Använda anpassningsbara programkontroller för att minska datorernas angreppsytor

Anteckning

Azure Security Center och Azure Defender heter nu Microsoft Defender för molnet. Vi har också bytt namn Azure Defender till Microsoft Defender-planer. Till exempel är Azure Defender för Storage microsoft Defender för Storage.

Läs mer om det senaste namnbytet av Microsofts säkerhetstjänster.

Lär dig mer om fördelarna med Microsoft Defender för molnets anpassningsbara programkontroller och hur du kan förbättra din säkerhet med den här datadrivna, intelligenta funktionen.

Vad är anpassningsbara programkontroller?

Anpassningsbara programkontroller är en intelligent och automatiserad lösning för att definiera listor över kända säkra program för dina datorer.

Organisationer har ofta samlingar med datorer som rutinmässigt kör samma processer. Microsoft Defender for Cloud använder maskininlärning för att analysera de program som körs på dina datorer och skapa en lista över kända säkra program. Listorna Över tillåtna baseras på dina specifika Azure-arbetsbelastningar och du kan anpassa rekommendationerna ytterligare med hjälp av anvisningarna nedan.

När du har aktiverat och konfigurerat anpassningsbara programkontroller får du säkerhetsaviseringar om något annat program körs än de som du har definierat som säkra.

Vilka är fördelarna med anpassningsbara programkontroller?

Genom att definiera listor över kända säkra program och generera aviseringar när något annat utförs kan du uppnå flera tillsyns- och efterlevnadsmål:

  • Identifiera potentiell skadlig kod, även de som kan missas av lösningar mot skadlig kod
  • Förbättra efterlevnaden av lokala säkerhetsprinciper som kräver att endast licensierad programvara används
  • Identifiera inaktuella eller programversioner som inte stöds
  • Identifiera programvara som är förbjuden av din organisation men som ändå körs på dina datorer
  • Öka översikten över appar som har åtkomst till känsliga data

Det finns för närvarande inga tvingande alternativ. Anpassningsbara programkontroller är avsedda att tillhandahålla säkerhetsaviseringar om något annat program körs än de som du har definierat som säkra.

Tillgänglighet

Aspekt Information
Utgivningstillstånd: Allmän tillgänglighet (GA)
Prissättning: Kräver Microsoft Defender för servrar
Datorer som stöds: Azure- och icke-Azure-datorer som kör Windows och Linux
Azure Arc datorer
Nödvändiga roller och behörigheter: Rollerna Säkerhetsläsare och Läsare kan både visa grupper och listor över kända säkra program
Rollerna Deltagare och Säkerhetsadministratör kan både redigera grupper och listor över kända säkra program
Moln: Kommersiella moln
Nationella (Azure Government, Azure China 21Vianet)

Aktivera programkontroller på en grupp med datorer

Om Microsoft Defender for Cloud har identifierat grupper av datorer i dina prenumerationer som konsekvent kör en liknande uppsättning program, uppmanas du att följa rekommendationen: Anpassningsbara programkontroller för att definiera säkra program ska aktiveras på dina datorer.

Välj rekommendationen eller öppna sidan för anpassningsbara programkontroller för att visa listan över föreslagna kända säkra program och grupper av datorer.

  1. Öppna instrumentpanelen för arbetsbelastningsskydd och välj Anpassningsbara programkontroller i området avancerat skydd.

    Öppna anpassningsbara programkontroller från Azure-instrumentpanelen.

    Sidan Anpassningsbara programkontroller öppnas med dina virtuella datorer grupperade på följande flikar:

    • Konfigurerad – Grupper av datorer som redan har en definierad lista över tillåtna program. För varje grupp visar den konfigurerade fliken:

      • antalet datorer i gruppen
      • senaste aviseringar
    • Rekommenderat – Grupper av datorer som konsekvent kör samma program och inte har en lista över tillåtna konfigurerade. Vi rekommenderar att du aktiverar anpassningsbara programkontroller för dessa grupper.

      Tips

      Om du ser ett gruppnamn med prefixet "REVIEWGROUP" innehåller det datorer med en delvis konsekvent lista över program. Microsoft Defender för moln kan inte se ett mönster, men rekommenderar att du granskar den här gruppen för att se om du manuellt kan definiera vissa regler för anpassningsbara programkontroller enligt beskrivningen i Redigera en grupps regel för anpassningsbara programkontroller.

      Du kan också flytta datorer från den här gruppen till andra grupper enligt beskrivningen i Flytta en dator från en grupp till en annan.

    • Ingen rekommendation – Datorer utan en definierad lista över tillåtna program och som inte stöder funktionen. Datorn kan finnas på den här fliken av följande skäl:

      • Det saknas en Log Analytics-agent
      • Log Analytics-agenten skickar inte händelser
      • Det är en Windows dator med en befintlig AppLocker-princip som antingen aktiveras av ett grupprincipobjekt eller en lokal säkerhetsprincip

      Tips

      Defender for Cloud behöver minst två veckors data för att definiera unika rekommendationer per grupp datorer. Datorer som nyligen har skapats, eller som tillhör prenumerationer som endast nyligen har skyddats av Microsoft Defender för servrar, visas på fliken Ingen rekommendation.

  2. Öppna fliken Rekommenderas. De grupper av datorer med rekommenderade listor över tillåtna visas.

    Rekommenderad flik.

  3. Välj en grupp.

  4. Om du vill konfigurera den nya regeln granskar du de olika avsnitten på sidan Konfigurera regler för programkontroll och innehållet, som är unikt för den här specifika gruppen med datorer:

    Konfigurera en ny regel.

    1. Välj datorer – Som standard är alla datorer i den identifierade gruppen markerade. Avmarkera alla för att ta bort dem från den här regeln.

    2. Rekommenderade program – Granska den här listan över program som är gemensamma för datorerna i den här gruppen och som rekommenderas att kunna köras.

    3. Fler program – Granska den här listan över program som antingen visas mer sällan på datorerna i den här gruppen eller som är kända för att vara exploaterbara. En varningsikon anger att ett specifikt program kan användas av en angripare för att kringgå en lista över tillåtna program. Vi rekommenderar att du noggrant granskar dessa program.

      Tips

      Båda programlistorna innehåller alternativet att begränsa ett specifikt program till vissa användare. Anta principen om minsta behörighet när det är möjligt.

      Program definieras av sina utgivare. Om ett program inte har utgivarinformation (det är osignerat) skapas en sökvägsregel för det specifika programmets fullständiga sökväg.

    4. Om du vill tillämpa regeln väljer du Granska.

Redigera en grupps regel för anpassningsbara programkontroller

Du kan välja att redigera listan över tillåtna för en grupp datorer på grund av kända ändringar i din organisation.

Så här redigerar du reglerna för en grupp datorer:

  1. Öppna instrumentpanelen för arbetsbelastningsskydd och välj Anpassningsbara programkontroller i området avancerat skydd.

  2. På fliken Konfigurerad väljer du gruppen med den regel som du vill redigera.

  3. Läs de olika avsnitten på sidan Konfigurera regler för programkontroll enligt beskrivningen i Aktivera anpassningsbara programkontroller på en grupp datorer.

  4. Du kan också lägga till en eller flera anpassade regler:

    1. Välj Lägg till regel.

      Lägg till en anpassad regel.

    2. Om du definierar en känd säker sökväg ändrar du Regeltyp till Sökväg och anger en enda sökväg. Du kan inkludera jokertecken i sökvägen.

      Tips

      Vissa scenarier där jokertecken i en sökväg kan vara användbara:

      • Använda ett jokertecken i slutet av en sökväg för att tillåta alla körbara filer i den här mappen och undermappar.
      • Använda ett jokertecken i mitten av en sökväg för att aktivera ett känt körbart namn med ett föränderligt mappnamn (till exempel personliga användarmappar som innehåller en känd körbar fil, automatiskt genererade mappnamn osv.).
    3. Definiera tillåtna användare och skyddade filtyper.

    4. När du är klar med att definiera regeln väljer du Lägg till.

  5. Om du vill tillämpa ändringarna väljer du Spara.

Granska och redigera en grupps inställningar

  1. Om du vill visa information och inställningar för din grupp väljer du Gruppinställningar

    I det här fönstret visas namnet på gruppen (som kan ändras), typ av operativsystem, plats och annan relevant information.

    Sidan gruppinställningar för anpassningsbara programkontroller.

  2. Du kan också ändra gruppens namn eller skyddslägen för filtyper.

  3. Välj Tillämpa och Spara.

Svara på rekommendationen "Allowlist rules in your adaptive application control policy should be updated" (Tillåtlista regler i din princip för anpassningsbar programkontroll bör uppdateras)

Du ser den här rekommendationen när Defender for Clouds maskininlärning identifierar potentiellt legitimt beteende som inte tidigare har tillåtits. Rekommendationen föreslår nya regler för dina befintliga definitioner för att minska antalet falska positiva aviseringar.

Så här åtgärdar du problemen:

  1. På sidan med rekommendationer väljer du Reglerna för lista över tillåtna i din princip för anpassningsbar programkontroll ska uppdateras rekommendationen för att se grupper med nyligen identifierat, potentiellt legitimt beteende.

  2. Välj gruppen med den regel som du vill redigera.

  3. Läs de olika avsnitten på sidan Konfigurera regler för programkontroll enligt beskrivningen i Aktivera anpassningsbara programkontroller på en grupp datorer.

  4. Om du vill tillämpa ändringarna väljer du Granska.

Granska aviseringar och överträdelser

  1. Öppna instrumentpanelen för arbetsbelastningsskydd och välj Anpassningsbara programkontroller i området avancerat skydd.

  2. Om du vill se grupper med datorer som har de senaste aviseringarna granskar du de grupper som visas på fliken Konfigurerad.

  3. Om du vill undersöka vidare väljer du en grupp.

    Senaste aviseringar.

  4. Om du vill ha mer information och listan över berörda datorer väljer du en avisering.

    På aviseringssidan visas mer information om aviseringarna och det finns en länk för att vidta åtgärder med rekommendationer för hur du åtgärdar hotet.

    Starttiden för aviseringar för anpassningsbara programkontroller är den tid då anpassningsbara programkontroller skapade aviseringen.

    Anteckning

    Anpassningsbara programkontroller beräknar händelser var 12:e timme. "Aktivitetens starttid" som visas på aviseringssidan är den tid då anpassningsbara programkontroller skapade aviseringen, inte den tid då den misstänkta processen var aktiv.

Flytta en dator från en grupp till en annan

När du flyttar en dator från en grupp till en annan ändras den programkontrollprincip som tillämpas på den till inställningarna för den grupp som du flyttade den till. Du kan också flytta en dator från en konfigurerad grupp till en icke-konfigurerad grupp. Då tas alla regler för programkontroll som tillämpades på datorn bort.

  1. Öppna instrumentpanelen för arbetsbelastningsskydd och välj Anpassningsbara programkontroller i området avancerat skydd.

  2. På sidan Anpassningsbara programkontroller går du till fliken Konfigurerad och väljer den grupp som innehåller den dator som ska flyttas.

  3. Öppna listan över konfigurerade datorer.

  4. Öppna datorns meny från tre punkter i slutet av raden och välj Flytta. Fönstret Flytta dator till en annan grupp öppnas.

  5. Välj målgruppen och välj Flytta dator.

  6. Välj Spara för att spara ändringarna.

Hantera programkontroller via REST API

Om du vill hantera dina anpassningsbara programkontroller programmatiskt använder du REST API.

Relevant API-dokumentation finns i avsnittet Anpassningsbara programkontroller i Defender for Clouds API-dokument.

Några av de funktioner som är tillgängliga från REST API:

  • Listan hämtar alla grupprekommendationer och tillhandahåller en JSON med ett -objekt för varje grupp.

  • Get hämtar JSON med fullständiga rekommendationsdata (det vill säga lista över datorer, utgivar-/sökvägsregler och så vidare).

  • Put konfigurerar din regel (använd den JSON som du hämtade med Get som brödtext för den här begäran).

    Viktigt

    Put-funktionen förväntar sig färre parametrar än den JSON som returneras av kommandot Get innehåller.

    Ta bort följande egenskaper innan du använder JSON i Put-begäran: recommendationStatus, configurationStatus, issues, location och sourceSystem.

Vanliga frågor och svar – Anpassningsbara programkontroller

Finns det några alternativ för att framtvinga programkontrollerna?

Det finns för närvarande inga tvingande alternativ. Anpassningsbara programkontroller är avsedda att tillhandahålla säkerhetsaviseringar om något annat program körs än de som du har definierat som säkra. De har en mängd fördelar ( Vilka är fördelarna medanpassningsbara programkontroller?) och är mycket anpassningsbara som visas på den här sidan.

Microsoft Defender för servrar omfattar sårbarhetsgenomsökning för dina datorer utan extra kostnad. Du behöver inte en Qualys-licens eller ens ett Qualys-konto – allt hanteras sömlöst i Defender for Cloud. Mer information om den här skannern och anvisningar för hur du distribuerar den finns i Defender for Clouds integrerade Qualys-lösning för sårbarhetsbedömning.

För att säkerställa att inga aviseringar genereras när Defender for Cloud distribuerar skannern innehåller den anpassningsbara programkontrollerna den rekommenderade listan över tillåtna skannern för alla datorer.

Nästa steg

På den här sidan har du lärt dig hur du använder anpassningsbar programkontroll i Microsoft Defender for Cloud för att definiera listor över tillåtna program som körs på dina Azure- och icke-Azure-datorer. Mer information om några andra funktioner för skydd av arbetsbelastningar i molnet finns i: