Włączanie funkcji adaptacyjnego sterowania aplikacjami i zarządzanie nimi

  • Artykuł

funkcje adaptacyjnego sterowania aplikacjami Microsoft Defender dla Chmury zapewniają oparte na danych i inteligentne zautomatyzowane rozwiązanie, które zwiększa bezpieczeństwo, definiując listy dozwolonych znanych aplikacji dla maszyn. Dzięki tej funkcji organizacje mogą zarządzać kolekcjami maszyn, które rutynowo uruchamiają te same procesy. Korzystając z uczenia maszynowego, Microsoft Defender dla Chmury może analizować aplikacje uruchomione na maszynach i tworzyć listę znanego bezpiecznego oprogramowania. Te listy dozwolonych są oparte na konkretnych obciążeniach platformy Azure. Możesz dodatkowo dostosować zalecenia, korzystając z instrukcji podanych na tej stronie.

W grupie maszyn

Jeśli Microsoft Defender dla Chmury zidentyfikował grupy maszyn w subskrypcjach, które stale uruchamiają podobny zestaw aplikacji, zostanie wyświetlony monit z następującym zaleceniem: Adaptacyjne mechanizmy kontroli aplikacji do definiowania bezpiecznych aplikacji powinny być włączone na maszynach.

Wybierz zalecenie lub otwórz stronę adaptacyjnych kontrolek aplikacji, aby wyświetlić listę sugerowanych, bezpiecznych aplikacji i grup maszyn.

  1. Otwórz pulpit nawigacyjny Ochrona obciążeń i w obszarze zaawansowanej ochrony wybierz pozycję Funkcje adaptacyjnego sterowania aplikacjami.

    Screenshot showing opening adaptive application controls from the Azure Dashboard.

    Zostanie otwarta strona Funkcje adaptacyjnego sterowania aplikacjami z maszynami wirtualnymi pogrupowaną na następujące karty:

    • Skonfigurowane — grupy maszyn, które mają już zdefiniowaną listę dozwolonych aplikacji. Dla każdej grupy skonfigurowana karta pokazuje:

      • liczba maszyn w grupie
      • ostatnie alerty

    • Zalecane — grupy maszyn, które stale uruchamiają te same aplikacje i nie mają skonfigurowanej listy dozwolonych. Zalecamy włączenie adaptacyjnych kontrolek aplikacji dla tych grup.

      Napiwek

      Jeśli zostanie wyświetlona nazwa grupy z prefiksem REVIEWGROUP, zawiera ona maszyny z częściowo spójną listą aplikacji. Microsoft Defender dla Chmury nie może zobaczyć wzorca, ale zaleca przejrzenie tej grupy, aby sprawdzić, czy można ręcznie zdefiniować niektóre reguły adaptacyjnego sterowania aplikacjami zgodnie z opisem w temacie Edytowanie reguły adaptacyjnego sterowania aplikacjami grupy.

      Możesz również przenieść maszyny z tej grupy do innych grup zgodnie z opisem w temacie Przenoszenie maszyny z jednej grupy do innej.

    • Brak rekomendacji — maszyny bez zdefiniowanej listy dozwolonych aplikacji i które nie obsługują tej funkcji. Twoja maszyna może znajdować się na tej karcie z następujących powodów:

      • Brak agenta usługi Log Analytics
      • Agent usługi Log Analytics nie wysyła zdarzeń
      • Jest to maszyna z systemem Windows z wcześniej istniejącymi zasadami funkcji AppLocker włączonymi przez obiekt zasad grupy lub zasady zabezpieczeń lokalnych
      • Funkcja AppLocker nie jest dostępna (instalacje systemu Windows Server Core)

      Napiwek

      Defender dla Chmury potrzebuje co najmniej dwóch tygodni danych, aby zdefiniować unikatowe zalecenia dla każdej grupy maszyn. Maszyny, które zostały niedawno utworzone lub należą do subskrypcji, które były ostatnio chronione przez usługę Microsoft Defender dla serwerów, będą wyświetlane na karcie Brak rekomendacji .

  2. Otwórz kartę Zalecane . Pojawią się grupy maszyn z zalecanymi listami dozwolonymi.

    Screenshot that shows you where on the screen the recommendation tab is.

  3. Wybierz grupę.

  4. Aby skonfigurować nową regułę, zapoznaj się z różnymi sekcjami tej strony Konfigurowanie reguł kontroli aplikacji i zawartością, która będzie unikatowa dla tej konkretnej grupy maszyn:

    Screenshot that shows you the order you need to follow to configure application control rules in the portal.

    1. Wybierz maszyny — domyślnie wybierane są wszystkie maszyny w zidentyfikowanej grupie. Usuń zaznaczenie wszystkich, aby usunąć je z tej reguły.

    2. Zalecane aplikacje — przejrzyj tę listę aplikacji , które są wspólne dla maszyn w tej grupie i zalecane, aby można je było uruchamiać.

    3. Więcej aplikacji — przejrzyj tę listę aplikacji , które są widoczne rzadziej na maszynach w tej grupie lub są znane jako możliwe do wykorzystania. Ikona ostrzeżenia wskazuje, że określona aplikacja może być używana przez osobę atakującą do obejścia listy dozwolonych aplikacji. Zalecamy dokładne przejrzenie tych aplikacji.

      Napiwek

      Obie listy aplikacji zawierają opcję ograniczenia określonej aplikacji do określonych użytkowników. Przyjęcie zasady najniższych uprawnień zawsze, gdy jest to możliwe.

      Aplikacje są definiowane przez ich wydawców. Jeśli aplikacja nie ma informacji o wydawcy (nie jest podpisana), zostanie utworzona reguła ścieżki dla pełnej ścieżki określonej aplikacji.

    4. Aby zastosować regułę, wybierz pozycję Inspekcja.

Edytowanie reguły adaptacyjnego sterowania aplikacjami grupy

Możesz zdecydować się na edycję listy dozwolonych dla grupy maszyn ze względu na znane zmiany w organizacji.

Aby edytować reguły dla grupy maszyn:

  1. Otwórz pulpit nawigacyjny Ochrona obciążeń i w obszarze zaawansowanej ochrony wybierz pozycję Funkcje adaptacyjnego sterowania aplikacjami.

  2. Na karcie Skonfigurowane wybierz grupę z regułą, którą chcesz edytować.

  3. Przejrzyj różne sekcje strony Konfigurowanie reguł sterowania aplikacjami zgodnie z opisem w sekcji W grupie maszyn.

  4. Opcjonalnie dodaj co najmniej jedną regułę niestandardową:

    1. Wybierz Dodaj regułę.

    Screenshot that shows you where the add rule button is located.

    1. Jeśli definiujesz znaną bezpieczną ścieżkę, zmień typ reguły na "Ścieżka" i wprowadź pojedynczą ścieżkę. W ścieżce można uwzględnić symbole wieloznaczne. Na poniższych ekranach przedstawiono kilka przykładów używania symboli wieloznacznych.

      Screenshot that shows examples of using wildcards.

      Napiwek

      Niektóre scenariusze, dla których symbole wieloznaczne w ścieżce mogą być przydatne:

      • Użyj symbolu wieloznakowego na końcu ścieżki, aby zezwolić na wszystkie pliki wykonywalne w tym folderze i podfolderach.
      • Użycie symbolu wieloznakowego w środku ścieżki w celu włączenia znanej nazwy pliku wykonywalnego o zmienionej nazwie folderu (na przykład folderów użytkowników osobistych zawierających znany plik wykonywalny, automatycznie generowane nazwy folderów itp.).

    2. Zdefiniuj dozwolonych użytkowników i typy plików chronionych.

    3. Po zakończeniu definiowania reguły wybierz pozycję Dodaj.

  5. Aby zastosować zmiany, wybierz pozycję Zapisz.

Przeglądanie i edytowanie ustawień grupy

  1. Aby wyświetlić szczegóły i ustawienia grupy, wybierz pozycję Ustawienia grupy.

    W tym okienku jest wyświetlana nazwa grupy (którą można zmodyfikować), typ systemu operacyjnego, lokalizacja i inne istotne szczegóły.

    Screenshot showing the group settings page for adaptive application controls.

  2. Opcjonalnie zmodyfikuj tryby ochrony typu pliku lub nazwy grupy.

  3. Wybierz pozycję Zastosuj i zapisz.

Odpowiedź na zalecenie "Reguły listy dozwolonych w zasadach adaptacyjnej kontroli aplikacji powinna zostać zaktualizowana"

To zalecenie zostanie wyświetlone, gdy uczenie maszynowe Defender dla Chmury identyfikuje potencjalnie uzasadnione zachowanie, które nie zostało wcześniej dozwolone. Zalecenie sugeruje nowe reguły dla istniejących definicji, aby zmniejszyć liczbę alertów fałszywie dodatnich.

Aby rozwiązać problemy:

  1. Na stronie zaleceń wybierz reguły Listy dozwolonych w zasadach adaptacyjnej kontroli aplikacji powinny zostać zaktualizowane , aby wyświetlić grupy z nowo zidentyfikowanymi, potencjalnie uzasadnionymi zachowaniami.

  2. Wybierz grupę z regułą, którą chcesz edytować.

  3. Przejrzyj różne sekcje strony Konfigurowanie reguł sterowania aplikacjami zgodnie z opisem w sekcji W grupie maszyn.

  4. Aby zastosować zmiany, wybierz pozycję Inspekcja.

Inspekcja alertów i naruszeń

  1. Otwórz pulpit nawigacyjny Ochrona obciążeń i w obszarze zaawansowanej ochrony wybierz pozycję Funkcje adaptacyjnego sterowania aplikacjami.

  2. Aby wyświetlić grupy z maszynami, które mają ostatnie alerty, przejrzyj grupy wymienione na karcie Skonfigurowane .

  3. Aby dokładniej zbadać, wybierz grupę.

    Screenshot showing recent alerts in Configured tab.

  4. Aby uzyskać więcej informacji, oraz listę maszyn, których dotyczy problem, wybierz alert.

    Strona alertów zabezpieczeń zawiera więcej szczegółów alertów i zawiera link Podejmij akcję z zaleceniami dotyczącymi ograniczania zagrożenia.

    Screenshot of the start time of adaptive application controls alerts showing that the time is when adaptive application controls created the alert.

    Uwaga

    Funkcje adaptacyjnego sterowania aplikacjami oblicza zdarzenia co dwanaście godzin. "Godzina rozpoczęcia działania" wyświetlana na stronie alertów zabezpieczeń to czas, przez który adaptacyjne mechanizmy kontroli aplikacji utworzyły alert, a nie czas aktywności podejrzanego procesu.

Przenoszenie maszyny z jednej grupy do innej

Po przeniesieniu maszyny z jednej grupy do innej zasady kontroli aplikacji zostaną zastosowane do niej w ustawieniach grupy, do której została przeniesiona. Możesz również przenieść maszynę ze skonfigurowanej grupy do nieskonfigurowane grupy, co spowoduje usunięcie wszystkich reguł kontroli aplikacji, które zostały zastosowane do maszyny.

  1. Otwórz pulpit nawigacyjny Ochrona obciążeń i w obszarze zaawansowanej ochrony wybierz pozycję Funkcje adaptacyjnego sterowania aplikacjami.

  2. Na stronie Adaptacyjne kontrolki aplikacji na karcie Skonfigurowane wybierz grupę zawierającą maszynę do przeniesienia.

  3. Otwórz listę Skonfigurowanych maszyn.

  4. Otwórz menu maszyny z trzech kropek na końcu wiersza, a następnie wybierz pozycję Przenieś. Zostanie otwarte okienko Przenoszenie maszyny do innej grupy .

  5. Wybierz grupę docelową i wybierz pozycję Przenieś maszynę.

  6. Aby zapisać zmiany, wybierz Zapisz.

Zarządzanie kontrolkami aplikacji za pośrednictwem interfejsu API REST

Aby programowo zarządzać adaptacyjną kontrolą aplikacji, użyj naszego interfejsu API REST.

Odpowiednia dokumentacja interfejsu API jest dostępna w sekcji Adaptacyjne kontrolki aplikacji w dokumentacji interfejsu API Defender dla Chmury.

Niektóre funkcje dostępne w interfejsie API REST obejmują:

  • Lista pobiera wszystkie zalecenia dotyczące grupy i udostępnia kod JSON z obiektem dla każdej grupy.

  • Pobiera kod JSON z pełnymi danymi rekomendacji (czyli listą maszyn, reguł wydawcy/ścieżki itd.).

  • Umieść regułę w konfiguracji (użyj kodu JSON pobranego z polecenia Pobierz jako treść tego żądania).

    Ważne

    Funkcja Put oczekuje mniejszej liczby parametrów niż kod JSON zwracany przez polecenie Get .

    Usuń następujące właściwości przed użyciem kodu JSON w żądaniu Put : recommendationStatus, configurationStatus, issues, location i sourceSystem.

Powiązana zawartość

Na tej stronie przedstawiono sposób używania adaptacyjnego sterowania aplikacjami w Microsoft Defender dla Chmury do definiowania list dozwolonych aplikacji działających na maszynach platformy Azure i innych niż azure. Aby dowiedzieć się więcej o innych funkcjach ochrony obciążeń w chmurze, zobacz: