Förbättra din nätverkssäkerhetsstatus med anpassningsbar nätverkshärdning
Anteckning
Azure Security Center och Azure Defender heter nu Microsoft Defender för molnet. Vi har också bytt namn Azure Defender till Microsoft Defender-planer. Till exempel är Azure Defender för Storage microsoft Defender för Storage.
Läs mer om det senaste namnbytet av Microsofts säkerhetstjänster.
Anpassningsbar nätverkshärdning är en agentlös funktion i Microsoft Defender for Cloud – inget behöver installeras på dina datorer för att dra nytta av det här verktyget för nätverkshärdning.
Den här sidan beskriver hur du konfigurerar och hanterar anpassningsbar nätverkshärdning i Defender for Cloud.
Tillgänglighet
| Aspekt | Information |
|---|---|
| Utgivningstillstånd: | Allmän tillgänglighet (GA) |
| Prissättning: | Kräver Microsoft Defender för servrar |
| Nödvändiga roller och behörigheter: | Skrivbehörigheter på datorns NSG:er |
| Moln: | 
Kommersiella moln
Nationella (Azure Government, Azure China 21Vianet) |
Vad är anpassningsbar nätverkshärdning?
Att använda nätverkssäkerhetsgrupper (NSG) för att filtrera trafik till och från resurser förbättrar din nätverkssäkerhetsstatus. Det kan dock fortfarande finnas vissa fall där den faktiska trafik som flödar genom NSG:n är en delmängd av de NSG-regler som definierats. I dessa fall kan ytterligare förbättra säkerhetsstatusen uppnås genom att NSG-reglerna härdas baserat på de faktiska trafikmönstren.
Anpassningsbar nätverkshärdning ger rekommendationer för att ytterligare stärka NSG-reglerna. Den använder en maskininlärningsalgoritm som tar hänsyn till faktisk trafik, känd betrodd konfiguration, hotinformation och andra indikatorer på kompromettering och ger sedan rekommendationer för att endast tillåta trafik från specifika IP-/porttupplar.
Anta till exempel att den befintliga NSG-regeln är att tillåta trafik från 140.20.30.10/24 på port 22. Baserat på trafikanalys kan anpassningsbar nätverkshärdning rekommendera att begränsa intervallet för att tillåta trafik från 140.23.30.10/29 och neka all annan trafik till den porten. En fullständig lista över portar som stöds finns i posten Vanliga frågor och svar Vilka portar stöds?.
Visa härdningsaviseringar och rekommenderade regler
Öppna instrumentpanelen Arbetsbelastningsskydd på menyn i Defender för molnet.
Välj panelen för anpassningsbar nätverkshärdning (1) eller insiktspanelobjektet som är relaterat till anpassningsbar nätverkshärdning (2).
Tips
Insiktspanelen visar procentandelen av dina virtuella datorer som för närvarande är skyddat med anpassningsbar nätverkshärdning.
Informationssidan för rekommendationerna för anpassningsbar nätverkshärdning bör tillämpas på rekommendationen för Internetuppriktade virtuella datorer öppnas med dina virtuella nätverksdatorer grupperade i tre flikar:
- Ohälsosamma resurser: Virtuella datorer som för närvarande har rekommendationer och aviseringar som utlöstes genom att köra den anpassningsbara nätverkshärdningsalgoritmen.
- Felfria resurser: Virtuella datorer utan aviseringar och rekommendationer.
- Oskadliga resurser: Virtuella datorer som den anpassningsbara nätverkshärdningsalgoritmen inte kan köras på på grund av någon av följande orsaker:
- Virtuella datorer är klassiska virtuella datorer: Endast Azure Resource Manager virtuella datorer stöds.
- Det finns inte tillräckligt med data tillgängliga: För att generera korrekta rekommendationer för trafikhärdning kräver Defender for Cloud minst 30 dagars trafikdata.
- Den virtuella datorn skyddas inte av Microsoft Defender för servrar: Endast virtuella datorer som skyddas med Microsoft Defender för servrar är berättigade till den här funktionen.
På fliken Resurser med feltillstånd väljer du en virtuell dator för att visa aviseringarna och de rekommenderade härdningsregler som ska tillämpas.
- Fliken Regler visar de regler som anpassningsbar nätverkshärdning rekommenderar att du lägger till
- Fliken Aviseringar visar de aviseringar som genererades på grund av trafik och som flödar till resursen, som inte är inom det IP-intervall som tillåts i de rekommenderade reglerna.
Du kan också redigera reglerna:
Välj de regler som du vill tillämpa på NSG:n och välj Framtvinga.
Tips
Om de tillåtna käll-IP-intervallen visas som "Ingen" innebär det att den rekommenderade regeln är en neka-regel, annars är det en tillåt-regel.
Anteckning
De framtvingade reglerna läggs till i de NSG:er som skyddar den virtuella datorn. (En virtuell dator kan skyddas av en NSG som är associerad med dess nätverkskort, eller det undernät där den virtuella datorn finns, eller båda)
Ändra en regel
Du kanske vill ändra parametrarna för en regel som har rekommenderats. Du kanske till exempel vill ändra de rekommenderade IP-intervallen.
Några viktiga riktlinjer för att ändra en anpassad regel för nätverkshärdning:
Du kan inte ändra tillåt att regler blir neka-regler.
Du kan bara ändra parametrarna för tillåt-regler.
Du skapar och ändrar "nekande"-regler direkt i NSG:n. Mer information finns i Skapa, ändra eller ta bort en nätverkssäkerhetsgrupp.
En regel för att neka all trafik är den enda typen av "nekande"-regel som anges här och den kan inte ändras. Du kan dock ta bort den (se Ta bort en regel). Mer information om den här typen av regel finns i posten Vanliga frågor och svar När ska jag använda regeln "Neka all trafik"?.
Så här ändrar du en regel för anpassningsbar nätverkshärdning:
Om du vill ändra några av parametrarna för en regel går du till fliken Regler, väljer de tre punkterna (...) i slutet av regelns rad och väljer Redigera.
I fönstret Redigera regel uppdaterar du informationen som du vill ändra och väljer Spara.
Anteckning
När du har valt Spara har du ändrat regeln. Du har dock inte tillämpat den på NSG:n. Om du vill tillämpa den måste du välja regeln i listan och välja Framtvinga (enligt förklaringen i nästa steg).
Om du vill tillämpa den uppdaterade regeln väljer du den uppdaterade regeln i listan och väljer Framtvinga.
Lägga till en ny regel
Du kan lägga till en "tillåt"-regel som inte rekommenderades av Defender för molnet.
Anteckning
Endast "tillåt"-regler kan läggas till här. Om du vill lägga till "neka"-regler kan du göra det direkt i NSG:n. Mer information finns i Skapa, ändra eller ta bort en nätverkssäkerhetsgrupp.
Så här lägger du till en anpassad regel för nätverkshärdning:
Välj Lägg till regel i det översta verktygsfältet.
I fönstret Ny regel anger du informationen och väljer Lägg till.
Anteckning
När du har valt Lägg till har du lagt till regeln och den visas med de andra rekommenderade reglerna. Du har dock inte tillämpat den på NSG:n. Om du vill aktivera den måste du välja regeln i listan och välja Framtvinga (enligt förklaringen i nästa steg).
Om du vill tillämpa den nya regeln väljer du den nya regeln i listan och väljer Framtvinga.
Ta bort en regel
Vid behov kan du ta bort en rekommenderad regel för den aktuella sessionen. Du kan till exempel bestämma att tillämpning av en föreslagen regel kan blockera legitim trafik.
Så här tar du bort en regel för anpassningsbar nätverkshärdning för den aktuella sessionen:
På fliken Regler väljer du de tre punkterna (...) i slutet av regelns rad och väljer Ta bort.
Vanliga frågor och svar – Anpassningsbar nätverkshärdning
- Vilka portar stöds?
- Finns det några krav eller VM-tillägg som krävs för anpassningsbar nätverkshärdning?
Vilka portar stöds?
Rekommendationer för anpassningsbar nätverkshärdning stöds endast på följande specifika portar (för både UDP och TCP):
13, 17, 19, 22, 23, 53, 69, 81, 111, 119, 123, 135, 137, 138, 139, 161, 162, 389, 445, 512, 514, 593, 636, 873, 1433, 1434, 1900, 2049, 2301, 2323, 2381, 3268, 3306, 3389, 4333, 5353, 5432, 5555, 5800, 5900, 5900, 5985, 5986, 6379, 6379, 7000, 7001, 7199, 8081, 8089, 8545, 9042, 9160, 9300, 11211, 16379, 26379, 27017, 37215
Finns det några krav eller VM-tillägg som krävs för anpassningsbar nätverkshärdning?
Anpassningsbar nätverkshärdning är en agentlös funktion i Microsoft Defender for Cloud – inget behöver installeras på dina datorer för att dra nytta av det här verktyget för nätverkshärdning.
När ska jag använda regeln "Neka all trafik"?
En regel för att neka all trafik rekommenderas när Defender for Cloud på grund av körningen av algoritmen inte identifierar trafik som ska tillåtas, baserat på den befintliga NSG-konfigurationen. Därför är den rekommenderade regeln att neka all trafik till den angivna porten. Namnet på den här typen av regel visas som "Systemgenererad". När regeln har framtvingas blir det faktiska namnet i NSG:n en sträng som består av protokollet, trafikriktningen, "DENY" och ett slumptal.