Share via

Aktivera och hantera anpassningsbara programkontroller

  • Artikel

Microsoft Defender för molnet anpassningsbara programkontroller ger en datadriven och intelligent automatiserad lösning som förbättrar säkerheten genom att definiera tillåtna listor över kända och säkra program för dina datorer. Med den här funktionen kan organisationer hantera samlingar av datorer som rutinmässigt kör samma processer. Med hjälp av maskininlärning kan Microsoft Defender för molnet analysera de program som körs på dina datorer och skapa en lista över kända och säkra program. Dessa tillåtna listor baseras på dina specifika Azure-arbetsbelastningar. Du kan anpassa rekommendationerna ytterligare med hjälp av anvisningarna på den här sidan.

På en grupp datorer

Om Microsoft Defender för molnet har identifierat grupper av datorer i dina prenumerationer som konsekvent kör en liknande uppsättning program uppmanas du att följa rekommendationen: Anpassningsbara programkontroller för att definiera säkra program bör aktiveras på dina datorer.

Välj rekommendationen eller öppna sidan för anpassningsbara programkontroller för att visa listan över föreslagna kända och säkra program och grupper av datorer.

  1. Öppna instrumentpanelen Arbetsbelastningsskydd och välj Anpassningsbara programkontroller från området avancerat skydd.

    Screenshot showing opening adaptive application controls from the Azure Dashboard.

    Sidan Anpassningsbara programkontroller öppnas med dina virtuella datorer grupperade på följande flikar:

    • Konfigurerad – Grupper av datorer som redan har en definierad lista över program. För varje grupp visar den konfigurerade fliken:

      • antalet datorer i gruppen
      • senaste aviseringar

    • Rekommenderas – Grupper av datorer som konsekvent kör samma program och inte har konfigurerat någon lista över tillåtna. Vi rekommenderar att du aktiverar anpassningsbara programkontroller för dessa grupper.

      Dricks

      Om du ser ett gruppnamn med prefixet REVIEWGROUP innehåller det datorer med en delvis konsekvent lista över program. Microsoft Defender för molnet kan inte se något mönster men rekommenderar att du granskar den här gruppen för att se om du manuellt kan definiera vissa regler för anpassningsbara programkontroller enligt beskrivningen i Redigera en grupps regel för anpassningsbara programkontroller.

      Du kan också flytta datorer från den här gruppen till andra grupper enligt beskrivningen i Flytta en dator från en grupp till en annan.

    • Ingen rekommendation – Datorer utan en definierad lista över program och som inte stöder funktionen. Datorn kan finnas på den här fliken av följande skäl:

      • En Log Analytics-agent saknas
      • Log Analytics-agenten skickar inte händelser
      • Det är en Windows-dator med en befintlig AppLocker-princip aktiverad av antingen ett grupprincipobjekt eller en lokal säkerhetsprincip
      • AppLocker är inte tillgängligt (Windows Server Core-installationer)

      Dricks

      Defender för molnet behöver minst två veckors data för att definiera de unika rekommendationerna per grupp av datorer. Datorer som nyligen har skapats, eller som tillhör prenumerationer som nyligen har skyddats av Microsoft Defender för servrar, visas under fliken Ingen rekommendation .

  2. Öppna fliken Rekommenderas . Grupper av datorer med rekommenderade tillåtna listor visas.

    Screenshot that shows you where on the screen the recommendation tab is.

  3. Välj en grupp.

  4. Om du vill konfigurera den nya regeln går du igenom de olika avsnitten på sidan Konfigurera regler för programkontroll och innehållet, som är unikt för den här specifika gruppen med datorer:

    Screenshot that shows you the order you need to follow to configure application control rules in the portal.

    1. Välj datorer – Som standard är alla datorer i den identifierade gruppen markerade. Avmarkera alla om du vill ta bort dem från den här regeln.

    2. Rekommenderade program – Granska den här listan över program som är gemensamma för datorerna i den här gruppen och rekommenderas att tillåtas att köras.

    3. Fler program – Granska den här listan över program som antingen visas mindre ofta på datorerna i den här gruppen eller som är kända för att vara exploaterbara. En varningsikon anger att ett visst program kan användas av en angripare för att kringgå en lista över tillåtna program. Vi rekommenderar att du noggrant granskar dessa program.

      Dricks

      Båda programlistorna innehåller alternativet att begränsa ett visst program till vissa användare. Anta principen om minsta möjliga privilegier när det är möjligt.

      Program definieras av sina utgivare. Om ett program inte har utgivarinformation (den är osignerad) skapas en sökvägsregel för den fullständiga sökvägen för det specifika programmet.

    4. Om du vill tillämpa regeln väljer du Granska.

Redigera en grupps regel för anpassningsbara programkontroller

Du kan välja att redigera listan över tillåtna för en grupp datorer på grund av kända ändringar i din organisation.

Så här redigerar du reglerna för en grupp datorer:

  1. Öppna instrumentpanelen Arbetsbelastningsskydd och välj Anpassningsbara programkontroller från området avancerat skydd.

  2. På fliken Konfigurerad väljer du gruppen med den regel som du vill redigera.

  3. Granska de olika avsnitten på sidan Konfigurera programkontrollregler enligt beskrivningen i På en grupp datorer.

  4. Du kan också lägga till en eller flera anpassade regler:

    1. Välj Lägg till regel.

    Screenshot that shows you where the add rule button is located.

    1. Om du definierar en känd säker sökväg ändrar du regeltypen till "Sökväg" och anger en enda sökväg. Du kan inkludera jokertecken i sökvägen. Följande skärmar visar några exempel på hur du använder jokertecken.

      Screenshot that shows examples of using wildcards.

      Dricks

      Vissa scenarier där jokertecken i en sökväg kan vara användbara:

      • Använd ett jokertecken i slutet av en sökväg för att tillåta alla körbara filer i den här mappen och undermapparna.
      • Använd ett jokertecken mitt i en sökväg för att aktivera ett känt körbart namn med ett namn på en ändrad mapp (till exempel personliga användarmappar som innehåller en känd körbar, automatiskt genererad mappnamn osv.).

    2. Definiera tillåtna användare och skyddade filtyper.

    3. När du har definierat regeln väljer du Lägg till.

  5. Om du vill tillämpa ändringarna väljer du Spara.

Granska och redigera en grupps inställningar

  1. Om du vill visa information och inställningar för din grupp väljer du Gruppinställningar.

    I det här fönstret visas namnet på gruppen (som kan ändras), operativsystemtypen, platsen och annan relevant information.

    Screenshot showing the group settings page for adaptive application controls.

  2. Du kan också ändra gruppens namn- eller filtypsskyddslägen.

  3. Välj Använd och spara.

Svara på rekommendationen "Allowlist rules in your adaptive application control policy should be updated" (Tillåtlisteregler i din anpassningsbara programkontrollprincip bör uppdateras)

Den här rekommendationen visas när Defender för molnet maskininlärning identifierar potentiellt legitimt beteende som inte tidigare har tillåtits. Rekommendationen föreslår nya regler för dina befintliga definitioner för att minska antalet falska positiva aviseringar.

Så här åtgärdar du problemen:

  1. På sidan rekommendationer väljer du Tillåtlisteregler i din princip för anpassningsbar programkontroll bör uppdateras rekommendationen för att se grupper med nyligen identifierade, potentiellt legitima beteenden.

  2. Välj gruppen med den regel som du vill redigera.

  3. Granska de olika avsnitten på sidan Konfigurera programkontrollregler enligt beskrivningen i På en grupp datorer.

  4. Om du vill tillämpa ändringarna väljer du Granska.

Granska aviseringar och överträdelser

  1. Öppna instrumentpanelen Arbetsbelastningsskydd och välj Anpassningsbara programkontroller från området avancerat skydd.

  2. Om du vill se grupper med datorer som har de senaste aviseringarna läser du de grupper som anges på fliken Konfigurerad .

  3. Om du vill undersöka ytterligare väljer du en grupp.

    Screenshot showing recent alerts in Configured tab.

  4. Om du vill ha mer information och listan över berörda datorer väljer du en avisering.

    Sidan Säkerhetsaviseringar visar mer information om aviseringarna och innehåller länken Vidta åtgärder med rekommendationer för hur du kan minimera hotet.

    Screenshot of the start time of adaptive application controls alerts showing that the time is when adaptive application controls created the alert.

    Kommentar

    Anpassningsbara programkontroller beräknar händelser en gång var 12:e timme. Den "aktivitetsstarttid" som visas på sidan säkerhetsaviseringar är den tid då anpassningsbara programkontroller skapade aviseringen, inte den tid då den misstänkta processen var aktiv.

Flytta en dator från en grupp till en annan

När du flyttar en dator från en grupp till en annan ändras den programkontrollprincip som tillämpas på den till inställningarna för den grupp som du flyttade den till. Du kan också flytta en dator från en konfigurerad grupp till en icke-konfigurerad grupp, vilket tar bort alla regler för programkontroll som har tillämpats på datorn.

  1. Öppna instrumentpanelen Arbetsbelastningsskydd och välj Anpassningsbara programkontroller från området avancerat skydd.

  2. På sidan Anpassningsbara programkontroller går du till fliken Konfigurerad och väljer den grupp som innehåller den dator som ska flyttas.

  3. Öppna listan över konfigurerade datorer.

  4. Öppna datorns meny från tre punkter i slutet av raden och välj Flytta. Fönstret Flytta datorn till en annan grupp öppnas.

  5. Välj målgruppen och välj Flytta dator.

  6. Välj Spara för att spara dina ändringar.

Hantera programkontroller via REST-API:et

Om du vill hantera dina anpassningsbara programkontroller programmatiskt använder du vårt REST API.

Relevant API-dokumentation finns i avsnittet Anpassningsbara programkontroller i Defender för molnet API-dokument.

Några av funktionerna som är tillgängliga från REST-API:et är:

  • Listan hämtar alla grupprekommendationer och ger ett JSON-objekt för varje grupp.

  • Hämta hämtar JSON med fullständiga rekommendationsdata (det vill: lista över datorer, utgivare/sökvägsregler och så vidare).

  • Put konfigurerar din regel (använd den JSON som du hämtade med Hämta som brödtext för den här begäran).

    Viktigt!

    Put-funktionen förväntar sig färre parametrar än den JSON som returneras av kommandot Hämta innehåller.

    Ta bort följande egenskaper innan du använder JSON i Put request: recommendationStatus, configurationStatus, issues, location och sourceSystem.

Relaterat innehåll

På den här sidan har du lärt dig hur du använder anpassningsbar programkontroll i Microsoft Defender för molnet för att definiera tillåtna listor över program som körs på dina Azure- och icke-Azure-datorer. Mer information om några andra funktioner för arbetsbelastningsskydd i molnet finns i: