Adaptieve toepassingsbesturingselementenAdaptive application controls

Lees hoe u toepassingsbeheer configureert in Azure Security Center met behulp van dit stapsgewijze overzicht.Learn how to configure application control in Azure Security Center using this walkthrough.

Wat zijn adaptieve toepassingsbesturingselementen in Security Center?What are adaptive application controls in Security Center?

Adaptief toepassings beheer is een intelligente, geautomatiseerde en end-to-end oplossing van Azure Security Center waarmee u kunt bepalen welke toepassingen kunnen worden uitgevoerd op uw Azure-en niet-Azure-machines (Windows en Linux).Adaptive application control is an intelligent, automated, end-to-end solution from Azure Security Center which helps you control which applications can run on your Azure and non-Azure machines (Windows and Linux). Met andere voor delen kunt u uw computers onder andere beschermen tegen malware.Among other benefits, this helps harden your machines against malware. Security Center gebruikt machine learning voor het analyseren van de toepassingen die op uw computers worden uitgevoerd en maakt een lijst met toegestane gegevens van deze intelligentie.Security Center uses machine learning to analyze the applications running on your machines and creates an allow list from this intelligence. Deze mogelijkheid vereenvoudigt het proces van het configureren en onderhouden van beleids regels voor het toestaan van toepassingen, zodat u het volgende kunt doen:This capability greatly simplifies the process of configuring and maintaining application allow list policies, enabling you to:

  • Blok keer of Meld u aan bij pogingen om schadelijke toepassingen uit te voeren, met inbegrip van degenen die anders kunnen worden gemist door antimalware-oplossingen.Block or alert on attempts to run malicious applications, including those that might otherwise be missed by antimalware solutions.
  • Voldoen aan het beveiligingsbeleid van uw organisatie waarin alleen het gebruik van gelicentieerde software is toegestaan.Comply with your organization's security policy that dictates the use of only licensed software.
  • Vermijden dat in uw omgeving ongewenste software wordt gebruikt.Avoid unwanted software to be used in your environment.
  • Vermijden dat oude en niet-ondersteunde apps worden uitgevoerd.Avoid old and unsupported apps to run.
  • Voorkomen dat bepaalde softwareprogramma's worden uitgevoerd die in uw organisatie niet zijn toegestaan.Prevent specific software tools that are not allowed in your organization.
  • De IT-afdeling in staat stellen de toegang tot gevoelige gegevens te beheren via het gebruik van apps.Enable IT to control the access to sensitive data through app usage.

Notitie

Voor niet-Azure-en Linux-computers worden adaptieve toepassings besturings elementen alleen in de controle modus ondersteund.For Non-Azure and Linux machines, adaptive application controls are supported in audit mode only.

Hoe worden adaptieve toepassingsbesturingselementen ingeschakeld?How to enable adaptive application controls?

Met besturings elementen voor adaptieve toepassingen kunt u een set toepassingen definiëren die op geconfigureerde machine groepen mogen worden uitgevoerd.Adaptive application controls help you define a set of applications that are allowed to run on configured groups of machines. Deze functie is beschikbaar voor zowel Azure-als niet-Azure-Windows (alle versies, klassieke of Azure Resource Manager) en Linux-machines.This feature is available for both Azure and non-Azure Windows (all versions, classic, or Azure Resource Manager) and Linux machines. Voer de volgende stappen uit om de lijsten met toegestane apps van uw toepassing te configureren:Use the following steps to configure your application allow lists:

  1. Open het dashboard van Security Center.Open the Security Center dashboard.

  2. Ga naar het deelvenster aan de linkerkant en selecteer Adaptieve toepassingsbesturingselementen onder Geavanceerde cloudbeveiliging.In the left pane, select Adaptive application controls located under Advanced cloud defense.

    DefensieDefense

De pagina Besturingselementen voor adaptieve toepassingen wordt geopend.The Adaptive application controls page appears.

besturingselementen

De sectie Groepen virtuele machines bevat drie tabbladen:The Groups of VMs section contains three tabs:

  • Geconfigureerd: een lijst van groepen met de VM's waarvoor toepassingsbeheer is geconfigureerd.Configured: list of groups containing the VMs that were configured with application control.
  • Aanbevolen: een lijst met groepen waarvoor toepassingsbeheer wordt aanbevolen.Recommended: list of groups for which application control is recommended. Security Center maakt gebruik van machine learning om virtuele machines te identifiveren die baat zouden hebben bij het gebruik van toepassingsbeheer. Hierbij wordt gekeken of de virtuele machines consequent dezelfde toepassingen uitvoeren.Security Center uses machine learning to identify VMs that are good candidates for application control based on whether the VMs consistently run the same applications.
  • Geen aanbeveling: een lijst van groepen met VM's waarvoor geen aanbevelingen zijn gedaan voor het gebruik van toepassingsbeheer.No recommendation: list of groups containing VMs without any application control recommendations. Hierbij kan het bijvoorbeeld gaan om virtuele machines waarop toepassingen steeds wisselen en geen stabiele status hebben.For example, VMs on which applications are always changing, and haven’t reached a steady state.

Notitie

Security Center gebruikt een eigen clustering-algoritme voor groepen met VM's om ervoor te zorgen dat vergelijkbare VM’s het optimale aanbevolen toepassingsbeheerbeleid krijgen.Security Center uses a proprietary clustering algorithm to create groups of VMs making sure that similar VMs get the optimal recommended application control policy.

Een nieuw toepassingsbeheerbeleid configurerenConfigure a new application control policy

  1. Selecteer het tabblad Aanbevolen voor een lijst met groepen met aanbevelingen voor toepassings beheer:Select the Recommended tab for a list of groups with application control recommendations:

    Aanbevolen

    De lijst bevat:The list includes:

    • Groeps naam: de naam van het abonnement en de groepGroup Name: The name of the subscription and group
    • Vm's en computers: het aantal virtuele machines in de groepVMs and Computers: The number of virtual machines in the group
    • Status: de status van de aanbevelingenState: the state of the recommendations
    • Ernst: het Ernst niveau van de aanbevelingenSeverity: the severity level of the recommendations
  2. Klik op een groep om de optie regels voor toepassings beheer maken te openen.Click on a group to open the Create application control rules option.

    Regels voor toepassingsbeheerApplication control rules

  3. Bekijk in de Select vm'sde lijst met aanbevolen vm's en schakel alle selectie vakjes uit waarop u geen white list-beleid wilt Toep assen.In the Select VMs, review the list of recommended VMs and uncheck any you do not want to apply an application whitelisting policy to. Vervolgens ziet u twee lijsten:Next, you see two lists:

    • Aanbevolen toepassingen: een lijst met toepassingen die veelvuldig voor komen op de virtuele machines in deze groep en die worden aanbevolen om uit te voeren.Recommended applications: a list of applications that are frequent on the VMs within this group, and are recommended to be allowed to run.
    • Meer toepassingen: een lijst met toepassingen die minder frequent zijn op de virtuele machines in deze groep of die Exploitables worden genoemd (Zie meer hieronder) en aanbevolen voor controle.More applications: a list of applications that are either less frequent on the VMs within this group or that are known as Exploitables (see more below), and recommended for review.
  4. Bekijk de toepassingen in elk van de lijsten en schakel uit wat u niet wilt toepassen.Review the applications in each of the lists, and uncheck any you do not want to apply. Elke lijst bevat:Each list includes:

    • Naam: de certificaat gegevens of het volledige pad van een toepassingNAME: the certificate information or the full path of an application
    • BESTANDSTYPEN: het bestandstype van de toepassing.FILE TYPES: the application file type. Dit kan EXE, script, MSI of een permutatie van deze typen zijn.This can be EXE, Script, MSI, or any permutation of these types.
    • Exploitable: een waarschuwings pictogram geeft aan of een specifieke toepassing door een aanvaller kan worden gebruikt om een lijst met toegestane toepassingen te omzeilen.EXPLOITABLE: a warning icon indicates if a specific application could be used by an attacker to bypass an application allow list. U wordt aanbevolen om deze toepassingen te controleren voordat ze worden goedgekeurd.It is recommended to review these applications prior to their approval.
    • GEBRUIKERS: gebruikers die worden aanbevolen om een toepassing uit te mogen voerenUSERS: users that are recommended to be allowed to run an application
  5. Selecteer Maken nadat u uw selecties hebt gemaakt.Once you finish your selections, select Create.
    Nadat u maken hebt geselecteerd, worden met Azure Security Center automatisch de juiste regels gemaakt boven op de ingebouwde oplossing lijst met toegestane toepassingen beschikbaar op Windows-servers (AppLocker).After you select Create, Azure Security Center automatically creates the appropriate rules on top of the built-in application allow list solution available on Windows servers (AppLocker).

Notitie

  • Security Center heeft minimaal twee weken aan gegevens nodig om een basislijn te maken en de unieke aanbevelingen per groep virtuele machines te vullen.Security Center relies on a minimum of two weeks of data in order to create a baseline and populate the unique recommendations per group of VMs. Voor nieuwe klanten van de Security Center-standaardcategorie worden groepen virtuele machines in het begin weergegeven op het tabblad Geen aanbeveling.New customers of Security Center standard tier should expect a behavior in which at first their groups of VMs appear under the no recommendation tab.
  • Adaptieve toepassingsbesturingselementen in Security Center bieden geen ondersteuning voor virtuele machines waarvoor al een AppLocker-beleid is ingeschakeld door een groepsbeleidsobject (GPO) of een lokaal beveiligingsbeleid.Adaptive Application Controls from Security Center doesn’t support VMs for which an AppLocker policy is already enabled by either a GPO or a local security policy.
  • Als een beveiligings best practice, probeert Security Center altijd een uitgevers regel te maken voor toepassingen die zijn geselecteerd om te worden toegestaan. alleen als een toepassing geen informatie over de uitgever heeft (ook wel niet ondertekend), wordt er een padregel gemaakt voor het volledige pad van de specifieke toepassing.As a security best practice, Security Center will always try to create a publisher rule for applications that are selected to be allowed, and only if an application doesn’t have a publisher information (aka not signed), a path rule will be created for the full path of the specific application.

Een groep die met toepassingsbeheer is geconfigureerd, bewerken en bewakenEditing and monitoring a group configured with application control

  1. Als u een groep wilt bewerken en controleren die is geconfigureerd met een lijst beleid voor het toestaan van toepassingen, keert u terug naar de pagina adaptieve toepassings besturings elementen en selecteert u geconfigureerd onder groepen vm's:To edit and monitor a group configured with an application allow list policy, return to the Adaptive application controls page and select CONFIGURED under Groups of VMs:

    Groepen

    De lijst bevat:The list includes:

    • Groeps naam: de naam van het abonnement en de groepGroup Name: the name of the subscription and group
    • Vm's en computers: het aantal virtuele machines in de groepVMs and Computers: the number of virtual machines in the group
    • Modus: de controle modus meldt pogingen om toepassingen uit te voeren die niet voor komen in de lijst met toegestane apps. Met afdwingen kunnen toepassingen alleen worden uitgevoerd als ze zich in de acceptatie lijst bevindenMode: Audit mode will log attempts to run applications that aren't on the allow list; Enforce will not allow applications to run unless they are on the allow list
    • Waarschuwingen: eventuele huidige schendingenAlerts: any current violations
  2. Klik op een groep om wijzigingen aan te brengen op de pagina toepassings beheer beleid bewerken .Click on a group to make changes in the Edit application control policy page.

    Beveiliging

  3. Onder Beveiligingsmodus kunt u een keuze maken uit de volgende opties:Under Protection mode, you have the option to select between the following:

    • Controle: in deze modus worden de regels niet afgedwongen door de oplossing voor toepassingsbeheer en wordt alleen de activiteit op de beveiligde virtuele machines gecontroleerd.Audit: in this mode, the application control solution does not enforce the rules, and only audits the activity on the protected VMs. Dit wordt aanbevolen voor scenario's waarin u eerst het algehele gedrag wilt observeren voordat de uitvoering van een app op de doel-VM wordt geblokkeerd.This is recommended for scenarios where you want to first observe the overall behavior before blocking an app to run in the target VM.
    • Afdwingen: in deze modus worden de regels wel afgedwongen door de oplossing voor toepassingsbeheer. Ook worden toepassingen die niet mogen worden uitgevoerd, geblokkeerd.Enforce: in this mode, the application control solution does enforce the rules, and makes sure that applications that are not allowed to run are blocked.

    Notitie

    • De beveiligings modus afdwingen is uitgeschakeld tot verdere kennisgeving.Enforce protection mode is disabled until further notice.
    • Zoals eerder vermeld, wordt een nieuw beleid voor toepassingsbeheer altijd standaard geconfigureerd in de modus Controle.As previously mentioned, by default a new application control policy is always configured in Audit mode.
  4. Onder beleids uitbreidingvoegt u een toepassingspad toe dat u wilt toestaan.Under Policy extension, add any application path that you want to allow. Nadat u deze paden hebt toegevoegd, wordt door Security Center het beleid voor lijst met toegestane toepassingen op de virtuele machines in de geselecteerde groep VM'S bijgewerkt en worden de juiste regels voor deze toepassingen gemaakt, naast de regels die al aanwezig zijn.After you add these paths, Security Center updates the application allow list policy on the VMs within the selected group of VMS and creates the appropriate rules for these applications, in addition to the rules that are already in place.

  5. Bekijk de huidige schendingen die worden vermeld in de sectie recente waarschuwingen .Review the current violations listed in the Recent alerts section. Klik op elke regel die u wilt omleiden naar de pagina waarschuwingen binnen Azure Security Center en Bekijk alle waarschuwingen die door Azure Security Center zijn gedetecteerd op de gekoppelde vm's.Click on each line to be redirected to the Alerts page within Azure Security Center, and view all the alerts that were detected by Azure Security Center on the associated VMs.

    • Waarschuwingen: eventuele schendingen die zijn vastgelegd.Alerts: any violations that were logged.
    • Nee. van Vm's: het aantal virtuele machines met dit waarschuwings type.No. of VMs: the number of virtual machines with this alert type.
  6. Onder Publisher white list regels, Path white list Rulesen hash white list-regels kunt u zien welke toepassings white list-regels momenteel zijn geconfigureerd op de virtuele machines binnen een groep, volgens het type regel verzameling.Under Publisher whitelisting rules, Path whitelisting rules, and Hash whitelisting rules you can see which application whitelisting rules are currently configured on the VMs within a group, according to the rule collection type. Voor elke regel kunt u het volgende zien:For each rule you can see:

    • Regel: de specifieke para meters op basis waarvan een toepassing door AppLocker wordt gecontroleerd om te bepalen of een toepassing mag worden uitgevoerd.Rule: The specific parameters according to which an application is examined by AppLocker to determine if an application is allowed to run.
    • Bestands type: de bestands typen die worden gedekt door een specifieke regel.File type: The file types that are covered by a specific rule. Dit kan een van de volgende zijn: EXE, script, MSI of een permutatie van die bestands typen.This can be any of the following: EXE, Script, MSI, or any permutation of those file types.
    • Gebruikers: naam of aantal gebruikers die een toepassing mogen uitvoeren die wordt gedekt door een toepassing white list regel.Users: Name or number of users who are allowed to run an application that is covered by an application whitelisting rule.

    Regels voor opname in de whitelist

  7. Klik op de drie punten aan het einde van elke regel als u de specifieke regel wilt verwijderen of de toegestane gebruikers wilt bewerken.Click on the three dots at the end of each line if you want to delete the specific rule or edit the allowed users.

  8. Nadat u wijzigingen hebt aangebracht in een beleid voor adaptieve toepassings besturings elementen , klikt u op Opslaan.After making changes to an Adaptive application controls policy, click Save.

Security Center beveelt alleen white list-beleid van toepassingen aan voor virtuele machines waarop een stabiele set toepassingen wordt uitgevoerd.Security Center only recommends application whitelisting policies for virtual machines running a stable set of applications. Opname in de whitelist wordt niet aanbevolen als de toepassingen op de bijbehorende virtuele machines voortdurend wisselen.Recommendations are not created if applications on the associated VMs keep changing.

Aanbeveling

De lijst bevat:The list contains:

  • Groeps naam: de naam van het abonnement en de groepGroup Name: the name of the subscription and group
  • Vm's en computers: het aantal virtuele machines in de groepVMs and Computers: the number of virtual machines in the group

Met Azure Security Center kunt u ook een white list-beleid voor toepassingen definiëren op niet-aanbevolen groepen Vm's.Azure Security Center enables you to define an application whitelisting policy on non-recommended groups of VMs as well. Volg dezelfde principes als eerder beschreven, voor het configureren van een toepassing white list-beleid voor die groepen.Follow the same principles as were previously described, to configure an application whitelisting policy on those groups as well.

Een virtuele machine verplaatsen van de ene groep naar een andereMove a VM from one group to another

Wanneer u een virtuele machine verplaatst van de ene groep naar een andere, wordt het beleid voor toepassings beheer toegepast op wijzigingen in de instellingen van de groep waarnaar u het hebt verplaatst.When you move a VM from one group to another, the application control policy applied to it changes to the settings of the group that you moved it to. U kunt een virtuele machine ook van een geconfigureerde groep naar een niet-geconfigureerde groep verplaatsen, wat resulteert in het verwijderen van een toepassings beheer beleid dat eerder is toegepast op de virtuele machine.You can also move a VM from a configured group to a non-configured group, which results in removing any application control policy that was previously applied to the VM.

  1. Klik op het tabblad geconfigureerd van de pagina adaptieve toepassings besturings elementen op de groep waarnaar de VM momenteel moet worden verplaatst.From the Adaptive application controls page, from the CONFIGURED tab, click the group which the VM to be moved currently belongs to.

  2. Klik op geconfigureerde vm's en computers.Click Configured VMs and Computers.

  3. Klik op de drie puntjes in de regel van de virtuele machine die u wilt verplaatsen en klik vervolgens op verplaatsen.Click the three dots in the line of the VM to move and click Move. Het venster computer naar andere groep verplaatsen wordt geopend.The Move computer to different group window opens.

    Beveiliging

  4. Selecteer de groep waarnaar u de virtuele machine wilt verplaatsen, klik op computer verplaatsenen klik op Opslaan.Select the group to move the VM to, and click Move Computer, and click Save.

    Beveiliging

Notitie

Zorg ervoor dat u op Opslaan klikt nadat u op computer verplaatsenhebt geklikt.Be sure to click Save after clicking Move Computer. Als u niet op Opslaanklikt, wordt de computer niet verplaatst.If you do not click Save, then the computer will not be moved.

Volgende stappenNext steps

In dit document hebt u geleerd hoe u gebruik kunt maken van adaptieve toepassings beheer in Azure Security Center voor het white list van toepassingen die worden uitgevoerd in Azure-en niet-Azure-Vm's.In this document, you learned how to use adaptive application control in Azure Security Center to whitelist applications running in Azure and non-Azure VMs. Zie de volgende onderwerpen voor meer informatie over Azure Security Center:To learn more about Azure Security Center, see the following: