Funkcje adaptacyjnego sterowania aplikacjami w usłudze Azure Security CenterAdaptive application controls in Azure Security Center

Z tego przewodnika dowiesz się, jak skonfigurować funkcje sterowania aplikacjami w usłudze Azure Security Center.Learn how to configure application control in Azure Security Center using this walkthrough.

Co to są funkcje adaptacyjnego sterowania aplikacjami w usłudze Security Center?What are adaptive application controls in Security Center?

Funkcji adaptacyjnego sterowania aplikacjami to rozwiązanie umieszczania na białej liście automatyczne aplikacji inteligentnych end-to-end w usłudze Azure Security Center.Adaptive application control is an intelligent, automated end-to-end application whitelisting solution from Azure Security Center. Ułatwia on kontroli aplikacji, które można uruchomić na platformę Azure i innych — maszyny wirtualne platformy Azure (Windows i Linux), która pozwala między innymi, wzmocnić ochronę tych maszyn wirtualnych przed złośliwym oprogramowaniem.It helps you control which applications can run on your Azure and non-Azure VMs (Windows and Linux), which, among other benefits, helps harden your VMs against malware. Usługa Security Center korzysta z uczenia maszynowego w celu analizuje aplikacje uruchomione na maszynach wirtualnych i ułatwia zastosowanie listy reguł elementów dozwolonych określonej za pomocą tej analizy.Security Center uses machine learning to analyze the applications running on your VMs and helps you apply the specific whitelisting rules using this intelligence. Ta funkcja znacząco upraszcza proces konfigurowania i konserwowania zasady listy dozwolonych aplikacji, dzięki któremu można:This capability greatly simplifies the process of configuring and maintaining application whitelisting policies, enabling you to:

  • Blokowanie lub ostrzeganie w przypadku prób uruchomienia złośliwych aplikacji, w tym te, które w przeciwnym razie może zostać niezauważone przez rozwiązania chroniące przed złośliwym kodem.Block or alert on attempts to run malicious applications, including those that might otherwise be missed by antimalware solutions.
  • Zachowanie zgodności z zasadami zabezpieczeń organizacji, które nakazują korzystanie wyłącznie z licencjonowanego oprogramowania.Comply with your organization's security policy that dictates the use of only licensed software.
  • Unikanie używania w danym środowisku niechcianego oprogramowania.Avoid unwanted software to be used in your environment.
  • Unikanie uruchamiania starych i nieobsługiwanych aplikacji.Avoid old and unsupported apps to run.
  • Zapobieganie używaniu określonych programów narzędziowych, które nie są dozwolone w organizacji.Prevent specific software tools that are not allowed in your organization.
  • Umożliwianie informatykom sterowania dostępem do poufnych danych za pomocą aplikacji.Enable IT to control the access to sensitive data through app usage.

Uwaga

Dla maszyn wirtualnych systemu Linux i spoza platformy Azure funkcje adaptacyjnego sterowania aplikacjami są obsługiwane tylko w trybie inspekcji.For Non-Azure and Linux VMs, adaptive application controls are supported in audit mode only.

Jak włączyć funkcje adaptacyjnego sterowania aplikacjami?How to enable adaptive application controls?

Funkcje adaptacyjnego sterowania aplikacjami ułatwiają zdefiniowanie zestawu aplikacji, które mogą być uruchamiane w skonfigurowanych grupach maszyn wirtualnych.Adaptive application controls help you define a set of applications that are allowed to run on configured groups of VMs. Ta funkcja jest dostępna dla platformy Azure i innych niż - Azure Windows (wszystkie wersje, klasyczne lub usługi Azure Resource Manager) i maszyny wirtualne systemu Linux i serwerów.This feature is available for both Azure and non-Azure Windows (all versions, classic, or Azure Resource Manager) and Linux VMs and servers. Poniższe kroki umożliwiają skonfigurowanie listy dozwolonych aplikacji w usłudze Security Center:The following steps can be used to configure application whitelisting in Security Center:

  1. Otwórz pulpit nawigacyjny usługi Security Center.Open the Security Center dashboard.

  2. W okienku po lewej stronie wybierz pozycję Funkcje adaptacyjnego sterowania aplikacjami w obszarze Zaawansowana ochrona w chmurze.In the left pane, select Adaptive application controls located under Advanced cloud defense.

    Ochrona

Zostanie wyświetlona strona Adaptacyjne kontrolki aplikacji.The Adaptive application controls page appears.

controls

Sekcja Grupy maszyn wirtualnych zawiera trzy karty:The Groups of VMs section contains three tabs:

  • Skonfigurowane: lista grup zawierających maszyny wirtualne, dla których skonfigurowano sterowanie aplikacjami.Configured: list of groups containing the VMs that were configured with application control.
  • Zalecane: lista grup, dla których zaleca się sterowanie aplikacjami.Recommended: list of groups for which application control is recommended. Usługa Security Center przy użyciu uczenia maszynowego identyfikuje maszyny wirtualne odpowiednie do zastosowania funkcji sterowania aplikacjami na podstawie tego, czy na tych maszynach są spójnie uruchamiane te same aplikacje.Security Center uses machine learning to identify VMs that are good candidates for application control based on whether the VMs consistently run the same applications.
  • Brak zaleceń: lista grup zawierających maszyny wirtualne bez żadnych zaleceń dotyczących sterowania aplikacjami.No recommendation: list of groups containing VMs without any application control recommendations. Na przykład maszyny wirtualne, na których aplikacje stale się zmieniają i nie osiągają stanu stabilnego.For example, VMs on which applications are always changing, and haven’t reached a steady state.

Uwaga

Usługa Security Center korzysta z własnościowego algorytmu klastrowania w celu tworzenia grup maszyn wirtualnych, jednocześnie zapewniając, że podobne maszyny wirtualne uzyskają optymalne zalecane zasady sterowania aplikacjami.Security Center uses a proprietary clustering algorithm to create groups of VMs making sure that similar VMs get the optimal recommended application control policy.

Konfigurowanie nowych zasad sterowania aplikacjamiConfigure a new application control policy

  1. Kliknij kartę Zalecane, aby uzyskać listę grup z zaleceniami dotyczącymi sterowania aplikacjami:Click on the Recommended tab for a list of groups with application control recommendations:

    Zalecane

    Lista zawiera:The list includes:

    • Nazwa grupy: Nazwa subskrypcji i grupyGroup Name: The name of the subscription and group
    • Maszyny wirtualne i komputery: Liczba maszyn wirtualnych w grupieVMs and Computers: The number of virtual machines in the group
    • Stan: stan zaleceńState: the state of the recommendations
    • Ważność: poziom ważności zaleceńSeverity: the severity level of the recommendations
  2. Kliknij grupę, aby otworzyć Utwórz reguły sterowania aplikacjami opcji.Click on a group to open the Create application control rules option.

    Reguły sterowania aplikacjami

  3. W wybierz maszyny wirtualnezapoznaj się z listą zalecanych maszyn wirtualnych i usuń zaznaczenie pola wyboru dowolne czy chcesz zastosować zasady listy dozwolonych aplikacji.In the Select VMs, review the list of recommended VMs and uncheck any you do not want to apply an application whitelisting policy to. Następnie zostaną wyświetlone dwie listy:Next, you see two lists:

    • Zalecane aplikacje: listę aplikacji, które są często na maszynach wirtualnych w ramach tej grupy, a następnie zaleca się, aby mogła działać.Recommended applications: a list of applications that are frequent on the VMs within this group, and are recommended to be allowed to run.
    • Więcej aplikacji: Lista aplikacji, które są rzadko na maszynach wirtualnych w ramach tej grupy lub które są znane jako wykorzystania (zobacz informacje poniżej) i zalecane do przeglądu.More applications: a list of applications that are either less frequent on the VMs within this group or that are known as Exploitables (see more below), and recommended for review.
  4. Dokonaj przeglądu aplikacji na każdej liście i wyczyść zaznaczenie pól wyboru tych, które nie mają być stosowane.Review the applications in each of the lists, and uncheck any you do not want to apply. Każda lista zawiera takie elementy, jak:Each list includes:

    • Nazwa: informacje o certyfikacie lub Pełna ścieżka aplikacjiNAME: the certificate information or the full path of an application
    • TYPY PLIKÓW: typ pliku aplikacji.FILE TYPES: the application file type. Może to być plik EXE, skrypt, MSI lub permutacji dowolnego z tych typów.This can be EXE, Script, MSI, or any permutation of these types.
    • Możliwe do wykorzystania: ikona ostrzeżenia wskazuje, czy określona aplikacja może wykorzystać przez osobę atakującą do pominięcia rozwiązanie do listy dozwolonych aplikacji.EXPLOITABLE: a warning icon indicates if a specific application could be used by an attacker to bypass an application whitelisting solution. Zaleca się dokonanie przeglądu tych aplikacji przed ich zatwierdzeniem.It is recommended to review these applications prior to their approval.
    • UŻYTKOWNICY: lista użytkowników, którym zezwala się na uruchomienie aplikacjiUSERS: users that are recommended to be allowed to run an application
  5. Po wybraniu opcji wybierz przycisk Utwórz.Once you finish your selections, select Create.
    Po wybraniu przycisku Utwórz usługę Azure Security Center automatycznie tworzy odpowiednie zasady na podstawie rozwiązania umieszczania na białej liście wbudowanej aplikacji dostępnego na serwerach Windows (funkcji AppLocker).After you select Create, Azure Security Center automatically creates the appropriate rules on top of the built-in application whitelisting solution available on Windows servers (AppLocker).

Uwaga

  • Usługa Security Center używa danych z co najmniej dwóch tygodni w celu utworzenia planu bazowego i przygotowania unikatowych zaleceń dla grup maszyn wirtualnych.Security Center relies on a minimum of two weeks of data in order to create a baseline and populate the unique recommendations per group of VMs. Nowi klienci usługi Security Center w warstwie Standardowa powinni spodziewać się, że najpierw ich grupy maszyn wirtualnych pojawią się na karcie Brak zaleceń.New customers of Security Center standard tier should expect a behavior in which at first their groups of VMs appear under the no recommendation tab.
  • Funkcje adaptacyjnego sterowania aplikacjami w usłudze Security Center nie obsługują maszyn wirtualnych, dla których zasady funkcji AppLocker zostały już włączone za pomocą obiektu zasad grupy lub lokalnych zasad zabezpieczeń.Adaptive Application Controls from Security Center doesn’t support VMs for which an AppLocker policy is already enabled by either a GPO or a local security policy.
  • Jako zabezpieczeń najlepszym rozwiązaniem jest usługa Security Center zawsze próbuje utworzyć regułę wydawcy dla aplikacji, które są wybrane mają być dozwolone i tylko wtedy, gdy aplikacja nie ma informacji o wydawcy (bez podpisu), zostanie utworzona reguła ścieżki dla pełnej ścieżki określonej aplikacji.As a security best practice, Security Center will always try to create a publisher rule for applications that are selected to be allowed, and only if an application doesn’t have a publisher information (aka not signed), a path rule will be created for the full path of the specific application.

Edytowanie i monitorowanie grupy, dla której skonfigurowano sterowanie aplikacjamiEditing and monitoring a group configured with application control

  1. Aby edytować i monitorować grupę, skonfigurowano zasady listy dozwolonych aplikacji, wróć do funkcje adaptacyjnego sterowania aplikacjami strony i wybierz SKONFIGUROWANE w obszarze grupy maszyn wirtualnych:To edit and monitor a group configured with an application whitelisting policy, return to the Adaptive application controls page and select CONFIGURED under Groups of VMs:

    Grupy

    Lista zawiera:The list includes:

    • Nazwa grupy: Nazwa subskrypcji i grupyGroup Name: the name of the subscription and group
    • Maszyny wirtualne i komputery: liczba maszyn wirtualnych w grupieVMs and Computers: the number of virtual machines in the group
    • Tryb: Tryb inspekcji będą rejestrowane próby uruchomienia aplikacji spoza; Wymuszanie będą nie Pozwól na uruchamianie aplikacji — na liście dozwolonychMode: Audit mode will log attempts to run non-whitelisted applications; Enforce will not allow non-whitelisted applications to run
    • Alerty: wszelkie bieżące naruszeniaAlerts: any current violations
  2. Kliknij grupę, aby wprowadzić zmiany w edytowanie zasad kontroli aplikacji strony.Click on a group to make changes in the Edit application control policy page.

    Ochrona

  3. W obszarze Tryb ochrony do wyboru są następujące opcje:Under Protection mode, you have the option to select between the following:

    • Inspekcja: w tym trybie rozwiązanie sterowania aplikacjami nie będzie wymuszać reguł, a jedynie prowadzić inspekcję działań na chronionych maszynach wirtualnych.Audit: in this mode, the application control solution does not enforce the rules, and only audits the activity on the protected VMs. Jest to zalecane w scenariuszach, w których trzeba najpierw przyjrzeć się ogólnym zachowaniom, zanim zablokuje się uruchamianie aplikacji na docelowej maszynie wirtualnej.This is recommended for scenarios where you want to first observe the overall behavior before blocking an app to run in the target VM.
    • Wymuszanie: w tym trybie rozwiązanie sterowania aplikacjami będzie wymuszać reguły, a aplikacje, które nie powinny być uruchamiane, będą blokowane.Enforce: in this mode, the application control solution does enforce the rules, and makes sure that applications that are not allowed to run are blocked.

    Uwaga

    • Wymuszanie tryb ochrony jest wyłączona do odwołania.Enforce protection mode is disabled until further notice.
    • Jak wcześniej wspomniano, domyślnie nowe zasady sterowania aplikacjami są zawsze skonfigurowane w trybie inspekcji.As previously mentioned, by default a new application control policy is always configured in Audit mode.
  4. W obszarze rozszerzenia zasad, Dodaj dowolną ścieżkę aplikacji, który chcesz zezwolić.Under Policy extension, add any application path that you want to allow. Po dodaniu tych ścieżek, usługa Security Center zaktualizuje zasady umieszczania na białej liście aplikacji na maszynach wirtualnych w ramach wybranej grupy maszyn wirtualnych i tworzy odpowiednie zasady dla tych aplikacji, oprócz reguł, które znajdują się już w miejscu.After you add these paths, Security Center updates the application whitelisting policy on the VMs within the selected group of VMS and creates the appropriate rules for these applications, in addition to the rules that are already in place.

  5. Przejrzyj bieżące naruszenia na liście ostatnie alerty sekcji.Review the current violations listed in the Recent alerts section. Kliknij pozycję w każdym wierszu, aby przejść do alerty strony w usłudze Azure Security Center, a następnie Wyświetl wszystkie alerty, które zostały wykryte przez usługę Azure Security Center na skojarzonych maszynach wirtualnych.Click on each line to be redirected to the Alerts page within Azure Security Center, and view all the alerts that were detected by Azure Security Center on the associated VMs.

    • Alerty: naruszenie, które zostały zarejestrowane.Alerts: any violations that were logged.
    • Nie. maszyn wirtualnych: liczba maszyn wirtualnych przy użyciu tego typu alertu.No. of VMs: the number of virtual machines with this alert type.
  6. W obszarze reguł umieszczania na białej liście wydawców, reguły umieszczania na białej liście ścieżek, i wyznaczania wartości skrótu listy reguł elementów dozwolonych widać, które są obecnie dostępne reguły listy dozwolonych aplikacji skonfigurowane na maszynach wirtualnych w obrębie grupy, zgodnie z typów kolekcji reguł.Under Publisher whitelisting rules, Path whitelisting rules, and Hash whitelisting rules you can see which application whitelisting rules are currently configured on the VMs within a group, according to the rule collection type. Dla każdej reguły widoczne:For each rule you can see:

    • Reguła: Określone parametry zgodnie z którymi aplikacja jest badany przez funkcję AppLocker w celu ustalenia, jeśli aplikacja może być uruchomiona.Rule: The specific parameters according to which an application is examined by AppLocker to determine if an application is allowed to run.
    • Typ pliku: Typy plików, które są objęte daną regułę.File type: The file types that are covered by a specific rule. Może to być dowolny z następujących czynności: Plik EXE, skrypt, MSI lub permutacji dowolnego z tych typów plików.This can be any of the following: EXE, Script, MSI, or any permutation of those file types.
    • Użytkownicy: Nazwa lub liczba użytkowników, którzy mogą uruchamiać aplikację, która jest objęta reguły umieszczania na białej liście aplikacji.Users: Name or number of users who are allowed to run an application that is covered by an application whitelisting rule.

    Reguły umieszczania na liście dozwolonych

  7. Kliknij trzy kropki znajdujące się na końcu każdego wiersza, jeśli chcesz usunąć daną regułę lub edytować listę uprawnionych użytkowników.Click on the three dots at the end of each line if you want to delete the specific rule or edit the allowed users.

  8. Po wprowadzeniu zmian do funkcje adaptacyjnego sterowania aplikacjami zasad, kliknij przycisk Zapisz.After making changes to an Adaptive application controls policy, click Save.

Usługa Security Center zaleca tylko zasady listy dozwolonych aplikacji dla maszyn wirtualnych, uruchamiane są stabilne zestawy aplikacji.Security Center only recommends application whitelisting policies for virtual machines running a stable set of applications. Zalecenia nie są tworzone w przypadku ciągłych zmian aplikacji na skojarzonych maszynach wirtualnych.Recommendations are not created if applications on the associated VMs keep changing.

Zalecenie

Lista zawiera:The list contains:

  • Nazwa grupy: Nazwa subskrypcji i grupyGroup Name: the name of the subscription and group
  • Maszyny wirtualne i komputery: liczba maszyn wirtualnych w grupieVMs and Computers: the number of virtual machines in the group

Usługa Azure Security Center umożliwia zdefiniowanie zasad umieszczania na białej liście aplikacji na innych niż zalecane grupy maszyn wirtualnych, jak również.Azure Security Center enables you to define an application whitelisting policy on non-recommended groups of VMs as well. Postępuj zgodnie z tymi samymi zasadami, opisane zostały wcześniej, aby skonfigurować zasady umieszczania na białej liście aplikacji na tych grup, jak również.Follow the same principles as were previously described, to configure an application whitelisting policy on those groups as well.

Przenoszenie maszyny Wirtualnej z jednej grupy do innegoMove a VM from one group to another

Po przeniesieniu do innej maszyny Wirtualnej z jednej grupy zasad kontroli aplikacji, które są stosowane do niego zmian w ustawieniach grupy, przenieść go do.When you move a VM from one group to another, the application control policy applied to it changes to the settings of the group that you moved it to. To również przenieść Maszynę wirtualną z skonfigurowanej grupy, do grupy inne niż skonfigurowane, co powoduje usunięcie do zasad kontroli aplikacji, która wcześniej została zastosowana do maszyny Wirtualnej.You can also move a VM from a configured group to a non-configured group, which results in removing any application control policy that was previously applied to the VM.

  1. Z funkcje adaptacyjnego sterowania aplikacjami strony, od SKONFIGUROWANE kartę, kliknij grupę, do której należy maszyna wirtualna ma zostać przeniesiona obecnie.From the Adaptive application controls page, from the CONFIGURED tab, click the group which the VM to be moved currently belongs to.

  2. Kliknij przycisk skonfigurowane maszyny wirtualne i komputery.Click Configured VMs and Computers.

  3. Kliknij trzy kropki znajdujące się w wierszu maszynę Wirtualną, aby przenieść, a następnie kliknij przycisk przenieść.Click the three dots in the line of the VM to move and click Move. Przenieś komputer do innej grupy zostanie otwarte okno.The Move computer to different group window opens.

    Ochrona

  4. Wybierz grupę, aby przenieść maszynę Wirtualną, a następnie kliknij przycisk Przenieś komputeri kliknij przycisk Zapisz.Select the group to move the VM to, and click Move Computer, and click Save.

    Ochrona

Uwaga

Należy kliknąć przycisk Zapisz po kliknięciu przycisku Przenieś komputer.Be sure to click Save after clicking Move Computer. Jeśli nie klikniesz Zapisz, a następnie komputera nie zostaną przeniesione.If you do not click Save, then the computer will not be moved.

Kolejne krokiNext steps

W tym dokumencie przedstawiono sposób użycia funkcji adaptacyjnego sterowania aplikacjami w usłudze Azure Security Center do listy dozwolonych działających na platformie Azure i - Azure VMs.In this document, you learned how to use adaptive application control in Azure Security Center to whitelist applications running in Azure and non-Azure VMs. Aby dowiedzieć się więcej na temat Centrum zabezpieczeń Azure, zobacz następujące artykuły:To learn more about Azure Security Center, see the following: