Używanie funkcji adaptacyjnego sterowania aplikacją w celu zmniejszenia powierzchni ataków na maszyny

Uwaga

Azure Security Center i Azure Defender są teraz nazywane Usługą Microsoft Defender dla chmury. Zmieniliśmy również nazwę planów Azure Defender na plany usługi Microsoft Defender. Na przykład w Azure Defender dla Storage jest teraz usługa Microsoft Defender dla Storage.

Dowiedz się więcej o ostatniej zmianie nazw usług zabezpieczeń firmy Microsoft.

Dowiedz się więcej o zaletach funkcji adaptacyjnego sterowania aplikacją usługi Microsoft Defender dla chmury i o tym, jak można zwiększyć bezpieczeństwo za pomocą tej inteligentnej funkcji opartej na danych.

Co to są funkcje adaptacyjnego sterowania aplikacją?

Funkcje adaptacyjnego sterowania aplikacjami to inteligentne i zautomatyzowane rozwiązanie do definiowania list zezwalających na listę znanych bezpiecznych aplikacji dla maszyn.

Często organizacje mają kolekcje maszyn, które rutynowo uruchamiają te same procesy. Usługa Microsoft Defender for Cloud używa uczenia maszynowego do analizowania aplikacji uruchomionych na maszynach i tworzenia listy znanego bezpiecznego oprogramowania. Listy zezwalania są oparte na konkretnych obciążeniach platformy Azure i możesz dodatkowo dostosować zalecenia, korzystając z poniższych instrukcji.

Po włączeniu i skonfigurowaniu funkcji adaptacyjnego sterowania aplikacją otrzymasz alerty zabezpieczeń, jeśli którakolwiek z aplikacji działa poza zdefiniowanymi jako bezpieczne.

Jakie są zalety adaptacyjnego sterowania aplikacją?

Definiując listy znanych bezpiecznych aplikacji i generując alerty w przypadku wykonywania innych zadań, można osiągnąć wiele celów nadzoru i zgodności:

  • Identyfikowanie potencjalnego złośliwego oprogramowania, nawet tych, które mogą zostać pominięte przez rozwiązania chroniące przed złośliwym kodem
  • Zwiększenie zgodności z lokalnymi zasadami zabezpieczeń, które określają użycie tylko licencjonowanego oprogramowania
  • Identyfikowanie nieaktualnych lub nieobsługiwanych wersji aplikacji
  • Identyfikowanie oprogramowania zabronionego przez organizację, ale niemniej działającego na maszynach
  • Zwiększenie nadzoru nad aplikacjami, które mają dostęp do poufnych danych

Obecnie nie są dostępne żadne opcje wymuszania. Funkcje adaptacyjnego sterowania aplikacją mają na celu zapewnienie alertów zabezpieczeń, jeśli jakiekolwiek aplikacje są uruchamiane poza zdefiniowanymi jako bezpieczne.

Dostępność

Aspekt Szczegóły
Stan wydania: Ogólna dostępność
Ceny: Wymaga usługi Microsoft Defender dla serwerów
Obsługiwane maszyny: Maszyny platformy Azure i maszyny spoza platformy Azure z systemami Windows i Linux
Azure Arc maszyn wirtualnych
Wymagane role i uprawnienia: Role Czytelnik zabezpieczeń i Czytelnik mogą wyświetlać grupy i listy znanych bezpiecznych aplikacji
Role Współautor i Administrator zabezpieczeń mogą edytować grupy i listy znanych bezpiecznych aplikacji
Chmury: Chmury komercyjne
Krajowe (Azure Government, Azure (Chiny) — 21Vianet)

Włączanie kontrolek aplikacji na grupie maszyn

Jeśli usługa Microsoft Defender for Cloud zidentyfikowała grupy maszyn w subskrypcjach, które stale uruchamiają podobny zestaw aplikacji, zostanie wyświetlony monit z następującym zaleceniem: Na maszynach powinny być włączone funkcje adaptacyjnego sterowania aplikacjami do definiowania bezpiecznych aplikacji.

Wybierz zalecenie lub otwórz stronę adaptacyjnego sterowania aplikacjami, aby wyświetlić listę sugerowanych znanych bezpiecznych aplikacji i grup maszyn.

  1. Otwórz pulpit nawigacyjny Ochrona obciążeń i w obszarze zaawansowanej ochrony wybierz pozycję Adaptacyjne kontrolki aplikacji.

    Otwieranie adaptacyjnych kontrolek aplikacji z pulpitu nawigacyjnego platformy Azure.

    Zostanie otwarta strona Funkcje adaptacyjnego sterowania aplikacją z maszynami wirtualnych pogrupowanych na następujących kartach:

    • Skonfigurowane — grupy maszyn, które mają już zdefiniowaną listę zezwalań aplikacji. Dla każdej grupy skonfigurowana karta zawiera:

      • liczba maszyn w grupie
      • ostatnie alerty
    • Zalecane — grupy maszyn, które stale uruchamiają te same aplikacje i nie mają skonfigurowanej listy zezwalań. Zalecamy włączenie funkcji adaptacyjnego sterowania aplikacją dla tych grup.

      Porada

      Jeśli zostanie wyświetlona nazwa grupy z prefiksem "REVIEWGROUP", będzie ona zawierała maszyny z częściowo spójną listą aplikacji. Usługa Microsoft Defender dla chmury nie widzi wzorca, ale zaleca przejrzenie tej grupy w celu sprawdzenia, czy można ręcznie zdefiniować niektóre reguły adaptacyjnego sterowania aplikacją zgodnie z opisem w tesłudze Edytowanie reguły adaptacyjnego sterowania aplikacją grupy.

      Możesz również przenieść maszyny z tej grupy do innych grup zgodnie z opisem w temacie Przenoszenie maszyny z jednej grupy do innej.

    • Brak rekomendacji — maszyny bez zdefiniowanej listy zezwalań aplikacji, które nie obsługują tej funkcji. Maszyna może być na tej karcie z następujących powodów:

      • Brak agenta usługi Log Analytics
      • Agent usługi Log Analytics nie wysyła zdarzeń
      • Jest to maszyna Windows z już istniejącymi zasadami funkcji AppLocker włączonymi przez zasady zabezpieczeń zasad grupy lub lokalne zasady zabezpieczeń

      Porada

      Usługa Defender dla chmury potrzebuje co najmniej dwóch tygodni danych, aby zdefiniować unikatowe zalecenia dla grupy maszyn. Maszyny, które zostały ostatnio utworzone lub należą do subskrypcji, które były niedawno chronione przez usługę Microsoft Defender dla serwerów, będą wyświetlane na karcie Brak rekomendacji.

  2. Otwórz kartę Zalecane. Zostanie wyświetlona lista grup maszyn z zalecanymi listami zezwalania.

    Zalecana karta.

  3. Wybierz grupę.

  4. Aby skonfigurować nową regułę, przejrzyj różne sekcje tej strony Konfigurowanie reguł sterowania aplikacją i zawartość, która będzie unikatowa dla tej konkretnej grupy maszyn:

    Skonfiguruj nową regułę.

    1. Wybierz maszyny — domyślnie wybrane są wszystkie maszyny w zidentyfikowanej grupie. Usuń zaznaczenie wszystkich, aby usunąć je z tej reguły.

    2. Zalecane aplikacje — przejrzyj tę listę aplikacji, które są wspólne dla maszyn w tej grupie i zalecane do uruchamiania.

    3. Więcej aplikacji — przejrzyj tę listę aplikacji, które są widoczne rzadziej na maszynach w tej grupie lub są znane jako aplikacje, które można wykorzystać. Ikona ostrzeżenia wskazuje, że osoba atakująca może użyć konkretnej aplikacji do obejścia listy zezwalań aplikacji. Zalecamy, aby dokładnie przejrzeć te aplikacje.

      Porada

      Obie listy aplikacji zawierają opcję ograniczenia określonej aplikacji do określonych użytkowników. Jeśli to możliwe, należy przyjąć zasadę najmniejszych uprawnień.

      Aplikacje są definiowane przez ich wydawców, jeśli aplikacja nie ma informacji o wydawcy (jest niepodpisane), tworzona jest reguła ścieżki dla pełnej ścieżki określonej aplikacji.

    4. Aby zastosować regułę, wybierz pozycję Inspekcja.

Edytowanie reguły adaptacyjnego sterowania aplikacją grupy

Możesz zdecydować się na edycję listy zezwalań dla grupy maszyn z powodu znanych zmian w organizacji.

Aby edytować reguły dla grupy maszyn:

  1. Otwórz pulpit nawigacyjny Ochrona obciążeń i w obszarze zaawansowanej ochrony wybierz pozycję Adaptacyjne kontrolki aplikacji.

  2. Na karcie Skonfigurowane wybierz grupę z regułą, którą chcesz edytować.

  3. Zapoznaj się z różnymi sekcjami strony Konfigurowanie reguł sterowania aplikacją zgodnie z opisem w sekcji Włączanie adaptacyjnego sterowania aplikacją na grupie maszyn.

  4. Opcjonalnie dodaj co najmniej jedną regułę niestandardową:

    1. Wybierz pozycję Dodaj regułę.

      Dodaj regułę niestandardową.

    2. Jeśli definiujesz znaną bezpieczną ścieżkę, zmień typ reguły na "Ścieżka" i wprowadź pojedynczą ścieżkę. W ścieżce można uwzględnić symbole wieloznaczne.

      Porada

      Niektóre scenariusze, w których symbole wieloznaczne w ścieżce mogą być przydatne:

      • Użycie symbolu wieloznacznego na końcu ścieżki, aby zezwolić na wszystkie pliki wykonywalne w tym folderze i podfolderach.
      • Użycie symbolu wieloznacznego w środku ścieżki w celu włączenia znanej nazwy pliku wykonywalnego ze zmianą nazwy folderu (na przykład osobistych folderów użytkownika zawierających znany plik wykonywalny, automatycznie wygenerowanych nazw folderów itp.).
    3. Zdefiniuj dozwolonych użytkowników i chronione typy plików.

    4. Po zakończeniu definiowania reguły wybierz pozycję Dodaj.

  5. Aby zastosować zmiany, wybierz pozycję Zapisz.

Przeglądanie i edytowanie ustawień grupy

  1. Aby wyświetlić szczegóły i ustawienia grupy, wybierz pozycję Ustawienia grupy

    W tym okienku jest przedstawiana nazwa grupy (którą można zmodyfikować), typ systemu operacyjnego, lokalizacja i inne istotne szczegóły.

    Strona ustawień grupy dla adaptacyjnych kontrolek aplikacji.

  2. Opcjonalnie zmodyfikuj tryby ochrony nazwy lub typu pliku grupy.

  3. Wybierz pozycję Zastosuj i zapisz.

Odpowiadanie na zalecenie "Reguły listy zezwalaj w zasadach adaptacyjnego sterowania aplikacją powinny zostać zaktualizowane"

Zobaczysz to zalecenie, gdy usługa Defender dla uczenia maszynowego w chmurze zidentyfikuje potencjalnie uzasadnione zachowanie, które nie było wcześniej dozwolone. Zalecenie sugeruje nowe reguły dla istniejących definicji w celu zmniejszenia liczby fałszywie dodatnich alertów.

Aby rozwiązać te problemy:

  1. Na stronie zaleceń wybierz zalecenie Reguły listy zezwalania w zasadach adaptacyjnego sterowania aplikacją, aby wyświetlić grupy o nowo zidentyfikowanym, potencjalnie legalnym zachowaniu.

  2. Wybierz grupę z regułą, którą chcesz edytować.

  3. Zapoznaj się z różnymi sekcjami strony Konfigurowanie reguł sterowania aplikacją zgodnie z opisem w sekcji Włączanie adaptacyjnego sterowania aplikacją na grupie maszyn.

  4. Aby zastosować zmiany, wybierz pozycję Inspekcja.

Inspekcja alertów i naruszeń

  1. Otwórz pulpit nawigacyjny Ochrona obciążeń i w obszarze zaawansowanej ochrony wybierz pozycję Adaptacyjne kontrolki aplikacji.

  2. Aby wyświetlić grupy z maszynami z najnowszymi alertami, przejrzyj grupy wymienione na karcie Skonfigurowane.

  3. Aby dokładniej zbadać ten temat, wybierz grupę.

    Ostatnie alerty.

  4. Aby uzyskać więcej informacji i listę maszyn, których dotyczy problem, wybierz alert.

    Strona alertów zawiera więcej szczegółów alertów oraz link Take action (Działanie) z zaleceniami co do sposobu ograniczenia zagrożenia.

    Czas rozpoczęcia alertów adaptacyjnego sterowania aplikacją to czas utworzenia alertu przez funkcje adaptacyjnego sterowania aplikacją.

    Uwaga

    Funkcje adaptacyjnego sterowania aplikacją oblicza zdarzenia co 12 godzin. "Godzina rozpoczęcia działania" wyświetlana na stronie alertów to czas utworzenia alertu przez funkcje adaptacyjnego sterowania aplikacją, a nie czas aktywności podejrzanego procesu.

Przenoszenie maszyny z jednej grupy do innej

Gdy przeniesiesz maszynę z jednej grupy do innej, zastosowane do niego zasady sterowania aplikacji zmienią ustawienia grupy, do których została przeniesiona. Możesz również przenieść maszynę ze skonfigurowanej grupy do nieskonfigurowanej grupy, co spowoduje usunięcie wszystkich reguł kontroli aplikacji, które zostały zastosowane do maszyny.

  1. Otwórz pulpit nawigacyjny Ochrona obciążeń i w obszarze zaawansowanej ochrony wybierz pozycję Adaptacyjne kontrolki aplikacji.

  2. Na stronie Funkcje adaptacyjnego sterowania aplikacją na karcie Skonfigurowane wybierz grupę zawierającą maszynę, która ma zostać przeniesiona.

  3. Otwórz listę skonfigurowanych maszyn.

  4. Otwórz menu maszyny z trzech kropek na końcu wiersza, a następnie wybierz pozycję Przenieś. Zostanie otwarte okienko Przenoszenie maszyny do innej grupy.

  5. Wybierz grupę docelową, a następnie wybierz pozycję Przenieś maszynę.

  6. Wybierz pozycję Zapisz, aby zapisać zmiany.

Zarządzanie kontrolkami aplikacji za pośrednictwem interfejsu API REST

Aby programowo zarządzać adaptacyjną kontrolą aplikacji, użyj naszego interfejsu API REST.

Odpowiednią dokumentację interfejsu API można znaleźć w sekcji Funkcje adaptacyjnego sterowania aplikacją w dokumentacji interfejsu API usługi Defender dla chmury.

Niektóre funkcje dostępne w interfejsie API REST:

  • Lista pobiera wszystkie zalecenia dotyczące grupy i dostarcza dane JSON z obiektem dla każdej grupy.

  • Polecenie Pobierz pobiera dane JSON z pełnymi danymi rekomendacji (czyli listą maszyn, regułami wydawcy/ścieżki itd.).

  • Put konfiguruje regułę (użyj danych JSON pobranych za pomocą funkcji Get jako treści dla tego żądania).

    Ważne

    Funkcja Put oczekuje mniejszej liczby parametrów niż zawiera kod JSON zwracany przez polecenie Get.

    Usuń następujące właściwości przed użyciem kodu JSON w żądaniu Put: recommendationStatus, configurationStatus, issues, location i sourceSystem.

Często zadawane pytania — funkcje adaptacyjnego sterowania aplikacją

Czy istnieją jakieś opcje wymuszania kontrolek aplikacji?

Obecnie nie są dostępne żadne opcje wymuszania. Funkcje adaptacyjnego sterowania aplikacją mają na celu zapewnienie alertów zabezpieczeń, jeśli jakiekolwiek aplikacje są uruchamiane poza zdefiniowanymi jako bezpieczne. Mają one szereg korzyści (Jakie są zalety adaptacyjnego sterowaniaaplikacją?)i są bardzo dostosowywalne, jak pokazano na tej stronie.

Usługa Microsoft Defender dla serwerów obejmuje skanowanie luk w zabezpieczeniach maszyn bez dodatkowych kosztów. Nie potrzebujesz licencji firmy Qualys, a nawet konta qualys — wszystko jest obsługiwane bezproblemowo w usłudze Defender for Cloud. Aby uzyskać szczegółowe informacje o tym skanerze i instrukcje dotyczące wdrażania go, zobacz Defender for Cloud's integrated Qualys vulnerability assessment solution(Zintegrowane rozwiązanie do oceny luk w zabezpieczeniach w usłudze Defender for Cloud firmy Qualys).

Aby upewnić się, że podczas wdrażania skanera w usłudze Defender for Cloud nie są generowane żadne alerty, lista zalecanych możliwości adaptacyjnego sterowania aplikacją zawiera skaner dla wszystkich maszyn.

Następne kroki

Na tej stronie przedstawiono sposób używania funkcji adaptacyjnego sterowania aplikacjami w usłudze Microsoft Defender dla chmury do definiowania list zezwalania na aplikacje uruchomione na maszynach platformy Azure i maszynach spoza platformy Azure. Aby dowiedzieć się więcej o innych funkcjach ochrony obciążeń w chmurze, zobacz: