Anpassningsbara programkontrollerAdaptive application controls

Lär dig att konfigurera programkontroll i Azure Security Center med den här genomgången.Learn how to configure application control in Azure Security Center using this walkthrough.

Vad är anpassningsbara programkontroller i Security Center?What are adaptive application controls in Security Center?

Anpassningsbar program kontroll är en intelligent, automatiserad lösning från slut punkt till slut punkt från Azure Security Center som hjälper dig att styra vilka program som kan köras på dina Azure-och icke-Azure-datorer (Windows och Linux).Adaptive application control is an intelligent, automated, end-to-end solution from Azure Security Center which helps you control which applications can run on your Azure and non-Azure machines (Windows and Linux). Bland andra förmåner hjälper detta till att förstärka dina datorer mot skadlig kod.Among other benefits, this helps harden your machines against malware. Security Center använder Machine Learning för att analysera programmen som körs på dina datorer och skapar en lista över tillåtna från denna intelligens.Security Center uses machine learning to analyze the applications running on your machines and creates an allow list from this intelligence. Den här funktionen fören klar processen att konfigurera och underhålla listan över tillåtna List principer för program, så att du kan:This capability greatly simplifies the process of configuring and maintaining application allow list policies, enabling you to:

  • Blockera eller Varna vid försök att köra skadliga program, inklusive de som annars kan missas av lösningar mot skadlig kod.Block or alert on attempts to run malicious applications, including those that might otherwise be missed by antimalware solutions.
  • Uppfylla organisationens säkerhetsprincip som anger att bara licensierade program får användas.Comply with your organization's security policy that dictates the use of only licensed software.
  • Undvika oönskad programvara som ska användas i din miljö.Avoid unwanted software to be used in your environment.
  • Undvik att gamla program som inte stöds kan köras.Avoid old and unsupported apps to run.
  • Förhindra vissa verktyg som inte tillåts i din organisation.Prevent specific software tools that are not allowed in your organization.
  • Aktivera IT för att kontrollera åtkomsten till känsliga data via appanvändning.Enable IT to control the access to sensitive data through app usage.

Anteckning

För icke-Azure-och Linux-datorer stöds anpassningsbara program kontroller endast i gransknings läge.For Non-Azure and Linux machines, adaptive application controls are supported in audit mode only.

Hur fungerar anpassningsbara programkontroller?How to enable adaptive application controls?

Anpassningsbara program kontroller hjälper dig att definiera en uppsättning program som tillåts köras på konfigurerade grupper av datorer.Adaptive application controls help you define a set of applications that are allowed to run on configured groups of machines. Den här funktionen är tillgänglig för både Azure-och icke-Azure-fönster (alla versioner, klassiska eller Azure Resource Manager) och Linux-datorer.This feature is available for both Azure and non-Azure Windows (all versions, classic, or Azure Resource Manager) and Linux machines. Använd följande steg för att konfigurera listan över tillåtna program:Use the following steps to configure your application allow lists:

  1. Öppna instrumentpanelen för Security Center.Open the Security Center dashboard.

  2. Välj Anpassningsbara programkontroller i den vänstra rutan under Avancerat molnskydd.In the left pane, select Adaptive application controls located under Advanced cloud defense.

    SkyddDefense

Sidan Anpassningsbara programkontroller visas.The Adaptive application controls page appears.

kontroller

Avsnittet Grupper av virtuella datorer innehåller tre flikar:The Groups of VMs section contains three tabs:

  • Konfigurerad: lista över grupper som innehåller de virtuella datorer som konfigurerades med programkontroll.Configured: list of groups containing the VMs that were configured with application control.
  • Rekommenderas: lista över grupper som programkontroll rekommenderas för.Recommended: list of groups for which application control is recommended. Security Center använder Machine Learning för att identifiera virtuella datorer som är bra kandidater för programkontroll baserat på om de virtuella datorerna konsekvent kör samma program.Security Center uses machine learning to identify VMs that are good candidates for application control based on whether the VMs consistently run the same applications.
  • Ingen rekommendation: lista över grupper som innehåller virtuella datorer utan rekommendationer för programkontroll.No recommendation: list of groups containing VMs without any application control recommendations. Till exempel virtuella datorer där program alltid byts ut och inte har uppnått ett stabilt tillstånd.For example, VMs on which applications are always changing, and haven’t reached a steady state.

Anteckning

Security Center använder egen klusteralgoritm för att skapa grupper med virtuella datorer och säkerställa att liknande virtuella datorer får den programkontrollsprincip som rekommenderas.Security Center uses a proprietary clustering algorithm to create groups of VMs making sure that similar VMs get the optimal recommended application control policy.

Konfigurera en ny princip för programkontrollConfigure a new application control policy

  1. Välj fliken rekommenderas för en lista med grupper med rekommendationer för program kontroll:Select the Recommended tab for a list of groups with application control recommendations:

    Rekommenderas

    Listan innehåller:The list includes:

    • Grupp namn: namnet på prenumerationen och gruppenGroup Name: The name of the subscription and group
    • Virtuella datorer och datorer: antalet virtuella datorer i gruppenVMs and Computers: The number of virtual machines in the group
    • Tillstånd: rekommendationernas tillståndState: the state of the recommendations
    • Allvarlighetsgrad: rekommendationernas allvarlighets gradSeverity: the severity level of the recommendations
  2. Klicka på en grupp för att öppna alternativet skapa regler för program kontroll .Click on a group to open the Create application control rules option.

    Kontrollregler för programApplication control rules

  3. I Välj virtuella datorergranskar du listan med rekommenderade virtuella datorer och avmarkerar alla du inte vill använda en vit listning-princip för program.In the Select VMs, review the list of recommended VMs and uncheck any you do not want to apply an application whitelisting policy to. Nu visas två listor:Next, you see two lists:

    • Rekommenderade program: en lista över program som används ofta på de virtuella datorerna i den här gruppen och rekommenderas att köras.Recommended applications: a list of applications that are frequent on the VMs within this group, and are recommended to be allowed to run.
    • Fler program: en lista över program som antingen är mindre frekventa på de virtuella datorerna i den här gruppen eller som kallas Exploitables (se nedan) och rekommenderas för granskning.More applications: a list of applications that are either less frequent on the VMs within this group or that are known as Exploitables (see more below), and recommended for review.
  4. Granska programmen i listorna och avmarkera de du inte vill ska tillämpas.Review the applications in each of the lists, and uncheck any you do not want to apply. Varje lista innehåller:Each list includes:

    • Namn: certifikat informationen eller den fullständiga sökvägen till ett programNAME: the certificate information or the full path of an application
    • FILTYPER: filtypen för programmet.FILE TYPES: the application file type. Detta kan vara EXE, script, MSI eller någon permutation av de här typerna.This can be EXE, Script, MSI, or any permutation of these types.
    • Kan utnyttjas: en varnings ikon anger om ett enskilt program kan användas av en angripare för att kringgå en lista över tillåtna program.EXPLOITABLE: a warning icon indicates if a specific application could be used by an attacker to bypass an application allow list. Vi rekommenderar att du granskar programmen innan du godkänner dem.It is recommended to review these applications prior to their approval.
    • ANVÄNDARE: användare som rekommenderas få tillåtelse att köra programUSERS: users that are recommended to be allowed to run an application
  5. När du är färdig med dina val klickar du på Skapa.Once you finish your selections, select Create.
    När du har valt skapa skapar Azure Security Center automatiskt lämpliga regler ovanpå den inbyggda listan över tillåtna program för att tillåta listor på Windows-servrar (AppLocker).After you select Create, Azure Security Center automatically creates the appropriate rules on top of the built-in application allow list solution available on Windows servers (AppLocker).

Anteckning

  • Security Center förlitar sig på minst två veckors data för att skapa en baslinje och fylla i unika rekommendationer för varje grupp med virtuella datorer.Security Center relies on a minimum of two weeks of data in order to create a baseline and populate the unique recommendations per group of VMs. Nya Security Center-kunder på standardnivån bör vara beredda på att deras grupp med virtuella datorer först visas på fliken Ingen rekommendation.New customers of Security Center standard tier should expect a behavior in which at first their groups of VMs appear under the no recommendation tab.
  • Anpassningsbara programkontroller från Security Center stöder inte virtuella datorer som en AppLocker-princip redan är aktiverad för genom antingen ett GPO eller en lokal säkerhetsprincip.Adaptive Application Controls from Security Center doesn’t support VMs for which an AppLocker policy is already enabled by either a GPO or a local security policy.
  • Som en säkerhets åtgärd försöker Security Center alltid att skapa en utgivar regel för program som har marker ATS för att tillåtas, och endast om ett program inte har någon utgivar information (aka inte signerad) skapas en Sök vägs regel för den fullständiga sökvägen till det specifika programmet.As a security best practice, Security Center will always try to create a publisher rule for applications that are selected to be allowed, and only if an application doesn’t have a publisher information (aka not signed), a path rule will be created for the full path of the specific application.

Redigera och övervaka en grupp som har konfigurerats med programkontrollEditing and monitoring a group configured with application control

  1. Om du vill redigera och övervaka en grupp som har kon figurer ATS med en lista över tillåtna program för program, återgår du till sidan anpassningsbar program kontroll och väljer konfigurerad under grupper av virtuella datorer:To edit and monitor a group configured with an application allow list policy, return to the Adaptive application controls page and select CONFIGURED under Groups of VMs:

    Grupper

    Listan innehåller:The list includes:

    • Grupp namn: namnet på prenumerationen och gruppenGroup Name: the name of the subscription and group
    • Virtuella datorer och datorer: antalet virtuella datorer i gruppenVMs and Computers: the number of virtual machines in the group
    • Läge: gransknings läget loggar försök att köra program som inte finns på listan över tillåtna. Använd tillåter inte att program körs, om de inte finns med i listan över tillåtnaMode: Audit mode will log attempts to run applications that aren't on the allow list; Enforce will not allow applications to run unless they are on the allow list
    • Aviseringar: eventuella aktuella överträdelserAlerts: any current violations
  2. Klicka på en grupp för att göra ändringar på sidan Redigera princip för program kontroll .Click on a group to make changes in the Edit application control policy page.

    Skydd

  3. Under Skyddsläge kan du välja mellan följande alternativ:Under Protection mode, you have the option to select between the following:

    • Granska: i det här läget tvingar inte programkontrollösningen reglerna, utan granskar endast aktiviteten för de skyddade virtuella datorerna.Audit: in this mode, the application control solution does not enforce the rules, and only audits the activity on the protected VMs. Det här rekommenderas för scenarier där du först vill observera det övergripande beteendet innan en app blockeras mot att köras i den virtuella måldatorn.This is recommended for scenarios where you want to first observe the overall behavior before blocking an app to run in the target VM.
    • Tvinga: i det här läget tvingar programkontrollösningen reglerna, och ser till att program som inte är tillåtna blockeras.Enforce: in this mode, the application control solution does enforce the rules, and makes sure that applications that are not allowed to run are blocked.

    Anteckning

    • Tvinga skydds läge inaktive ras tills vidare meddelande.Enforce protection mode is disabled until further notice.
    • Som vi nämnde tidigare blir alltid en ny princip för programkontroll som standard konfigurerad i läget Granska.As previously mentioned, by default a new application control policy is always configured in Audit mode.
  4. Under princip tillägglägger du till alla program Sök vägar som du vill tillåta.Under Policy extension, add any application path that you want to allow. När du har lagt till dessa sökvägar uppdaterar Security Center listan över tillåtna program för program på de virtuella datorerna i den valda gruppen med virtuella datorer och skapar lämpliga regler för dessa program, utöver de regler som redan finns på plats.After you add these paths, Security Center updates the application allow list policy on the VMs within the selected group of VMS and creates the appropriate rules for these applications, in addition to the rules that are already in place.

  5. Granska aktuella överträdelser som anges i avsnittet senaste aviseringar .Review the current violations listed in the Recent alerts section. Klicka på varje rad som ska omdirigeras till sidan aviseringar i Azure Security Center och Visa alla aviseringar som identifierades av Azure Security Center på de associerade virtuella datorerna.Click on each line to be redirected to the Alerts page within Azure Security Center, and view all the alerts that were detected by Azure Security Center on the associated VMs.

    • Aviseringar: eventuella överträdelser som loggats.Alerts: any violations that were logged.
    • Nej. virtuella datorer: antaletvirtuella datorer med den här aviserings typen.No. of VMs: the number of virtual machines with this alert type.
  6. Under utgivar vit listning-regler, vit listning-regleroch hash-vit listning -regler kan du se vilka program vit listning-regler som för närvarande är konfigurerade på de virtuella datorerna i en grupp, enligt regel samlings typen.Under Publisher whitelisting rules, Path whitelisting rules, and Hash whitelisting rules you can see which application whitelisting rules are currently configured on the VMs within a group, according to the rule collection type. För varje regel kan du se:For each rule you can see:

    • Regel: de specifika parametrar enligt vilka ett program granskas av AppLocker för att avgöra om ett program får köras.Rule: The specific parameters according to which an application is examined by AppLocker to determine if an application is allowed to run.
    • Filtyp: de filtyper som omfattas av en speciell regel.File type: The file types that are covered by a specific rule. Detta kan vara något av följande: EXE, skript, MSI eller en permutation av dessa filtyper.This can be any of the following: EXE, Script, MSI, or any permutation of those file types.
    • Användare: namn eller antal användare som har tillåtelse att köra ett program som omfattas av en vit listning-regel för program.Users: Name or number of users who are allowed to run an application that is covered by an application whitelisting rule.

    Regler för lista över tillåtna

  7. Klicka på de tre punkterna i slutet av varje rad om du vill ta bort den specifika regeln eller redigera tillåtna användare.Click on the three dots at the end of each line if you want to delete the specific rule or edit the allowed users.

  8. När du har gjort ändringar i en princip för anpassningsbara program kontroller klickar du på Spara.After making changes to an Adaptive application controls policy, click Save.

Security Center rekommenderar endast program vit listning-principer för virtuella datorer som kör en stabil uppsättning program.Security Center only recommends application whitelisting policies for virtual machines running a stable set of applications. Inga rekommendationer skapas om programmen på den virtuella datorn ändras hela tiden.Recommendations are not created if applications on the associated VMs keep changing.

Rekommendation

Listan innehåller:The list contains:

  • Grupp namn: namnet på prenumerationen och gruppenGroup Name: the name of the subscription and group
  • Virtuella datorer och datorer: antalet virtuella datorer i gruppenVMs and Computers: the number of virtual machines in the group

Med Azure Security Center kan du definiera en program vit listning-princip på icke-rekommenderade grupper av virtuella datorer.Azure Security Center enables you to define an application whitelisting policy on non-recommended groups of VMs as well. Följ samma principer som tidigare beskrevs för att konfigurera en program vit listning-princip i dessa grupper också.Follow the same principles as were previously described, to configure an application whitelisting policy on those groups as well.

Flytta en virtuell dator från en grupp till en annanMove a VM from one group to another

När du flyttar en virtuell dator från en grupp till en annan så ändras den program kontroll princip som tillämpas på den till inställningarna för den grupp som du flyttade den till.When you move a VM from one group to another, the application control policy applied to it changes to the settings of the group that you moved it to. Du kan också flytta en virtuell dator från en konfigurerad grupp till en icke-konfigurerad grupp, vilket innebär att du tar bort alla program kontroll principer som tidigare tillämpades på den virtuella datorn.You can also move a VM from a configured group to a non-configured group, which results in removing any application control policy that was previously applied to the VM.

  1. På sidan adaptiva program kontroller från fliken konfigurerad klickar du på den grupp som den virtuella dator som ska flyttas för närvarande tillhör.From the Adaptive application controls page, from the CONFIGURED tab, click the group which the VM to be moved currently belongs to.

  2. Klicka på konfigurerade virtuella datorer och datorer.Click Configured VMs and Computers.

  3. Flytta genom att klicka på de tre punkterna i den virtuella datorns rad och klicka på Flytta.Click the three dots in the line of the VM to move and click Move. Fönstret flytta datorn till en annan grupp öppnas.The Move computer to different group window opens.

    Skydd

  4. Välj den grupp som du vill flytta den virtuella datorn till och klicka på Flytta dator, och klicka på Spara.Select the group to move the VM to, and click Move Computer, and click Save.

    Skydd

Anteckning

Se till att klicka på Spara när du har klickat på Flytta dator.Be sure to click Save after clicking Move Computer. Om du inte klickar på Sparakommer datorn inte att flyttas.If you do not click Save, then the computer will not be moved.

Nästa stegNext steps

I det här dokumentet har du lärt dig hur du använder anpassningsbar program kontroll i Azure Security Center för att vitlista program som körs i Azure och virtuella datorer som inte är Azure-datorer.In this document, you learned how to use adaptive application control in Azure Security Center to whitelist applications running in Azure and non-Azure VMs. I följande avsnitt kan du lära dig mer om Azure Security Center:To learn more about Azure Security Center, see the following: