De beveiligingsstatus van uw netwerk verbeteren met adaptieve netwerkbeveiliging

Notitie

Azure Security Center en Azure Defender heten nu Microsoft Defender for Cloud. We hebben de naam van de abonnementen Azure Defender gewijzigd in Microsoft Defender-plannen. Een voorbeeld: Azure Defender voor Storage is nu Microsoft Defender voor Storage.

Meer informatie over de recente hernoeming van Microsoft-beveiligingsservices.

Adaptieve netwerkverharding is een agentloze functie van Microsoft Defender for Cloud. Er hoeft niets op uw computers te worden geïnstalleerd om te profiteren van dit hulpprogramma voor netwerkharding.

Op deze pagina wordt uitgelegd hoe u adaptieve netwerkharding configureert en beheert in Defender for Cloud.

Beschikbaarheid

Aspect Details
Releasestatus: Algemene beschikbaarheid (GA)
Prijzen: Vereist Microsoft Defender voor servers
Vereiste rollen en machtigingen: Schrijfmachtigingen op de NSG's van de computer
Clouds: Commerciële clouds
National (Azure Government, Azure China 21Vianet)

Wat is adaptieve netwerkharding?

Door netwerkbeveiligingsgroepen (NSG's) toe te passen om verkeer van en naar resources te filteren, wordt uw netwerkbeveiligingsstatus verbeterd. Maar er kunnen toch nog enkele gevallen zijn waarin het werkelijke verkeer dat via de NSG stroomt een subset is van de gedefinieerde NSG-regels. In dergelijke gevallen kunt u het beveiligingspostuur verder verbeteren door de NSG-regels te versterken op basis van de werkelijke verkeerspatronen.

Adaptieve netwerkverharding biedt aanbevelingen om de NSG-regels verder te harden. Het maakt gebruik van een machine learning-algoritme dat rekening houdt met werkelijk verkeer, bekende vertrouwde configuratie, bedreigingsinformatie en andere aanwijzingen voor aantasting, en geeft vervolgens aanbevelingen om alleen verkeer van bepaalde IP-/poort-tuples toe te staan.

Stel bijvoorbeeld dat de bestaande NSG-regel is om verkeer van 140.20.30.10/24 op poort 22 toe te staan. Op basis van verkeersanalyse kan adaptieve netwerkverharding het beperken van het bereik aanbevelen om verkeer van 140.23.30.10/29 toe te staan en al het andere verkeer naar die poort te weigeren. Zie de vermelding Welke poorten worden ondersteund? voor een volledige lijst met ondersteunde poorten.

  1. Open in het menu van Defender for Cloud het dashboard Workloadbeveiligingen.

  2. Selecteer de tegel adaptieve netwerkverharding (1) of het deelvenster-item inzichten met betrekking tot adaptieve netwerkharding (2).

    Toegang tot de hulpprogramma's voor adaptieve netwerkharding.

    Tip

    In het deelvenster Inzichten ziet u het percentage van uw VM's dat momenteel wordt verdediging met adaptieve netwerkharding.

  3. De detailpagina voor de aanbevelingen voor adaptieve netwerkharding moet worden toegepast op de aanbeveling voor virtuele machines die op internet zijn gericht, wordt geopend met uw netwerk-VM's gegroepeerd op drie tabbladen:

    • Resources met slechte status: VM's die momenteel aanbevelingen en waarschuwingen hebben die zijn geactiveerd door het uitvoeren van het algoritme voor adaptieve netwerkharding.
    • Resources in orde: VM's zonder waarschuwingen en aanbevelingen.
    • Niet-gescande resources: VM's waarmee het algoritme voor adaptieve netwerkverharding niet kan worden uitgevoerd, kunnen om een van de volgende redenen niet worden uitgevoerd:
      • VM's zijn klassieke VM's: alleen Azure Resource Manager VM's worden ondersteund.
      • Er zijn onvoldoende gegevens beschikbaar: Voor het genereren van nauwkeurige aanbevelingen voor het harden van verkeer vereist Defender for Cloud ten minste 30 dagen aan verkeersgegevens.
      • VM wordt niet beveiligd door Microsoft Defender voor servers: alleen VM's die worden beveiligd met Microsoft Defender voor servers komen in aanmerking voor deze functie.

    De pagina Details van de aanbeveling Aanbevelingen voor adaptieve netwerkharding moeten worden toegepast op virtuele machines die op internet zijn gericht.

  4. Selecteer op het tabblad Resources met slechte status een VM om de waarschuwingen en de aanbevolen regels voor beveiliging te bekijken die u wilt toepassen.

    • Het tabblad Regels bevat de regels die door adaptieve netwerkverharding worden aanbevolen
    • Op het tabblad Waarschuwingen worden de waarschuwingen vermeld die zijn gegenereerd vanwege verkeer, die naar de resource stromen, die niet binnen het IP-bereik valt dat is toegestaan in de aanbevolen regels.
  5. Bewerk eventueel de regels:

  6. Selecteer de regels die u wilt toepassen op de NSG en selecteer Afdwingen.

    Tip

    Als de toegestane bron-IP-adresbereiken worden vermeld als 'Geen', betekent dit dat de aanbevolen regel een regel voor weigeren is, anders is het een regel voor toestaan.

    Adaptieve netwerkhardingsregels beheren.

    Notitie

    De afgedwongen regels worden toegevoegd aan de NSG('s) die de VM beveiligen. (Een virtuele machine kan worden beveiligd door een NSG die is gekoppeld aan de NIC, of het subnet waarin de virtuele machine zich bevindt, of beide)

Een regel wijzigen

Mogelijk wilt u de parameters wijzigen van een regel die is aanbevolen. U kunt bijvoorbeeld de aanbevolen IP-adresbereiken wijzigen.

Enkele belangrijke richtlijnen voor het wijzigen van een regel voor adaptieve netwerkharding:

  • U kunt niet wijzigen dat regels regels voor weigeren worden.

  • U kunt alleen de parameters van regels voor toestaan wijzigen.

    Het maken en wijzigen van regels voor weigeren wordt rechtstreeks op de NSG uitgevoerd. Zie Een netwerkbeveiligingsgroep maken, wijzigen of verwijderen voor meer informatie.

  • De regel Alle verkeer weigeren is het enige type regel voor weigeren dat hier wordt vermeld en kan niet worden gewijzigd. U kunt deze echter verwijderen (zie Een regel verwijderen). Zie de vermelding Veelgestelde vragen Wanneer moet ik de regel Al het verkeer weigeren gebruiken? voor meer informatie over dit type regel.

Een regel voor adaptieve netwerkharding wijzigen:

  1. Als u enkele parameters van een regel wilt wijzigen, selecteert u op het tabblad Regels de drie punten (...) aan het einde van de rij van de regel en selecteert u Bewerken.

    Regel bewerken.

  2. Werk in het venster Regel bewerken de details bij die u wilt wijzigen en selecteer Opslaan.

    Notitie

    Nadat u Opslaan hebt geselecteerd, hebt u de regel gewijzigd. U hebt deze echter niet toegepast op de NSG. Als u deze wilt toepassen, moet u de regel in de lijst selecteren en Afdwingen selecteren (zoals uitgelegd in de volgende stap).

    Selecteer Opslaan.

  3. Als u de bijgewerkte regel wilt toepassen, selecteert u in de lijst de bijgewerkte regel en selecteert u Afdwingen.

    regel afdwingen.

Een nieuwe regel toevoegen

U kunt een regel voor toestaan toevoegen die niet is aanbevolen door Defender for Cloud.

Notitie

Hier kunnen alleen regels voor toestaan worden toegevoegd. Als u regels voor weigeren wilt toevoegen, kunt u dit rechtstreeks op de NSG doen. Zie Een netwerkbeveiligingsgroep maken, wijzigen of verwijderen voor meer informatie.

Een regel voor adaptieve netwerkverharding toevoegen:

  1. Selecteer regel toevoegen in de bovenste werkbalk.

    regel toevoegen.

  2. Voer in het venster Nieuwe regel de details in en selecteer Toevoegen.

    Notitie

    Nadat u Toevoegen hebt geselecteerd, hebt u de regel toegevoegd en wordt deze weergegeven met de andere aanbevolen regels. U hebt deze echter niet toegepast op de NSG. Als u deze wilt activeren, moet u de regel in de lijst selecteren en Afdwingen selecteren (zoals uitgelegd in de volgende stap).

  3. Als u de nieuwe regel wilt toepassen, selecteert u in de lijst de nieuwe regel en selecteert u Afdwingen.

    regel afdwingen.

Een regel verwijderen

Indien nodig kunt u een aanbevolen regel voor de huidige sessie verwijderen. U kunt bijvoorbeeld bepalen dat het toepassen van een voorgestelde regel legitiem verkeer kan blokkeren.

Een regel voor adaptieve netwerkverharding verwijderen voor uw huidige sessie:

  • Selecteer op het tabblad Regels de drie punten (...) aan het einde van de rij van de regel en selecteer Verwijderen.

    Een regel verwijderen.

Veelgestelde vragen - Adaptieve netwerkverharding

Welke poorten worden ondersteund?

Aanbevelingen voor adaptieve netwerkharding worden alleen ondersteund op de volgende specifieke poorten (voor zowel UDP als TCP):

13, 17, 19, 22, 23, 53, 69, 81, 111, 119, 123, 135, 137, 138, 139, 161, 162, 389, 445, 512, 514, 593, 636, 873, 1433, 1434, 1900, 2049, 2301, 2323, 2381, 3268, 3306, 3389, 4333, 5353, 5432, 5555, 5800, 5900, 5900, 5985, 5986, 6379, 6379, 7000, 7001, 7199, 8081, 8089, 8545, 9042, 9160, 9300, 11211, 16379, 26379, 27017, 37215

Zijn er vereisten of VM-extensies vereist voor adaptieve netwerkharding?

Adaptieve netwerkverharding is een agentloze functie van Microsoft Defender for Cloud. Er hoeft niets op uw computers te worden geïnstalleerd om te profiteren van dit hulpprogramma voor netwerkharding.

Wanneer moet ik de regel Al het verkeer weigeren gebruiken?

Een regel Voor al het verkeer weigeren wordt aanbevolen wanneer Defender for Cloud, als gevolg van het uitvoeren van het algoritme, geen verkeer identificeert dat moet worden toegestaan op basis van de bestaande NSG-configuratie. Daarom is de aanbevolen regel om al het verkeer naar de opgegeven poort te weigeren. De naam van dit type regel wordt weergegeven als Door het systeem gegenereerd. Na het afdwingen van deze regel is de werkelijke naam in de NSG een tekenreeks die bestaat uit het protocol, de verkeersrichting, de 'DENY' en een willekeurig getal.