Повышение безопасности сети с помощью адаптивной защиты сети

Адаптивная защита сети — это безагентная функция Microsoft Defender для облака. Чтобы воспользоваться этим средством защиты сети, вам не нужно устанавливать что-либо на своих компьютерах.

На этой странице описано, как настраивать и администрировать адаптивную защиту сети в Defender для облака.

Availability

Аспект	Сведения
Состояние выпуска:	Общедоступная версия
Цены.	Требуется Microsoft Defender для серверов, план 2
Требуемые роли и разрешения	Разрешения на запись в группе безопасности сети для компьютера
Облако.	Коммерческие облака National (Azure для государственных организаций, Microsoft Azure, управляемый 21Vianet) подключенные учетные записи AWS.

Что такое адаптивная защита сети?

Использование групп безопасности сети (NSG) позволяет фильтровать входящий и исходящий трафик ресурсов, улучшая состояние сетевой безопасности. Но в некоторых случаях фактический трафик, проходящий через группу безопасности сети, является подмножеством определенных правил NSG. Чтобы улучшить состояние безопасности в таком случае, можно ужесточить правила NSG с учетом фактического распределения трафика.

Адаптивная защита сети предоставляет рекомендации по усилению правил групп безопасности сети. Она использует алгоритм машинного обучения, который учитывает фактический трафик, известную доверенную конфигурацию, аналитику угроз и другие показатели компрометации, а затем предоставляет рекомендации по разрешению трафика только от определенных IP-адресов или кортежей портов.

Для примера предположим, что существующее правило групп безопасности сети разрешает трафик из сети 140.20.30.10/24 на порт 22. Согласно анализу трафика адаптивная защита сети может порекомендовать сузить этот диапазон, например разрешить трафик только из сети 140.23.30.10/29 и запретить любой другой доступ к этому порту. Полный список поддерживаемых портов см. в статье распространенных вопросов о том, какие порты поддерживаются?.

Просмотр оповещений об усилении и рекомендованных правил

1. В меню Defender для облака откройте панель мониторинга Защита рабочих нагрузок.

2. Выберите плитку адаптивной защиты сети (1) или элемент панели аналитики, связанный с адаптивной защитой сети (2).

   

   Совет

   Панель аналитических сведений отображает долю виртуальных машин, к которым сейчас применяется адаптивная защита сети.

3. Откроется панель сведений о рекомендации На виртуальных машинах с выходом в Интернет должны применяться рекомендации Адаптивной защиты сети, где все виртуальные машины вашей сети сгруппированы на трех вкладках:

   • Неработоспособные ресурсы — виртуальные машины, для которых доступны рекомендации и оповещения, активируемые путем выполнения алгоритма адаптивной защиты сети.
   • Работоспособные ресурсы — виртуальные машины без оповещений и рекомендаций.
   • Незасканированные ресурсы: виртуальные машины, на которые не может выполняться алгоритм адаптивной защиты сети из-за одной из следующих причин:
     • используются классические виртуальные машины (поддерживаются только виртуальные машины Azure Resource Manager);
     • недостаточно доступных данных (чтобы создать точные рекомендации по защите трафика, Defender для облака должен получить данные не менее чем за 30 дней);
     • виртуальная машина не находится под защитой Microsoft Defender для серверов (эта возможность доступна только для виртуальных машин под защитой Microsoft Defender для серверов).

   

4. На вкладке Неработоспособные ресурсы выберите виртуальную машину, чтобы просмотреть оповещения и рекомендуемые правила по усилению защиты.

   • Вкладка Правила содержит список правил, которые адаптивная защита сети рекомендует добавить.
   • Вкладка Оповещения содержит список оповещений, которые были созданы для потоков трафика к этому ресурсу, не входящих в диапазон IP-адресов в рекомендованных правилах.

5. Вы можете изменить эти правила.

   • Изменение правила
   • Удаление правила
   • Добавление правила

6. Выберите правила, которые вы хотите применить к группе безопасности сети, и щелкните Применить.

   Совет

   Если в диапазонах разрешенных IP-адресов указано значение "Нет", рекомендуется создать запрещающее правило, в противном случае — разрешающее.

   

   Примечание.

   Применяемые правила добавляются в группы безопасности сети, которые защищают эту виртуальную машину. (Для защиты виртуальной машины может применяться группа безопасности сети, связанная с ее сетевой картой и (или) подсетью ее размещения.)

Изменение правила

Может потребоваться изменить параметры правила, которое было рекомендовано. Например, может потребоваться изменить рекомендуемые диапазоны IP-адресов.

Учитывайте следующие важные рекомендации при изменении правил адаптивной защиты сети:

• вы не можете изменить разрешающее правило так, чтобы оно стало запрещающим;

• вы можете изменять параметры только для разрешающих правил;

  создание и изменение запрещающих правил выполняется только непосредственно в группе безопасности сети. Для получения дополнительной информации см. раздел Создание, изменение и удаление группы безопасности сети.

• Здесь может присутствовать только одно запрещающее правило (Запретить весь трафик), и вы не можете его изменять. Но вы можете удалить его. Чтобы узнать об этом типе правила, ознакомьтесь с общими вопросами, когда следует использовать правило "Запретить весь трафик"?.

Чтобы изменить усиливающее правило адаптивной защиты сети:

1. Чтобы изменить отдельные параметры правила, щелкните на вкладке Правила значок многоточия (...) в конце строки с нужным правилом и выберите Редактировать.

   

2. В окне Изменение правила укажите новые параметры, которые вы хотите изменить, и щелкните Сохранить.

   Примечание.

   Нажав кнопку Сохранить, вы измените правило. Но оно не применяется к группе безопасности сети автоматически. Чтобы применить правило, выберите его в списке и щелкните Применить (как описано ниже).

   

3. Чтобы применить обновленное правило, выберите его в списке и щелкните Применить.

   

Добавление нового правила

Вы можете добавить любое разрешающее правило в список рекомендаций Defender для облака.

Примечание.

Добавлять можно только разрешающие правила. Если вам нужно добавить запрещающее правило, это можно сделать непосредственно в группе безопасности сети. Для получения дополнительной информации см. раздел Создание, изменение и удаление группы безопасности сети.

Чтобы добавить усиливающее правило адаптивной защиты сети:

1. На панели инструментов вверху выберите Добавить правило.

   

2. В окне Новое правило введите сведения и щелкните Добавить.

   Примечание.

   Нажав кнопку Добавить, вы добавите новое правило, которое отобразится в списке рекомендованных правил. Но оно не применяется к группе безопасности сети автоматически. Чтобы включить это правило, выберите его в списке и щелкните Применить (как описано ниже).

3. Чтобы применить новое правило, выберите его в списке правил и щелкните Применить.

   

Удаление правила

При необходимости вы можете удалить рекомендуемое правило в текущем сеансе. Например, можно определить, что применение предлагаемого правила может блокировать допустимый трафик.

Чтобы удалить правило адаптивной защиты сети для текущего сеанса:

• На вкладке Правила щелкните значок многоточия (...) в конце строки с нужным правилом и выберите Удалить.

  

Следующий шаг

• Просмотр распространенных вопросов об адаптивной защиты сети