Adaptieve toepassingsregelaars gebruiken om de aanvalsoppervlakken van uw computers te verminderen

Notitie

Azure Security Center en Azure Defender heten nu Microsoft Defender for Cloud. We hebben de naam van de abonnementen Azure Defender gewijzigd in Microsoft Defender-plannen. Een voorbeeld: Azure Defender voor Storage is nu Microsoft Defender voor Storage.

Meer informatie over de recente hernoeming van Microsoft-beveiligingsservices.

Meer informatie over de voordelen van adaptieve toepassingsbesturingselementen van Microsoft Defender for Cloud en hoe u uw beveiliging kunt verbeteren met deze gegevensgestuurde, intelligente functie.

Wat zijn adaptieve toepassingsregelaars?

Adaptieve toepassingsregelaars zijn een intelligente en geautomatiseerde oplossing voor het definiëren van toegestane lijsten met bekende veilige toepassingen voor uw computers.

Organisaties hebben vaak verzamelingen machines die regelmatig dezelfde processen uitvoeren. Microsoft Defender for Cloud gebruikt machine learning om de toepassingen te analyseren die op uw computers worden uitgevoerd en om een lijst met de bekende veilige software te maken. Lijsten met toegestane lijsten zijn gebaseerd op uw specifieke Azure-workloads en u kunt de aanbevelingen verder aanpassen met behulp van de onderstaande instructies.

Wanneer u adaptieve toepassingsregelaars hebt ingeschakeld en geconfigureerd, krijgt u beveiligingswaarschuwingen als er andere toepassingen worden uitgevoerd dan degene die u als veilig hebt gedefinieerd.

Wat zijn de voordelen van adaptieve toepassingsregelaars?

Door lijsten met bekende veilige toepassingen te definiëren en waarschuwingen te genereren wanneer iets anders wordt uitgevoerd, kunt u meerdere doelstellingen voor toezicht en naleving bereiken:

  • Mogelijke malware identificeren, zelfs alle malware die mogelijk wordt gemist door antimalwareoplossingen
  • Naleving van lokaal beveiligingsbeleid verbeteren dat het gebruik van alleen gelicentieerde software bepaalt
  • Verouderde of niet-ondersteunde versies van toepassingen identificeren
  • Identificeer software die is verboden door uw organisatie, maar toch wordt uitgevoerd op uw computers
  • Meer toezicht op apps die toegang hebben tot gevoelige gegevens

Er zijn momenteel geen afdwingingsopties beschikbaar. Adaptieve toepassingsregelaars zijn bedoeld om beveiligingswaarschuwingen te geven als een toepassing wordt uitgevoerd die niet de toepassingen is die u als veilig hebt gedefinieerd.

Beschikbaarheid

Aspect Details
Releasestatus: Algemene beschikbaarheid (GA)
Prijzen: Vereist Microsoft Defender voor servers
Ondersteunde machines: Azure- en niet-Azure-machines met Windows en Linux
Azure Arc machines
Vereiste rollen en machtigingen: De rollen Beveiligingslezer en Lezer kunnen zowel groepen als de lijsten met bekende veilige toepassingen weergeven
De rollen Inzender en Beveiligingsbeheerder kunnen zowel groepen als de lijsten met bekende veilige toepassingen bewerken
Clouds: Commerciële clouds
National (Azure Government, Azure China 21Vianet)

Toepassingsbesturingselementen op een groep computers inschakelen

Als Microsoft Defender for Cloud groepen computers in uw abonnementen heeft geïdentificeerd die consistent een vergelijkbare set toepassingen uitvoeren, wordt u gevraagd om de volgende aanbeveling: Adaptieve toepassingsbesturingselementen voor het definiëren van veilige toepassingen moeten worden ingeschakeld op uw computers.

Selecteer de aanbeveling of open de pagina adaptieve toepassingsregelaars om de lijst met voorgestelde bekende veilige toepassingen en groepen computers weer te geven.

  1. Open het dashboard Workloadbeveiligingen en selecteer adaptieve toepassingsbesturingselementen in het gebied voor geavanceerde beveiliging.

    Adaptieve toepassingsbesturingselementen openen vanuit het Azure-dashboard.

    De pagina Adaptieve toepassingsbesturingselementen wordt geopend met uw VM's gegroepeerd op de volgende tabbladen:

    • Geconfigureerd: groepen machines die al een gedefinieerde lijst met toegestane toepassingen hebben. Voor elke groep wordt op het geconfigureerde tabblad het volgende weergegeven:

      • het aantal machines in de groep
      • recente waarschuwingen
    • Aanbevolen: groepen computers die consistent dezelfde toepassingen uitvoeren en geen toegestane lijst hebben geconfigureerd. U wordt aangeraden adaptieve toepassingsregelaars in teschakelen voor deze groepen.

      Tip

      Als u een groepsnaam met het voorvoegsel REVIEWGROUP ziet, bevat deze machines met een gedeeltelijk consistente lijst met toepassingen. Microsoft Defender for Cloud kan geen patroon zien, maar raadt aan deze groep te controleren om te zien of u handmatig regels voor adaptieve toepassingsbesturingselementen kunt definiëren, zoals beschreven in De regel voor adaptieve toepassingsregelaars van een groep bewerken.

      U kunt ook machines van deze groep naar andere groepen verplaatsen, zoals beschreven in Een machine van de ene naarde andere groep verplaatsen.

    • Geen aanbeveling: machines zonder een gedefinieerde lijst met toegestane toepassingen en die de functie niet ondersteunen. Uw computer staat mogelijk op dit tabblad om de volgende redenen:

      • Er ontbreekt een Log Analytics-agent
      • De Log Analytics-agent verstuurt geen gebeurtenissen
      • Het is een Windows machine met een bestaand AppLocker-beleid dat is ingeschakeld door een GPO of een lokaal beveiligingsbeleid

      Tip

      Defender for Cloud heeft ten minste twee weken aan gegevens nodig om de unieke aanbevelingen per groep computers te definiëren. Machines die onlangs zijn gemaakt of die deel uitmaken van abonnementen die pas onlangs zijn beveiligd door Microsoft Defender voor servers, worden weergegeven op het tabblad Geen aanbeveling.

  2. Open het tabblad Aanbevolen. De groepen computers met aanbevolen lijsten met toegestane worden weergegeven.

    Aanbevolen tabblad.

  3. Selecteer een groep.

  4. Als u de nieuwe regel wilt configureren, bekijkt u de verschillende secties van deze pagina Regels voor toepassingsbeheer configureren en de inhoud die uniek is voor deze specifieke groep computers:

    Configureer een nieuwe regel.

    1. Machines selecteren: standaard worden alle machines in de geïdentificeerde groep geselecteerd. Schakel de selectie uit om ze uit deze regel te verwijderen.

    2. Aanbevolen toepassingen: bekijk deze lijst met toepassingen die gemeenschappelijk zijn voor de computers in deze groep en aanbevolen om uit te voeren.

    3. Meer toepassingen: bekijk deze lijst met toepassingen die minder vaak worden weergegeven op de computers in deze groep of die bekend staan als exploiteerbaar. Een waarschuwingspictogram geeft aan dat een specifieke toepassing kan worden gebruikt door een aanvaller om een lijst met toegestane toepassingen te omzeilen. U wordt aangeraden deze toepassingen zorgvuldig te controleren.

      Tip

      Beide toepassingslijsten bevatten de optie om een specifieke toepassing te beperken tot bepaalde gebruikers. Gebruik waar mogelijk het principe van minste bevoegdheden.

      Toepassingen worden gedefinieerd door hun uitgevers. Als een toepassing geen uitgeversinformatie heeft (deze is niet ondertekend), wordt er een padregel gemaakt voor het volledige pad van de specifieke toepassing.

    4. Selecteer Controleren om de regel toe te passen.

De regel voor adaptieve toepassingsbesturingselementen van een groep bewerken

U kunt besluiten om de lijst met toegestane machines voor een groep computers te bewerken vanwege bekende wijzigingen in uw organisatie.

De regels voor een groep machines bewerken:

  1. Open het dashboard Workloadbeveiligingen en selecteer adaptieve toepassingsbesturingselementen in het gebied voor geavanceerde beveiliging.

  2. Selecteer op het tabblad Geconfigureerd de groep met de regel die u wilt bewerken.

  3. Bekijk de verschillende secties van de pagina Regels voor toepassingsbeheer configureren, zoals beschreven in Adaptieve toepassingsregelaars inschakelen op een groep computers.

  4. Voeg desgewenst een of meer aangepaste regels toe:

    1. Selecteer Regel toevoegen.

      Voeg een aangepaste regel toe.

    2. Als u een bekend veilig pad definit, wijzigt u het regeltype in Pad en voert u één pad in. U kunt jokertekens opnemen in het pad.

      Tip

      Sommige scenario's waarvoor jokertekens in een pad nuttig kunnen zijn:

      • Gebruik een jokerteken aan het einde van een pad om alle uitvoerbare bestanden in deze map en submappen toe te staan.
      • Gebruik een jokerteken in het midden van een pad om een bekende naam van het uitvoerbare bestand in te stellen met de naam van een veranderende map (bijvoorbeeld persoonlijke gebruikersmappen met een bekend uitvoerbaar bestand, automatisch gegenereerde mapnamen, enzovoort).
    3. Definieer de toegestane gebruikers en beveiligde bestandstypen.

    4. Wanneer u klaar bent met het definiëren van de regel, selecteert u Toevoegen.

  5. Selecteer Opslaan om de wijzigingen toe te passen.

De instellingen van een groep controleren en bewerken

  1. Als u de details en instellingen van uw groep wilt weergeven, selecteert u Groepsinstellingen

    In dit deelvenster ziet u de naam van de groep (die kan worden gewijzigd), het type besturingssysteem, de locatie en andere relevante details.

    De pagina met groepsinstellingen voor adaptieve toepassingsbesturingselementen.

  2. Wijzig eventueel de beveiligingsmodi voor de naam van de groep of het bestandstype.

  3. Selecteer Toepassen en Opslaan.

Reageren op de aanbeveling 'Allowlist rules in your adaptive application control policy should be updated' (Allowlist-regels in uw adaptieve toepassingsbeheerbeleid moeten worden bijgewerkt)

U ziet deze aanbeveling wanneer de machine learning van Defender for Cloud mogelijk legitiem gedrag identificeert dat niet eerder is toegestaan. De aanbeveling stelt nieuwe regels voor uw bestaande definities voor om het aantal fout-positieve waarschuwingen te verminderen.

De problemen oplossen:

  1. Selecteer op de pagina aanbevelingen de aanbeveling Allowlist rules in your adaptive application control policy should be updated recommendation (Allowlist-regels in uw adaptieve toepassingsbeheerbeleid moeten worden bijgewerkt) om groepen te zien met nieuw geïdentificeerd, mogelijk legitiem gedrag.

  2. Selecteer de groep met de regel die u wilt bewerken.

  3. Bekijk de verschillende secties van de pagina Regels voor toepassingsbeheer configureren, zoals beschreven in Adaptieve toepassingsregelaars inschakelen op een groep computers.

  4. Selecteer Controleren om de wijzigingen toe te passen.

Waarschuwingen en schendingen controleren

  1. Open het dashboard Workloadbeveiligingen en selecteer adaptieve toepassingsbesturingselementen in het gebied voor geavanceerde beveiliging.

  2. Als u groepen wilt zien met machines die recente waarschuwingen hebben, bekijkt u de groepen die worden vermeld op het tabblad Geconfigureerd.

  3. Als u verder wilt onderzoeken, selecteert u een groep.

    Recente waarschuwingen.

  4. Selecteer een waarschuwing voor meer informatie en de lijst met betrokken machines.

    De waarschuwingspagina bevat meer informatie over de waarschuwingen en een koppeling Actie ondernemen met aanbevelingen voor het beperken van de bedreiging.

    De begintijd van waarschuwingen voor adaptieve toepassingsregelaars is de tijd dat adaptieve toepassingsbesturingselementen de waarschuwing hebben gemaakt.

    Notitie

    Adaptieve toepassingsregelaars berekenen gebeurtenissen om de twaalf uur. De begintijd van de activiteit die wordt weergegeven op de pagina Waarschuwingen is de tijd dat adaptieve toepassingsbesturingselementen de waarschuwing hebben gemaakt, niet het tijdstip dat het verdachte proces actief was.

Een machine van de ene groep naar de andere verplaatsen

Wanneer u een machine van de ene groep naar de andere verplaatst, wordt het toepassingsbeheerbeleid dat erop is toegepast, gewijzigd in de instellingen van de groep waar u deze naar hebt verplaatst. U kunt een machine ook verplaatsen van een geconfigureerde groep naar een niet-geconfigureerde groep, waardoor alle regels voor toepassingsbeheer die op de computer zijn toegepast, worden verwijderd.

  1. Open het dashboard Workloadbeveiligingen en selecteer adaptieve toepassingsbesturingselementen in het gebied voor geavanceerde beveiliging.

  2. Selecteer op de pagina Adaptieve toepassingsbesturingselementen op het tabblad Geconfigureerd de groep met de machine die moet worden verplaatst.

  3. Open de lijst met geconfigureerde machines.

  4. Open het menu van de machine vanaf drie punten aan het einde van de rij en selecteer Verplaatsen. Het deelvenster Machine verplaatsen naar een andere groep wordt geopend.

  5. Selecteer de doelgroep en selecteer Machine verplaatsen.

  6. Selecteer Opslaan om uw wijzigingen op te slaan.

Toepassingsbesturingselementen beheren via de REST API

Als u uw adaptieve toepassingsregelaars programmatisch wilt beheren, gebruikt u onze REST API.

De relevante API-documentatie is beschikbaar in de sectie Adaptieve toepassingsbesturingselementen van de API-documenten van Defender for Cloud.

Enkele van de functies die beschikbaar zijn via de REST API:

  • List haalt al uw groepsaanbevelingen op en biedt een JSON met een -object voor elke groep.

  • Get haalt de JSON op met de volledige aanbevelingsgegevens (dat wil zeggen, lijst met machines, regels voor uitgever/pad, etc.).

  • Put configureert uw regel (gebruik de JSON die u hebt opgehaald met Get als hoofdregel voor deze aanvraag).

    Belangrijk

    De functie Put verwacht minder parameters dan de JSON die wordt geretourneerd door de opdracht Get.

    Verwijder de volgende eigenschappen voordat u de JSON in de Put-aanvraag gebruikt: recommendationStatus, configurationStatus, issues, location en sourceSystem.

Veelgestelde vragen - Adaptieve toepassingsbesturingselementen

Zijn er opties om de toepassingsbesturingselementen af te dwingen?

Er zijn momenteel geen afdwingingsopties beschikbaar. Adaptieve toepassingsregelaars zijn bedoeld om beveiligingswaarschuwingen te geven als een toepassing wordt uitgevoerd die niet de toepassingen is die u als veilig hebt gedefinieerd. Ze hebben diverse voordelen ( Wat zijn de voordelen vanadaptieve toepassingsregelaars?) en zijn zeer aanpasbaar, zoals wordt weergegeven op deze pagina.

Microsoft Defender voor servers omvat het scannen van beveiligingsleed voor uw computers zonder extra kosten. U hebt geen Qualys-licentie of qualys-account nodig. Alles wordt naadloos verwerkt in Defender for Cloud. Zie Defender for Cloud's integrated Qualys vulnerability assessment solution (De geïntegreerde Qualys-oplossingvoor evaluatie van beveiligingslely's van Defender for Cloud) voor meer informatie over deze scanner en instructies voor het implementeren van deze scanner.

Om ervoor te zorgen dat er geen waarschuwingen worden gegenereerd wanneer Defender for Cloud de scanner implementeert, bevat de lijst met aanbevolen besturingselementen voor adaptieve toepassingen de scanner voor alle computers.

Volgende stappen

Op deze pagina hebt u geleerd hoe u adaptief toepassingsbeheer in Microsoft Defender for Cloud kunt gebruiken om lijsten met toegestane toepassingen te definiëren die worden uitgevoerd op uw Azure- en niet-Azure-machines. Zie voor meer informatie over enkele andere functies voor beveiliging van cloudworkloads: