Używanie funkcji adaptacyjnego sterowania aplikacją w celu zmniejszenia powierzchni ataków na maszyny

Dowiedz się więcej o korzyściach Azure Security Center funkcji adaptacyjnego sterowania aplikacją oraz o tym, jak można zwiększyć bezpieczeństwo za pomocą tej inteligentnej funkcji opartej na danych.

Co to Security Center funkcje adaptacyjnego sterowania aplikacją?

Funkcje adaptacyjnego sterowania aplikacjami to inteligentne i zautomatyzowane rozwiązanie do definiowania list zezwalających na listę znanych bezpiecznych aplikacji dla maszyn.

Często organizacje mają kolekcje maszyn, które rutynowo uruchamiają te same procesy. Security Center używa uczenia maszynowego do analizowania aplikacji uruchomionych na maszynach i tworzenia listy znanych bezpiecznych programów. Listy zezwalania są oparte na określonych obciążeniach platformy Azure i możesz dodatkowo dostosować zalecenia, korzystając z poniższych instrukcji.

Po włączeniu i skonfigurowaniu funkcji adaptacyjnego sterowania aplikacją otrzymasz alerty zabezpieczeń, jeśli którakolwiek z aplikacji działa poza zdefiniowanymi jako bezpieczne.

Jakie są zalety adaptacyjnego sterowania aplikacją?

Definiując listy znanych bezpiecznych aplikacji i generując alerty, gdy są wykonywane inne, można osiągnąć wiele celów dotyczących wzmacniania zabezpieczeń:

  • Identyfikowanie potencjalnego złośliwego oprogramowania, nawet tych, które mogą zostać pominięte przez rozwiązania chroniące przed złośliwym kodem
  • Zwiększenie zgodności z lokalnymi zasadami zabezpieczeń, które określają użycie tylko licencjonowanego oprogramowania
  • Unikaj uruchamiania starych lub nieobsługiwanych aplikacji
  • Zapobieganie określonemu oprogramowaniu zabronionemu przez organizację
  • Zwiększenie nadzoru nad aplikacjami, które mają dostęp do poufnych danych

Obecnie nie są dostępne żadne opcje wymuszania. Funkcje adaptacyjnego sterowania aplikacją mają na celu zapewnienie alertów zabezpieczeń, jeśli jakiekolwiek aplikacje są uruchamiane poza zdefiniowanymi jako bezpieczne.

Dostępność

Aspekt Szczegóły
Stan wydania: Ogólna dostępność
Ceny: Wymaga Azure Defender dla serwerów
Obsługiwane maszyny: Tak maszyny platformy Azure i maszyny spoza platformy Azure z systemami Windows i Linux
Tak Azure Arc maszyn wirtualnych
Wymagane role i uprawnienia: Role Czytelnik zabezpieczeń i Czytelnik mogą wyświetlać grupy i listy znanych bezpiecznych aplikacji
Role Współautor i Administrator zabezpieczeń mogą edytować grupy i listy znanych bezpiecznych aplikacji
Chmury: Tak Chmury komercyjne
Tak National/Sovereign (US Gov, China Gov, Other Gov)

Włączanie kontrolek aplikacji na grupie maszyn

Jeśli program Security Center zidentyfikował grupy maszyn w subskrypcjach, które stale uruchamiają podobny zestaw aplikacji, zostanie wyświetlony monit z następującym zaleceniem: Na maszynach powinny być włączone funkcje adaptacyjnego sterowania aplikacjami do definiowania bezpiecznych aplikacji.

Wybierz zalecenie lub otwórz stronę adaptacyjnego sterowania aplikacjami, aby wyświetlić listę sugerowanych znanych bezpiecznych aplikacji i grup maszyn.

  1. Otwórz pulpit Azure Defender nawigacyjny i w obszarze zaawansowanej ochrony wybierz pozycję Adaptacyjne kontrolki aplikacji.

    Otwieranie adaptacyjnych kontrolek aplikacji z pulpitu nawigacyjnego platformy Azure

    Zostanie otwarta strona Funkcje adaptacyjnego sterowania aplikacją z maszynami wirtualnych pogrupowanych na następujących kartach:

    • Skonfigurowane — grupy maszyn, które mają już zdefiniowaną listę zezwalań aplikacji. Dla każdej grupy na skonfigurowanej karcie przedstawiono:

      • liczba maszyn w grupie
      • ostatnie alerty
    • Zalecane — grupy maszyn, które stale uruchamiają te same aplikacje i nie mają skonfigurowanej listy zezwalań. Zalecamy włączenie funkcji adaptacyjnego sterowania aplikacją dla tych grup.

      Porada

      Jeśli zostanie wyświetlona nazwa grupy z prefiksem "REVIEWGROUP", będzie ona zawierała maszyny z częściowo spójną listą aplikacji. Security Center wzorca, ale zaleca przejrzenie tej grupy w celu sprawdzenia, czy można ręcznie zdefiniować niektóre reguły adaptacyjnego sterowania aplikacją zgodnie z opisem w tece Edytowanie reguły adaptacyjnego sterowania aplikacją grupy.

      Można również przenieść maszyny z tej grupy do innych grup zgodnie z opisem w temacie Przenoszenie maszyny z jednej grupy do innej.

    • Brak rekomendacji — maszyny bez zdefiniowanej listy zezwalań aplikacji, które nie obsługują tej funkcji. Maszyna może być na tej karcie z następujących powodów:

      • Brak agenta usługi Log Analytics
      • Agent usługi Log Analytics nie wysyła zdarzeń
      • Jest to maszyna z systemem Windows z wcześniej istniejącymi zasadami funkcji AppLocker włączonymi przez zasady zabezpieczeń lokalnych lub zasad zabezpieczeń lokalnych

      Porada

      Security Center potrzebuje co najmniej dwóch tygodni danych do zdefiniowania unikatowych zaleceń dla grupy maszyn. Maszyny, które zostały ostatnio utworzone lub należą do subskrypcji, które były ostatnio włączone Azure Defender, zostaną wyświetlone na karcie Brak rekomendacji.

  2. Otwórz kartę Zalecane. Zostanie wyświetlona lista grup maszyn z zalecanymi listami zezwalania.

    Zalecana karta

  3. Wybierz grupę.

  4. Aby skonfigurować nową regułę, zapoznaj się z różnymi sekcjami tej strony Konfigurowanie reguł sterowania aplikacją i zawartością, która będzie unikatowa dla tej konkretnej grupy maszyn:

    Konfigurowanie nowej reguły

    1. Wybierz maszyny — domyślnie są zaznaczone wszystkie maszyny w zidentyfikowanej grupie. Usuń zaznaczenie wszystkich, aby usunąć je z tej reguły.

    2. Zalecane aplikacje — przejrzyj tę listę aplikacji, które są wspólne dla maszyn w tej grupie i zalecane do uruchamiania.

    3. Więcej aplikacji — przejrzyj tę listę aplikacji, które są rzadziej spotykane na maszynach w tej grupie lub które można wykorzystać. Ikona ostrzeżenia wskazuje, że osoba atakująca może użyć konkretnej aplikacji do obejścia listy zezwalań aplikacji. Zalecamy dokładne zapoznanie się z tymi aplikacjami.

      Porada

      Obie listy aplikacji zawierają opcję ograniczenia określonej aplikacji do określonych użytkowników. Jeśli to możliwe, należy przyjąć zasadę najmniejszych uprawnień.

      Aplikacje są definiowane przez ich wydawców, jeśli aplikacja nie ma informacji o wydawcy (jest niepodpisane), tworzona jest reguła ścieżki dla pełnej ścieżki określonej aplikacji.

    4. Aby zastosować regułę, wybierz pozycję Inspekcja.

Edytowanie reguły adaptacyjnego sterowania aplikacją grupy

Możesz zdecydować się na edycję listy zezwalań dla grupy maszyn z powodu znanych zmian w organizacji.

Aby edytować reguły dla grupy maszyn:

  1. Otwórz pulpit Azure Defender nawigacyjny i w obszarze zaawansowanej ochrony wybierz pozycję Adaptacyjne kontrolki aplikacji.

  2. Na karcie Skonfigurowane wybierz grupę z regułą, którą chcesz edytować.

  3. Zapoznaj się z różnymi sekcjami strony Konfigurowanie reguł sterowania aplikacją zgodnie z opisem w sekcji Włączanie adaptacyjnego sterowania aplikacją na grupie maszyn.

  4. Opcjonalnie dodaj co najmniej jedną regułę niestandardową:

    1. Wybierz pozycję Dodaj regułę.

      Dodawanie reguły niestandardowej

    2. Jeśli definiujesz znaną bezpieczną ścieżkę, zmień typ reguły na "Ścieżka" i wprowadź pojedynczą ścieżkę. W ścieżce można uwzględnić symbole wieloznaczne.

      Porada

      Niektóre scenariusze, w których symbole wieloznaczne w ścieżce mogą być przydatne:

      • Użycie symbolu wieloznacznego na końcu ścieżki, aby zezwolić na wszystkie pliki wykonywalne w tym folderze i podfolderach.
      • Użycie symbolu wieloznacznego w środku ścieżki w celu włączenia znanej nazwy pliku wykonywalnego ze zmianą nazwy folderu (na przykład osobistych folderów użytkownika zawierających znany plik wykonywalny, automatycznie generowanych nazw folderów itp.).
    3. Zdefiniuj dozwolonych użytkowników i chronione typy plików.

    4. Po zakończeniu definiowania reguły wybierz pozycję Dodaj.

  5. Aby zastosować zmiany, wybierz pozycję Zapisz.

Przeglądanie i edytowanie ustawień grupy

  1. Aby wyświetlić szczegóły i ustawienia grupy, wybierz pozycję Ustawienia grupy

    To okienko zawiera nazwę grupy (którą można zmodyfikować), typ systemu operacyjnego, lokalizację i inne istotne szczegóły.

    Strona ustawień grupy dla adaptacyjnych kontrolek aplikacji

  2. Opcjonalnie zmodyfikuj tryby ochrony nazwy lub typu pliku grupy.

  3. Wybierz pozycję Zastosuj i zapisz.

Odpowiedz na zalecenie "Reguły listy zezwalaj w zasadach adaptacyjnego sterowania aplikacją powinny zostać zaktualizowane"

Zobaczysz to zalecenie, gdy Security Center uczenia maszynowego zidentyfikuje potencjalnie uzasadnione zachowanie, które nie było wcześniej dozwolone. Zalecenie sugeruje nowe reguły dla istniejących definicji w celu zmniejszenia liczby fałszywie dodatnich alertów.

Aby rozwiązać te problemy:

  1. Na stronie zaleceń wybierz zalecenie Reguły listy zezwalania w zasadach adaptacyjnego sterowania aplikacją, aby wyświetlić grupy z nowo zidentyfikowanym, potencjalnie legalnym zachowaniem.

  2. Wybierz grupę z regułą, którą chcesz edytować.

  3. Zapoznaj się z różnymi sekcjami strony Konfigurowanie reguł sterowania aplikacją zgodnie z opisem w sekcji Włączanie adaptacyjnego sterowania aplikacją na grupie maszyn.

  4. Aby zastosować zmiany, wybierz pozycję Inspekcja.

Inspekcja alertów i naruszeń

  1. Otwórz pulpit Azure Defender nawigacyjny i w obszarze zaawansowanej ochrony wybierz pozycję Adaptacyjne kontrolki aplikacji.

  2. Aby wyświetlić grupy z maszynami, które mają najnowsze alerty, przejrzyj grupy wymienione na karcie Skonfigurowane.

  3. Aby dokładniej zbadać ten temat, wybierz grupę.

    Ostatnie alerty

  4. Aby uzyskać więcej informacji oraz listę maszyn, których to dotyczy, wybierz alert.

    Strona alertów zawiera więcej szczegółów alertów i zawiera link Podjąć akcję z zaleceniami co do sposobu ograniczenia zagrożenia.

    Czas rozpoczęcia alertów adaptacyjnego sterowania aplikacją to

    Uwaga

    Funkcje adaptacyjnego sterowania aplikacją oblicza zdarzenia co 12 godzin. "Godzina rozpoczęcia działania" wyświetlana na stronie alertów to czas utworzenia alertu przez funkcje adaptacyjnego sterowania aplikacją, a nie czas aktywności podejrzanego procesu.

Przenoszenie maszyny z jednej grupy do innej

Gdy przeniesiesz maszynę z jednej grupy do innej, zastosowane do niego zasady sterowania aplikacji zmienią ustawienia grupy, do których została przeniesiona. Można również przenieść maszynę ze skonfigurowanej grupy do nieskonfigurowane grupy, co spowoduje usunięcie wszystkich reguł kontroli aplikacji, które zostały zastosowane do maszyny.

  1. Otwórz pulpit Azure Defender nawigacyjny i w obszarze zaawansowanej ochrony wybierz pozycję Adaptacyjne kontrolki aplikacji.

  2. Na stronie Funkcje adaptacyjnego sterowania aplikacją na karcie Skonfigurowane wybierz grupę zawierającą maszynę, która ma zostać przeniesiona.

  3. Otwórz listę skonfigurowanych maszyn.

  4. Otwórz menu maszyny z trzech kropek na końcu wiersza, a następnie wybierz pozycję Przenieś. Zostanie otwarte okienko Przenoszenie maszyny do innej grupy.

  5. Wybierz grupę docelową, a następnie wybierz pozycję Przenieś maszynę.

  6. Wybierz pozycję Zapisz, aby zapisać zmiany.

Zarządzanie kontrolkami aplikacji za pośrednictwem interfejsu API REST

Aby programowo zarządzać adaptacyjnym sterowaniem aplikacją, użyj naszego interfejsu API REST.

Odpowiednią dokumentację interfejsu API można znaleźć w sekcji Funkcje adaptacyjnego sterowania Security Center dokumentacji interfejsu API firmy .

Niektóre funkcje dostępne w interfejsie API REST:

  • Lista pobiera wszystkie rekomendacje dotyczące grup i udostępnia dane JSON z obiektem dla każdej grupy.

  • Pobierz pobiera dane JSON z pełnymi danymi rekomendacji (czyli listą maszyn, regułami wydawcy/ścieżki itd.).

  • Put konfiguruje regułę (użyj danych JSON pobranych za pomocą funkcji Get jako treści tego żądania).

    Ważne

    Funkcja Put oczekuje mniejszej liczby parametrów niż zawiera kod JSON zwracany przez polecenie Get.

    Przed użyciem kodu JSON w żądaniu Put usuń następujące właściwości: recommendationStatus, configurationStatus, issues, location i sourceSystem.

Często zadawane pytania — funkcje adaptacyjnego sterowania aplikacją

Czy istnieją jakieś opcje wymuszania kontrolek aplikacji?

Obecnie nie są dostępne żadne opcje wymuszania. Funkcje adaptacyjnego sterowania aplikacją mają na celu zapewnienie alertów zabezpieczeń, jeśli jest uruchomiona dowolna aplikacja inna niż zdefiniowana jako bezpieczna. Mają one szereg korzyści (Jakie są zalety adaptacyjnego sterowaniaaplikacją?)i można je bardzo dostosowywać, jak pokazano na tej stronie.

Dlaczego w zalecanych aplikacjach widzę aplikację firmy Qualys?

Azure Defender dla serwerów obejmuje skanowanie w celu zabezpieczenia maszyn bez dodatkowych kosztów. Nie potrzebujesz licencji firmy Qualys, a nawet konta qualys — wszystko jest obsługiwane bezproblemowo w Security Center. Aby uzyskać szczegółowe informacje na temat tego skanera i instrukcje dotyczące sposobu jego wdrażania, zobacz Rozwiązanie do zintegrowanego oceny luk w zabezpieczeniach usługi Defender.

Aby upewnić się, że po Security Center skanera nie są generowane żadne alerty, lista zalecanych możliwości adaptacyjnego sterowania aplikacją zawiera skaner dla wszystkich maszyn.

Następne kroki

W tym dokumencie przedstawiono sposób używania funkcji adaptacyjnego sterowania aplikacjami w usłudze Azure Security Center do definiowania list zezwalania aplikacji działających na maszynach platformy Azure i poza platformą Azure. Aby dowiedzieć się więcej o niektórych Security Center innych funkcji ochrony obciążeń w chmurze, zobacz: