersrichting, 'DENY' en een willekeurig getal.