Funkcje adaptacyjnego sterowania aplikacjamiAdaptive application controls

Z tego przewodnika dowiesz się, jak skonfigurować funkcje sterowania aplikacjami w usłudze Azure Security Center.Learn how to configure application control in Azure Security Center using this walkthrough.

Co to są funkcje adaptacyjnego sterowania aplikacjami w usłudze Security Center?What are adaptive application controls in Security Center?

Adaptacyjna kontrola aplikacji to inteligentne, zautomatyzowane i kompleksowe rozwiązanie od Azure Security Center, które pomaga kontrolować, które aplikacje mogą być uruchamiane na maszynach z platformą Azure i poza platformą Azure (Windows i Linux).Adaptive application control is an intelligent, automated, end-to-end solution from Azure Security Center which helps you control which applications can run on your Azure and non-Azure machines (Windows and Linux). Dzięki temu można zwiększyć ochronę komputerów przed złośliwym oprogramowaniem.Among other benefits, this helps harden your machines against malware. Security Center korzysta z uczenia maszynowego do analizowania aplikacji uruchomionych na maszynach i tworzy listę dozwolonych z tej analizy.Security Center uses machine learning to analyze the applications running on your machines and creates an allow list from this intelligence. Ta funkcja znacznie upraszcza proces konfigurowania i konserwowania zasad listy dozwolonych aplikacji, co pozwala:This capability greatly simplifies the process of configuring and maintaining application allow list policies, enabling you to:

  • Blokuj lub Ostrzegaj o próbach uruchomienia złośliwych aplikacji, w tym tych, które w przeciwnym razie mogą zostać pominięte przez rozwiązania chroniące przed złośliwym kodem.Block or alert on attempts to run malicious applications, including those that might otherwise be missed by antimalware solutions.
  • Zachowanie zgodności z zasadami zabezpieczeń organizacji, które nakazują korzystanie wyłącznie z licencjonowanego oprogramowania.Comply with your organization's security policy that dictates the use of only licensed software.
  • Unikanie używania w danym środowisku niechcianego oprogramowania.Avoid unwanted software to be used in your environment.
  • Unikanie uruchamiania starych i nieobsługiwanych aplikacji.Avoid old and unsupported apps to run.
  • Zapobieganie używaniu określonych programów narzędziowych, które nie są dozwolone w organizacji.Prevent specific software tools that are not allowed in your organization.
  • Umożliwianie informatykom sterowania dostępem do poufnych danych za pomocą aplikacji.Enable IT to control the access to sensitive data through app usage.

Uwaga

W przypadku maszyn z systemami innym niż Azure i Linux funkcje adaptacyjnego sterowania aplikacjami są obsługiwane tylko w trybie inspekcji.For Non-Azure and Linux machines, adaptive application controls are supported in audit mode only.

Jak włączyć funkcje adaptacyjnego sterowania aplikacjami?How to enable adaptive application controls?

Adaptacyjne kontrole aplikacji ułatwiają zdefiniowanie zestawu aplikacji, które mogą być uruchamiane w skonfigurowanych grupach maszyn.Adaptive application controls help you define a set of applications that are allowed to run on configured groups of machines. Ta funkcja jest dostępna zarówno na platformie Azure, jak i w systemie Windows (wszystkie wersje, klasyczne lub Azure Resource Manager) i na maszynach z systemem Linux.This feature is available for both Azure and non-Azure Windows (all versions, classic, or Azure Resource Manager) and Linux machines. Wykonaj następujące kroki, aby skonfigurować listę dozwolonych aplikacji:Use the following steps to configure your application allow lists:

  1. Otwórz pulpit nawigacyjny usługi Security Center.Open the Security Center dashboard.

  2. W okienku po lewej stronie wybierz pozycję Funkcje adaptacyjnego sterowania aplikacjami w obszarze Zaawansowana ochrona w chmurze.In the left pane, select Adaptive application controls located under Advanced cloud defense.

    OchronaDefense

Zostanie wyświetlona strona Adaptacyjne kontrolki aplikacji.The Adaptive application controls page appears.

funkcje sterowania

Sekcja Grupy maszyn wirtualnych zawiera trzy karty:The Groups of VMs section contains three tabs:

  • Skonfigurowane: lista grup zawierających maszyny wirtualne, dla których skonfigurowano sterowanie aplikacjami.Configured: list of groups containing the VMs that were configured with application control.
  • Zalecane: lista grup, dla których zaleca się sterowanie aplikacjami.Recommended: list of groups for which application control is recommended. Usługa Security Center przy użyciu uczenia maszynowego identyfikuje maszyny wirtualne odpowiednie do zastosowania funkcji sterowania aplikacjami na podstawie tego, czy na tych maszynach są spójnie uruchamiane te same aplikacje.Security Center uses machine learning to identify VMs that are good candidates for application control based on whether the VMs consistently run the same applications.
  • Brak zaleceń: lista grup zawierających maszyny wirtualne bez żadnych zaleceń dotyczących sterowania aplikacjami.No recommendation: list of groups containing VMs without any application control recommendations. Na przykład maszyny wirtualne, na których aplikacje stale się zmieniają i nie osiągają stanu stabilnego.For example, VMs on which applications are always changing, and haven’t reached a steady state.

Uwaga

Usługa Security Center korzysta z własnościowego algorytmu klastrowania w celu tworzenia grup maszyn wirtualnych, jednocześnie zapewniając, że podobne maszyny wirtualne uzyskają optymalne zalecane zasady sterowania aplikacjami.Security Center uses a proprietary clustering algorithm to create groups of VMs making sure that similar VMs get the optimal recommended application control policy.

Konfigurowanie nowych zasad sterowania aplikacjamiConfigure a new application control policy

  1. Wybierz kartę zalecane , aby uzyskać listę grup z zaleceniami dotyczącymi kontroli aplikacji:Select the Recommended tab for a list of groups with application control recommendations:

    Zalecane

    Lista zawiera następujące pozycje:The list includes:

    • Nazwa grupy: Nazwa subskrypcji i grupyGroup Name: The name of the subscription and group
    • Maszyny wirtualne i komputery: liczba maszyn wirtualnych w grupieVMs and Computers: The number of virtual machines in the group
    • Stan: stan zaleceńState: the state of the recommendations
    • Ważność: poziom ważności zaleceńSeverity: the severity level of the recommendations
  2. Kliknij grupę, aby otworzyć opcję Utwórz reguły sterowania aplikacjami .Click on a group to open the Create application control rules option.

    Reguły sterowania aplikacjamiApplication control rules

  3. Na stronie Wybieranie maszyn wirtualnychPrzejrzyj listę zalecanych maszyn wirtualnych i usuń zaznaczenie wszystkich elementów, których nie chcesz stosować do programu.In the Select VMs, review the list of recommended VMs and uncheck any you do not want to apply an application whitelisting policy to. Następnie zostaną wyświetlone dwie listy:Next, you see two lists:

    • Zalecane aplikacje: Lista aplikacji, które są często używane na maszynach wirtualnych w tej grupie, i zaleca się ich uruchomienie.Recommended applications: a list of applications that are frequent on the VMs within this group, and are recommended to be allowed to run.
    • Więcej aplikacji: Lista aplikacji, które rzadziej często znajdują się na maszynach wirtualnych w tej grupie lub które są znane jako wykorzystania (Zobacz więcej poniżej) i zalecane do przeglądu.More applications: a list of applications that are either less frequent on the VMs within this group or that are known as Exploitables (see more below), and recommended for review.
  4. Dokonaj przeglądu aplikacji na każdej liście i wyczyść zaznaczenie pól wyboru tych, które nie mają być stosowane.Review the applications in each of the lists, and uncheck any you do not want to apply. Każda lista zawiera takie elementy, jak:Each list includes:

    • Nazwa: informacje o certyfikacie lub pełna ścieżka aplikacjiNAME: the certificate information or the full path of an application
    • TYPY PLIKÓW: typ pliku aplikacji.FILE TYPES: the application file type. Może to być plik EXE, skrypt, MSI lub dowolną permutację tych typów.This can be EXE, Script, MSI, or any permutation of these types.
    • Możliwe do wykorzystania: ikona ostrzeżenia wskazuje, czy dana aplikacja może być używana przez osobę atakującą do obejścia listy dozwolonych aplikacji.EXPLOITABLE: a warning icon indicates if a specific application could be used by an attacker to bypass an application allow list. Zaleca się dokonanie przeglądu tych aplikacji przed ich zatwierdzeniem.It is recommended to review these applications prior to their approval.
    • UŻYTKOWNICY: lista użytkowników, którym zezwala się na uruchomienie aplikacjiUSERS: users that are recommended to be allowed to run an application
  5. Po wybraniu opcji wybierz przycisk Utwórz.Once you finish your selections, select Create.
    Po wybraniu opcji Utwórz program Azure Security Center automatycznie tworzy odpowiednie reguły na podstawie wbudowanej aplikacji Zezwalaj na listę dostępności na serwerach systemu Windows (AppLocker).After you select Create, Azure Security Center automatically creates the appropriate rules on top of the built-in application allow list solution available on Windows servers (AppLocker).

Uwaga

  • Usługa Security Center używa danych z co najmniej dwóch tygodni w celu utworzenia planu bazowego i przygotowania unikatowych zaleceń dla grup maszyn wirtualnych.Security Center relies on a minimum of two weeks of data in order to create a baseline and populate the unique recommendations per group of VMs. Nowi klienci usługi Security Center w warstwie Standardowa powinni spodziewać się, że najpierw ich grupy maszyn wirtualnych pojawią się na karcie Brak zaleceń.New customers of Security Center standard tier should expect a behavior in which at first their groups of VMs appear under the no recommendation tab.
  • Funkcje adaptacyjnego sterowania aplikacjami w usłudze Security Center nie obsługują maszyn wirtualnych, dla których zasady funkcji AppLocker zostały już włączone za pomocą obiektu zasad grupy lub lokalnych zasad zabezpieczeń.Adaptive Application Controls from Security Center doesn’t support VMs for which an AppLocker policy is already enabled by either a GPO or a local security policy.
  • Zgodnie z najlepszymi rozwiązaniami w zakresie bezpieczeństwa, Security Center będzie zawsze próbować utworzyć regułę wydawcy dla aplikacji, które są wybrane do dozwolonych, i tylko wtedy, gdy aplikacja nie ma informacji o wydawcy (bez podpisu), zostanie utworzona reguła ścieżki dla pełnej ścieżki konkretnej aplikacji.As a security best practice, Security Center will always try to create a publisher rule for applications that are selected to be allowed, and only if an application doesn’t have a publisher information (aka not signed), a path rule will be created for the full path of the specific application.

Edytowanie i monitorowanie grupy, dla której skonfigurowano sterowanie aplikacjamiEditing and monitoring a group configured with application control

  1. Aby edytować i monitorować grupę, dla której skonfigurowano zasady listy dozwolonych aplikacji, Wróć do strony adaptacyjne kontrolki aplikacji i wybierz pozycję skonfigurowane w obszarze grupy maszyn wirtualnych:To edit and monitor a group configured with an application allow list policy, return to the Adaptive application controls page and select CONFIGURED under Groups of VMs:

    Grupy

    Lista zawiera następujące pozycje:The list includes:

    • Nazwa grupy: Nazwa subskrypcji i grupyGroup Name: the name of the subscription and group
    • Maszyny wirtualne i komputery: liczba maszyn wirtualnych w grupieVMs and Computers: the number of virtual machines in the group
    • Tryb: w trybie inspekcji będą rejestrowane próby uruchomienia aplikacji, które nie znajdują się na liście dozwolonych. Wymuś, że aplikacje nie będą działać, chyba że znajdują się na liście dozwolonychMode: Audit mode will log attempts to run applications that aren't on the allow list; Enforce will not allow applications to run unless they are on the allow list
    • Alerty: wszystkie bieżące naruszeniaAlerts: any current violations
  2. Kliknij grupę, aby wprowadzić zmiany na stronie Edytowanie zasad kontroli aplikacji .Click on a group to make changes in the Edit application control policy page.

    Ochrona

  3. W obszarze Tryb ochrony do wyboru są następujące opcje:Under Protection mode, you have the option to select between the following:

    • Inspekcja: w tym trybie rozwiązanie sterowania aplikacjami nie będzie wymuszać reguł, a jedynie prowadzić inspekcję działań na chronionych maszynach wirtualnych.Audit: in this mode, the application control solution does not enforce the rules, and only audits the activity on the protected VMs. Jest to zalecane w scenariuszach, w których trzeba najpierw przyjrzeć się ogólnym zachowaniom, zanim zablokuje się uruchamianie aplikacji na docelowej maszynie wirtualnej.This is recommended for scenarios where you want to first observe the overall behavior before blocking an app to run in the target VM.
    • Wymuszanie: w tym trybie rozwiązanie sterowania aplikacjami będzie wymuszać reguły, a aplikacje, które nie powinny być uruchamiane, będą blokowane.Enforce: in this mode, the application control solution does enforce the rules, and makes sure that applications that are not allowed to run are blocked.

    Uwaga

    • Tryb wymuszania ochrony jest wyłączony do momentu dalszej uwagi.Enforce protection mode is disabled until further notice.
    • Jak wcześniej wspomniano, domyślnie nowe zasady sterowania aplikacjami są zawsze skonfigurowane w trybie inspekcji.As previously mentioned, by default a new application control policy is always configured in Audit mode.
  4. W obszarze rozszerzenie zasadDodaj dowolną ścieżkę aplikacji, którą chcesz zezwolić.Under Policy extension, add any application path that you want to allow. Po dodaniu tych ścieżek Security Center aktualizuje zasady listy dozwolonych aplikacji na maszynach wirtualnych w ramach wybranej grupy maszyn wirtualnych i tworzy odpowiednie reguły dla tych aplikacji, a także reguły, które już istnieją.After you add these paths, Security Center updates the application allow list policy on the VMs within the selected group of VMS and creates the appropriate rules for these applications, in addition to the rules that are already in place.

  5. Zapoznaj się z bieżącymi naruszeniami wymienionymi w sekcji Ostatnie alerty .Review the current violations listed in the Recent alerts section. Kliknij każdy wiersz, który ma zostać przekierowany do strony alerty w Azure Security Center i Wyświetl wszystkie alerty wykryte przez Azure Security Center na skojarzonych maszynach wirtualnych.Click on each line to be redirected to the Alerts page within Azure Security Center, and view all the alerts that were detected by Azure Security Center on the associated VMs.

    • Alerty: wszystkie naruszenia, które zostały zarejestrowane.Alerts: any violations that were logged.
    • Nie. z maszynwirtualnych: liczba maszyn wirtualnych z tym typem alertu.No. of VMs: the number of virtual machines with this alert type.
  6. W obszarze reguły listy dozwolonych wydawcy, ścieżki listy dozwolonych regułyi reguły listy dozwolonych skrótu można zobaczyć, które reguły listy dozwolonych aplikacji są obecnie skonfigurowane na maszynach wirtualnych w grupie, zgodnie z typem kolekcji reguł.Under Publisher whitelisting rules, Path whitelisting rules, and Hash whitelisting rules you can see which application whitelisting rules are currently configured on the VMs within a group, according to the rule collection type. Dla każdej reguły można zobaczyć:For each rule you can see:

    • Reguła: konkretne parametry, zgodnie z którymi aplikacja jest kontrolowana przez funkcję AppLocker, aby określić, czy aplikacja może być uruchamiana.Rule: The specific parameters according to which an application is examined by AppLocker to determine if an application is allowed to run.
    • Typ pliku: typy plików objęte określoną regułą.File type: The file types that are covered by a specific rule. Może to być dowolny z następujących elementów: EXE, Script, MSI lub dowolne permutacje tego typu plików.This can be any of the following: EXE, Script, MSI, or any permutation of those file types.
    • Użytkownicy: nazwa lub liczba użytkowników, którzy mogą uruchamiać aplikację objętą regułą listy dozwolonych aplikacji.Users: Name or number of users who are allowed to run an application that is covered by an application whitelisting rule.

    Reguły umieszczania na liście dozwolonych

  7. Kliknij trzy kropki na końcu każdego wiersza, jeśli chcesz usunąć konkretną regułę lub edytować uprawnionych użytkowników.Click on the three dots at the end of each line if you want to delete the specific rule or edit the allowed users.

  8. Po wprowadzeniu zmian w zasadach adaptacyjnych kontroli aplikacji kliknij przycisk Zapisz.After making changes to an Adaptive application controls policy, click Save.

Security Center zaleca się tylko zasady listy dozwolonych aplikacji dla maszyn wirtualnych z stabilnym zestawem aplikacji.Security Center only recommends application whitelisting policies for virtual machines running a stable set of applications. Zalecenia nie są tworzone w przypadku ciągłych zmian aplikacji na skojarzonych maszynach wirtualnych.Recommendations are not created if applications on the associated VMs keep changing.

Zalecenie

Lista zawiera:The list contains:

  • Nazwa grupy: Nazwa subskrypcji i grupyGroup Name: the name of the subscription and group
  • Maszyny wirtualne i komputery: liczba maszyn wirtualnych w grupieVMs and Computers: the number of virtual machines in the group

Azure Security Center umożliwia zdefiniowanie zasad listy dozwolonych aplikacji dla niezalecanych grup maszyn wirtualnych.Azure Security Center enables you to define an application whitelisting policy on non-recommended groups of VMs as well. Postępuj zgodnie z tymi samymi zasadami, które zostały wcześniej opisane, aby skonfigurować zasady listy dozwolonych aplikacji również dla tych grup.Follow the same principles as were previously described, to configure an application whitelisting policy on those groups as well.

Przenoszenie maszyny wirtualnej z jednej grupy do innejMove a VM from one group to another

Po przeniesieniu maszyny wirtualnej z jednej grupy do drugiej zasady kontroli aplikacji zastosowane do niej zmieniają ustawienia grupy, do której została przeniesiona.When you move a VM from one group to another, the application control policy applied to it changes to the settings of the group that you moved it to. Możesz również przenieść maszynę wirtualną ze skonfigurowanej grupy do grupy, która nie jest skonfigurowana, co spowoduje usunięcie wszystkich zasad kontroli aplikacji, które zostały wcześniej zastosowane do maszyny wirtualnej.You can also move a VM from a configured group to a non-configured group, which results in removing any application control policy that was previously applied to the VM.

  1. Na stronie adaptacyjne kontrolki aplikacji na karcie skonfigurowany kliknij grupę, do której należy obecnie przenieść maszynę wirtualną.From the Adaptive application controls page, from the CONFIGURED tab, click the group which the VM to be moved currently belongs to.

  2. Kliknij pozycję skonfigurowane maszyny wirtualne i komputery.Click Configured VMs and Computers.

  3. Kliknij trzy kropki w wierszu maszyny wirtualnej, aby przenieść, a następnie kliknij przycisk Przenieś.Click the three dots in the line of the VM to move and click Move. Zostanie otwarte okno Przenieś komputer do innej grupy .The Move computer to different group window opens.

    Ochrona

  4. Wybierz grupę, do której chcesz przenieść maszynę wirtualną, a następnie kliknij pozycję Przenieś komputer, a następnie kliknij przycisk Zapisz.Select the group to move the VM to, and click Move Computer, and click Save.

    Ochrona

Uwaga

Pamiętaj, aby kliknąć przycisk Zapisz po kliknięciu pozycji Przenieś komputer.Be sure to click Save after clicking Move Computer. Jeśli nie klikniesz przycisku Zapisz, komputer nie zostanie przeniesiony.If you do not click Save, then the computer will not be moved.

Następne krokiNext steps

W tym dokumencie przedstawiono sposób korzystania z adaptacyjnej kontroli aplikacji w Azure Security Center, aby dozwolonych aplikacje działające na platformie Azure i maszynach wirtualnych spoza platformy Azure.In this document, you learned how to use adaptive application control in Azure Security Center to whitelist applications running in Azure and non-Azure VMs. Aby dowiedzieć się więcej na temat Centrum zabezpieczeń Azure, zobacz następujące artykuły:To learn more about Azure Security Center, see the following: