Utilize controlos de aplicação adaptativos para reduzir as superfícies de ataque das suas máquinas

Conheça os benefícios do Microsoft Defender para os controlos de aplicações adaptativos da Cloud e como pode melhorar a sua segurança com esta funcionalidade inteligente e orientada para os dados.

O que são controlos de aplicação adaptativos?

Os controlos de aplicação adaptativa são uma solução inteligente e automatizada para definir os permitem-se aplicações seguras para as suas máquinas.

Muitas vezes, as organizações têm coleções de máquinas que rotineiramente executam os mesmos processos. O Microsoft Defender for Cloud utiliza machine learning para analisar as aplicações em execução nas suas máquinas e criar uma lista do software conhecido e seguro. As listas de admissão baseiam-se nas suas cargas de trabalho específicas do Azure e pode personalizar ainda mais as recomendações utilizando as instruções abaixo.

Quando tiver ativado e configurado controlos de aplicação adaptativa, receberá alertas de segurança se qualquer aplicação correr além das que definiu como seguras.

Quais são os benefícios dos controlos de aplicações adaptativos?

Ao definir listas de aplicações seguras conhecidas e gerar alertas quando qualquer outra coisa é executada, pode alcançar objetivos de supervisão e conformidade múltiplos:

  • Identifique malware potencial, mesmo qualquer que possa ser perdido por soluções antimalware
  • Melhorar o cumprimento das políticas de segurança locais que ditam o uso de apenas software licenciado
  • Identificar versões desatualizadas ou não apoiadas de aplicações
  • Identifique software que é proibido pela sua organização mas que, no entanto, está a funcionar nas suas máquinas
  • Aumentar a supervisão das apps que acedem a dados sensíveis

Atualmente, não existem opções de aplicação da lei. Os controlos de aplicação adaptativos destinam-se a fornecer alertas de segurança se qualquer aplicação correr além das que definiu como seguras.

Disponibilidade

Aspeto Detalhes
Estado de libertação: Disponibilidade geral (GA)
Preços: Requer Microsoft Defender para o Plano de Servidores 2
Máquinas suportadas: Máquinas Azure e não-Azure que executam Windows e Linux
Máquinas Azure Arc
Funções e permissões necessárias: As funções de Leitor de Segurança e Leitor podem ver grupos e listas de aplicações conhecidas e seguras
As funções de Administração de contribuição e segurança podem editar grupos e listas de aplicações conhecidas e seguras
Nuvens: Nuvens comerciais
Nacional (Azure Government, Azure China 21Vianet)
Contas AWS conectadas

Permitir controlos de aplicações num grupo de máquinas

Se o Microsoft Defender for Cloud tiver identificado grupos de máquinas nas suas subscrições que executam consistentemente um conjunto de aplicações semelhantes, será solicitado com a seguinte recomendação: Os controlos de aplicações adaptativos para definir aplicações seguras devem ser ativados nas suas máquinas.

Selecione a recomendação ou abra a página de controlos de aplicação adaptativa para ver a lista de aplicações e grupos de máquinas conhecidos sugeridos.

  1. Abra o painel de proteções de carga de trabalho e da área de proteção avançada, selecione os controlos de aplicação adaptativos.

    Abertura de controlos de aplicação adaptativa a partir do Painel Azure.

    A página de controlos de aplicação adaptativa abre com os seus VMs agrupados nos seguintes separadores:

    • Configurado - Grupos de máquinas que já têm uma lista de aplicações definida. Para cada grupo, o separador configurado mostra:

      • o número de máquinas no grupo
      • alertas recentes
    • Recomendado - Grupos de máquinas que executam consistentemente as mesmas aplicações, e não têm uma lista de admissões configuradas. Recomendamos que permita controlos de aplicação adaptativos para estes grupos.

      Dica

      Se vir um nome de grupo com o prefixo "REVIEWGROUP", contém máquinas com uma lista parcialmente consistente de aplicações. O Microsoft Defender for Cloud não consegue ver um padrão, mas recomenda a revisão deste grupo para ver se pode definir manualmente algumas regras de controlo de aplicações adaptativas, tal como descrito na Edição da regra de controlos de aplicações adaptativas de um grupo.

      Também pode mover máquinas deste grupo para outros grupos, conforme descrito no Move uma máquina de um grupo para outro.

    • Sem recomendação - Máquinas sem uma lista de aplicações definida, e que não suportam a funcionalidade. A sua máquina pode estar neste separador pelas seguintes razões:

      • Falta um agente do Log Analytics.
      • O agente do Log Analytics não está a enviar eventos.
      • É uma máquina Windows com uma política appLocker pré-existente, ativada por um GPO ou por uma política de segurança local
      • O AppLocker não está disponível (instalações do Windows Server Core)

      Dica

      O Defender for Cloud precisa de pelo menos duas semanas de dados para definir as recomendações únicas por grupo de máquinas. As máquinas que foram criadas recentemente, ou que pertencem a subscrições que só recentemente foram protegidas pelo Microsoft Defender para Servidores, aparecerão no separador No recommendation .

  2. Abra a lingueta recomendada . Aparecem os grupos de máquinas com listas de admissão recomendadas.

    Separador recomendado.

  3. Selecione um grupo.

  4. Para configurar a sua nova regra, reveja as várias secções desta página de regras de controlo de aplicações Configure e os conteúdos, que serão exclusivos deste grupo específico de máquinas:

    Configurar uma nova regra.

    1. Selecione máquinas - Por predefinição, todas as máquinas do grupo identificado são selecionadas. Desescolh-os para os retirar desta regra.

    2. Aplicações recomendadas - Reveja esta lista de aplicações que são comuns às máquinas dentro deste grupo, e recomendada para ser permitida a execução.

    3. Mais aplicações - Reveja esta lista de aplicações que são vistas com menos frequência nas máquinas dentro deste grupo, ou que são conhecidas por serem exploráveis. Um ícone de aviso indica que uma aplicação específica pode ser usada por um intruso para contornar uma lista de admissões. Recomendamos que reveja atentamente estas aplicações.

      Dica

      Ambas as listas de aplicações incluem a opção de restringir uma aplicação específica a determinados utilizadores. Adotar o princípio do menor privilégio sempre que possível.

      As aplicações são definidas pelos seus editores, se uma aplicação não tiver informações de editores (não assinada), uma regra de caminho é criada para o caminho completo da aplicação específica.

    4. Para aplicar a regra, selecione Audit.

Editar a regra de controlos de aplicação adaptativa de um grupo

Pode decidir editar a lista de admissões para um grupo de máquinas devido a mudanças conhecidas na sua organização.

Para editar as regras para um grupo de máquinas:

  1. Abra o painel de proteções de carga de trabalho e da área de proteção avançada, selecione os controlos de aplicação adaptativos.

  2. A partir do separador Configurado , selecione o grupo com a regra que pretende editar.

  3. Reveja as várias secções da página de regras de controlo de aplicações Configure , tal como descrito no Enable adaptive application controls on a group of machines.

  4. Opcionalmente, adicione uma ou mais regras personalizadas:

    1. Selecione Adicionar a regra.

      Adicione uma regra personalizada.

    2. Se estiver a definir um caminho seguro conhecido, altere o tipo regra para 'Caminho' e entre num único caminho. Você pode incluir wildcards no caminho.

      Dica

      Alguns cenários para os quais os wildcards num caminho podem ser úteis:

      • Utilizar um wildcard no final de um caminho para permitir que todos os executáveis dentro desta pasta e sub-pastas.
      • Utilizar um wildcard no meio de um caminho para permitir um nome executável conhecido com um nome de pasta em mudança (por exemplo, pastas pessoais de utilizador contendo nomes de pastas executáveis e automaticamente gerados, etc.
    3. Defina os utilizadores autorizados e os tipos de ficheiros protegidos.

    4. Quando terminar de definir a regra, selecione Add.

  5. Para aplicar as alterações, selecione Guardar.

Reveja e edite as definições de um grupo

  1. Para ver os detalhes e configurações do seu grupo, selecione as definições do Grupo

    Este painel mostra o nome do grupo (que pode ser modificado), o tipo de SO, a localização e outros detalhes relevantes.

    A página de definições de grupo para controlos de aplicações adaptativos.

  2. Opcionalmente, modifique o nome do grupo ou os modos de proteção do tipo de ficheiro.

  3. Selecione Aplicar e Guardar.

Responder à recomendação "Allowlist na sua política de controlo de aplicações adaptativas deve ser atualizada"

Você verá esta recomendação quando o Defender for Cloud's machine learning identificar um comportamento potencialmente legítimo que não foi permitido anteriormente. A recomendação sugere novas regras para as suas definições existentes para reduzir o número de alertas falsos positivos.

Para remediar as questões:

  1. Na página de recomendações, selecione as regras Allowlist na sua política de controlo de aplicações adaptativas deve ser atualizada recomendação para ver grupos com comportamentos potencialmente legítimos recentemente identificados.

  2. Selecione o grupo com a regra que pretende editar.

  3. Reveja as várias secções da página de regras de controlo de aplicações Configure , tal como descrito no Enable adaptive application controls on a group of machines.

  4. Para aplicar as alterações, selecione Audit.

Alertas de auditoria e violações

  1. Abra o painel de proteções de carga de trabalho e da área de proteção avançada, selecione os controlos de aplicação adaptativos.

  2. Para ver grupos com máquinas que têm alertas recentes, reveja os grupos listados no separador Configurado .

  3. Para investigar mais, selecione um grupo.

    Alertas recentes.

  4. Para mais detalhes e a lista de máquinas afetadas, selecione um alerta.

    A página de alertas mostra mais detalhes dos alertas e fornece uma ligação de ação para tomar com recomendações de como mitigar a ameaça.

    A hora de início dos alertas de controlos de aplicação adaptativa é a altura em que os controlos adaptativos da aplicação criaram o alerta.

    Nota

    Os controlos de aplicação adaptativa calculam os eventos uma vez a cada doze horas. A "hora de início de atividade" mostrada na página de alertas é o momento em que os controlos adaptativos da aplicação criaram o alerta, e não o momento em que o processo suspeito estava ativo.

Mover uma máquina de um grupo para outro

Quando se desloca uma máquina de um grupo para outro, a política de controlo de aplicações aplicada a ela altera-se nas definições do grupo para onde a transferiu. Também pode mover uma máquina de um grupo configurado para um grupo não configurado, eliminando assim quaisquer regras de controlo de aplicação que foram aplicadas à máquina.

  1. Abra o painel de proteções de carga de trabalho e da área de proteção avançada, selecione os controlos de aplicação adaptativos.

  2. A partir da página de controlos de aplicação Adaptive , a partir do separador Configurado , selecione o grupo que contém a máquina a ser movida.

  3. Abra a lista de máquinas configuradas.

  4. Abra o menu da máquina a partir de três pontos no final da linha e selecione Move. Abre-se a máquina Move para um painel de grupo diferente.

  5. Selecione o grupo de destino e selecione a máquina Move.

  6. Selecione Guardar para guardar as suas alterações.

Gerir os controlos de aplicações através da API REST

Para gerir os controlos de aplicação adaptativas programáticamente, utilize a nossa API REST.

A documentação da API relevante está disponível na secção de Controlos de Aplicação Adaptativa do Defender para os docs API da Cloud.

Algumas das funções que estão disponíveis na API REST:

  • A lista recupera todas as recomendações do seu grupo e fornece um objeto JSON para cada grupo.

  • Obtenha a recuperação do JSON com os dados de recomendação completos (isto é, lista de máquinas, regras de editor/caminho, e assim por diante).

  • Configurar a sua regra (use o JSON que recuperou com Get como o corpo para este pedido).

    Importante

    A função Put espera menos parâmetros do que o JSON devolvido pelo comando Get contém.

    Remova as seguintes propriedades antes de utilizar o JSON no pedido Demissão: recomendaçãoStatus, configuraçãoStatus, problemas, localização e sourceSystem.

FAQ - Controlos de aplicações adaptativos

Existem opções para impor os controlos de aplicação?

Atualmente, não existem opções de aplicação da lei. Os controlos de aplicação adaptativos destinam-se a fornecer alertas de segurança se qualquer aplicação correr além das que definiu como seguras. Têm uma gama de benefícios (Quais são os benefícios dos controlos de aplicação adaptativa?) e são extremamente personalizáveis como mostrado nesta página.

O Microsoft Defender para Servidores inclui a verificação de vulnerabilidades para as suas máquinas sem custos adicionais. Você não precisa de uma licença Qualys ou mesmo uma conta Qualys - tudo é tratado perfeitamente dentro do Defender for Cloud. Para mais detalhes sobre este scanner e instruções sobre como implementá-lo, consulte o Defender para a solução integrada de avaliação de vulnerabilidades qualys da Cloud.

Para garantir que não são gerados alertas quando o Defender para cloud implementa o scanner, os controlos de aplicação adaptativos recomendados incluem o scanner para todas as máquinas.

Passos seguintes

Nesta página, aprendeu a utilizar o controlo de aplicações adaptativas no Microsoft Defender para cloud para definir as listas de aplicações em execução nas suas máquinas Azure e não-Azure. Para saber mais sobre outras funcionalidades de proteção da carga de trabalho em nuvem, consulte: