Makinelerinizin saldırı yüzeylerini azaltmak için uyarlamalı uygulama denetimleri kullanma

  • Makale
  • Okumak için 7 dakika

Not

Azure Güvenlik Merkezi ve Azure Defender artık Bulut için Microsoft Defender olarak adlandırılan bir yazılımdır. Ayrıca, microsoft Azure Defender Microsoft Defender planları olarak yeniden adlandırıldı. Örneğin, Azure Defender artık Depolama için Microsoft Defender Depolama.

Microsoft güvenlik hizmetlerinin en son yeniden olarak yeniden olarak yeniden an kullanımı hakkında daha fazla bilgi edinmek için.

Bulut için Microsoft Defender'ın uyarlamalı uygulama denetimlerinin avantajlarını ve bu veri odaklı, akıllı özellikle güvenliğinizi nasıl geliştirebilirsiniz?

Uyarlamalı uygulama denetimleri nedir?

Uyarlamalı uygulama denetimleri, makineleriniz için bilinen güvenli uygulamaların izin verme listelerini tanımlamaya olanak sağlayan akıllı ve otomatik bir çözümdür.

Kuruluşlar genellikle aynı işlemleri düzenli olarak çalıştıran makine koleksiyonları sunar. Bulut için Microsoft Defender makine öğrenmesini kullanarak makineleriniz üzerinde çalışan uygulamaları analiz eder ve bilinen güvenli yazılımların bir listesini oluşturabilir. İzin verilenler listeleri, belirli Azure iş yüklerinizi temel alır ve aşağıdaki yönergeleri kullanarak önerileri daha da özelleştirebilirsiniz.

Uyarlamalı uygulama denetimlerini etkinleştirdikten ve yapılandırıldığında, güvenli olarak tanımlandığınız dışında herhangi bir uygulama çalıştırıldığında güvenlik uyarıları alıcaz.

Uyarlamalı uygulama denetimlerinin avantajları nelerdir?

Bilinen güvenli uygulamaların listelerini tanımlayarak ve başka bir şey yürütülürken uyarılar oluşturarak, birden çok gözetim ve uyumluluk hedeflerine ulaşabilirsiniz:

  • Kötü amaçlı yazılımdan koruma çözümleri tarafından kaçırıla bile olası kötü amaçlı yazılımları belirleme
  • Yalnızca lisanslı yazılımların kullanımını dikte edilen yerel güvenlik ilkeleriyle uyumluluğu geliştirme
  • Uygulamaların eski veya desteklenmeyen sürümlerini belirleme
  • Kuruluş tarafından yasaklanan ancak yine de makineleriniz üzerinde çalışan yazılımları belirleme
  • Hassas verilere erişen uygulamaların gözetimlerini artırma

Şu anda herhangi bir zorlama seçeneği yoktur. Uyarlamalı uygulama denetimleri, herhangi bir uygulama güvenli olarak tanımlandığı dışında çalışırsa güvenlik uyarıları sağlamak için tasarlanmıştır.

Kullanılabilirlik

Görünüş Ayrıntılar
Yayın durumu: Genel kullanılabilirlik (GA)
Fiyatlandırma: Sunucular için Microsoft Defender gerektirir
Desteklenen makineler: Windows ve Linux çalıştıran Azure ve Azure dışı makineler
Azure Arc makineleri
Gerekli roller ve izinler: Güvenlik Okuyucusu ve Okuyucu rolleri hem grupları hem de bilinen güvenli uygulamaların listelerini görüntülemeyi sağlar
Katkıda bulunan ve Güvenlik Yöneticisi rolleri hem grupları hem de bilinen güvenli uygulamaların listelerini düzenleyebilir
Bulut: Ticari bulutlar
Ulusal (Azure Kamu, Azure China 21Vianet)

Bir makine grubunda uygulama denetimlerini etkinleştirme

Bulut için Microsoft Defender, aboneliklerinize tutarlı olarak benzer bir uygulama kümesi çalıştıran makine grupları belirlediyse şu öneri istenir: Güvenli uygulamaları tanımlamak için uyarlamalı uygulama denetimleri makineleriniz üzerinde etkinleştirilmelidir.

Öneriyi seçin veya önerilen bilinen güvenli uygulama ve makine gruplarının listesini görüntülemek için uyarlamalı uygulama denetimleri sayfasını açın.

  1. İş yükü korumaları panosuna tıklayın ve gelişmiş koruma alanında Uyarlamalı uygulama denetimleri'ne tıklayın.

    Azure Panosu'dan uyarlamalı uygulama denetimlerini açma.

    Uyarlamalı uygulama denetimleri sayfası, VM'lerinizi aşağıdaki sekmelerde gruplandı olarak açar:

    • Yapılandırıldı - Önceden tanımlı bir uygulama izin verme listesine sahip makine grupları. Yapılandırılan her grup için sekme şunları gösterir:

      • gruptaki makinelerin sayısı
      • son uyarılar

    • Önerilen - Tutarlı olarak aynı uygulamaları çalıştıran ve yapılandırılmış bir izin verme listesine sahip olmayan makine grupları. Bu gruplar için uyarlamalı uygulama denetimlerini etkinleştirmenizi öneririz.

      İpucu

      "REVIEWGROUP" ön ekli bir grup adı görüyorsanız, kısmen tutarlı bir uygulama listesine sahip makineler içerir. Bulut için Microsoft Defender bir desen göremiyorum, ancak bir grubun uyarlamalı uygulama denetimleri kuralını düzenleme konusunda açıklandığı gibi bazı uyarlamalı uygulama denetimleri kurallarını el ile tanımlayarak tanımlayıp tanımlayamayabilirsiniz.

      Ayrıca, Bir makineyi bir gruptan diğerine taşıma konusunda açıklandığı gibi makineleri bu gruptan diğer gruplara da taşıy also can move a group.

    • Öneri yok - Tanımlı bir uygulama listesine izin ver özelliği olmayan ve özelliği desteklemeen makineler. Makineniz aşağıdaki nedenlerden dolayı bu sekmede olabilir:

      • Log Analytics aracısı eksik
      • Log Analytics aracısı olay gönderm yok
      • Önceden var olan bir AppLocker Windows GPO veya yerel güvenlik ilkesi tarafından etkinleştirildiğinden, bu bir sanal makinedir

      İpucu

      Bulut için Defender'ın makine grubu başına benzersiz önerileri tanımlaması için en az iki haftalık veri gerekir. Kısa süre önce oluşturulmuş veya sunucular için Microsoft Defender tarafından yalnızca yakın zamanda korunan aboneliklere ait olan makineler Öneri yok sekmesinde görünür.

  2. Önerilen sekmesini açın. Önerilen izin verme listelerine sahip makine grupları görüntülenir.

    Önerilen sekmesi.

  3. Grup seçin.

  4. Yeni kuralınızı yapılandırmak için Uygulama denetim kurallarını yapılandırma sayfasının çeşitli bölümlerini ve bu belirli makine grubuna özgü olacak içeriği gözden geçirebilirsiniz:

    Yeni bir kural yapılandırma.

    1. Makineleri seçin - Varsayılan olarak, tanımlanan gruptaki tüm makineler seçilir. Bu kuraldan kaldırmak için herhangi birini kaldırın.

    2. Önerilen uygulamalar - Bu gruptaki makineler için ortak olan ve çalışmasına izin verilen uygulamalar listesini gözden geçirebilirsiniz.

    3. Daha fazla uygulama - Bu gruptaki makinelerde daha az görülen veya açıktan yararlanılabilir olduğu bilinen uygulamalar listesini gözden geçirebilirsiniz. Uyarı simgesi, belirli bir uygulamanın bir uygulama izin listesini atlamak için bir saldırgan tarafından kullanılalabilmesini gösterir. Bu uygulamaları dikkatle gözden geçirmenizi öneririz.

      İpucu

      Her iki uygulama listesi de belirli bir uygulamayı belirli kullanıcılarla kısıtlama seçeneğini içerir. Mümkün olduğunda en az ayrıcalık ilkesini benimse.

      Uygulamalar yayımcıları tarafından tanımlanır; bir uygulamanın yayımcı bilgileri yoksa (imzasız), belirli bir uygulamanın tam yolu için bir yol kuralı oluşturulur.

    4. Kuralı uygulamak için Denetle'yi seçin.

Grubun uyarlamalı uygulama denetimleri kuralını düzenleme

Kuruluşta bilinen değişikliklerden dolayı bir makine grubu için izin verme listesini düzenlemeye karar veebilirsiniz.

Bir makine grubunun kurallarını düzenlemek için:

  1. İş yükü korumaları panosuna tıklayın ve gelişmiş koruma alanında Uyarlamalı uygulama denetimleri'ne tıklayın.

  2. Yapılandırıldı sekmesinde düzenlemek istediğiniz kurala sahip grubu seçin.

  3. Bir makine grubunda uyarlamalı uygulama denetimlerini etkinleştirme konusunda açıklandığı gibi Uygulama denetim kurallarını yapılandırma sayfasının çeşitli bölümlerini gözden geçirebilirsiniz.

  4. İsteğe bağlı olarak, bir veya daha fazla özel kural ekleyin:

    1. Kural ekle'yi seçin.

      Özel bir kural ekleyin.

    2. Bilinen bir güvenli yol tanım ediyorsanız Kural türünü 'Yol' olarak değiştirebilir ve tek bir yol girin. Yola joker karakterler dahil etmek için kullanabilirsiniz.

      İpucu

      Bir yolda joker karakterlerin yararlı olabileceği bazı senaryolar:

      • Bu klasör ve alt klasörlerdeki tüm yürütülebilir öğelere izin vermek için bir yolun sonunda joker karakter kullanma.
      • Klasör adı değiştirerek bilinen yürütülebilir bir adı etkinleştirmek için yolun ortasında joker karakter kullanma (örneğin, bilinen yürütülebilir dosya içeren kişisel kullanıcı klasörleri, otomatik olarak oluşturulan klasör adları vb.).

    3. İzin verilen kullanıcıları ve korumalı dosya türlerini tanımlayın.

    4. Kuralı tanımlamayı bitirdikten sonra Ekle'yi seçin.

  5. Değişiklikleri uygulamak için Kaydet'i seçin.

Grubun ayarlarını gözden geçirme ve düzenleme

  1. Grup ayrıntıları ve ayarlarını görüntülemek için Grup ayarları'ı seçin

    Bu bölmede grubun adı (değiştirilebilir), işletim sistemi türü, konum ve diğer ilgili ayrıntılar gösterilir.

    Uyarlamalı uygulama denetimleri için grup ayarları sayfası.

  2. İsteğe bağlı olarak, grubun adını veya dosya türü koruma modlarını değiştirebilirsiniz.

  3. Uygula ve Kaydet'i seçin.

"Uyarlamalı uygulama denetim ilkenize izin verme kuralları güncelleştirilsin" önerisine yanıt verme

Bu öneriyi, Bulut için Defender'ın makine öğrenmesi daha önce izin verilmiyor olabilecek meşru davranışları tanımlarında görüyorsunuz. Öneri, hatalı pozitif uyarıların sayısını azaltmak için mevcut tanımlarınız için yeni kurallar önerir.

Sorunları düzeltmek için:

  1. Öneriler sayfasında uyarlamalı uygulama denetim ilkenize ait İzin Ver listesi kurallarını seçerek yeni tanımlanan ve geçerli olabilecek davranışlara sahip grupları görmek için önerinin güncelleştirilmiş olması gerekir.

  2. Düzenlemek istediğiniz kurala sahip grubu seçin.

  3. Bir makine grubunda uyarlamalı uygulama denetimlerini etkinleştirme konusunda açıklandığı gibi Uygulama denetim kurallarını yapılandırma sayfasının çeşitli bölümlerini gözden geçirebilirsiniz.

  4. Değişiklikleri uygulamak için Denetle'yi seçin.

Uyarıları ve ihlalleri denetleme

  1. İş yükü korumaları panosuna tıklayın ve gelişmiş koruma alanında Uyarlamalı uygulama denetimleri'ne tıklayın.

  2. Son uyarılara sahip makineleri olan grupları görmek için Yapılandırılmış sekmesinde listelenen grupları gözden geçirebilirsiniz.

  3. Daha fazla araştırma yapmak için bir grup seçin.

    Son uyarılar.

  4. Diğer ayrıntılar ve etkilenen makinelerin listesi için bir uyarı seçin.

    Uyarılar sayfasında uyarıların daha fazla ayrıntısı görüntülenir ve tehdidin nasıl hafifletildiklerine ilişkin önerileri içeren Bir Eyleme Geç bağlantısı sağlar.

    Uyarlamalı uygulama denetimleri uyarılarının başlangıç saati, uyarlamalı uygulama denetimlerinin uyarıyı oluşturduğu saattir.

    Not

    Uyarlamalı uygulama denetimleri, olayları on iki saatte bir hesaplar. Uyarılar sayfasında gösterilen "etkinlik başlangıç zamanı", şüpheli sürecin etkin olduğu zaman değil uyarlamalı uygulama denetimlerinin uyarıyı oluşturduğu saattir.

Bir makineyi bir gruptan diğerine taşıma

Bir makineyi bir gruptan diğerine taşınınca, makineye uygulanan uygulama denetim ilkesi, makineyi taşıycaz grubun ayarlarına değişir. Ayrıca, makineyi yapılandırılmış bir gruptan yapılandırılmamış bir gruba da taşıyabilirsiniz; böylece makineye uygulanan tüm uygulama denetim kuralları kaldırılmıştır.

  1. İş yükü korumaları panosuna tıklayın ve gelişmiş koruma alanında Uyarlamalı uygulama denetimleri'ne tıklayın.

  2. Uyarlamalı uygulama denetimleri sayfasında, Yapılandırıldı sekmesinden taşınmayacak makineyi içeren grubu seçin.

  3. Yapılandırılmış makineler listesini açın.

  4. Satırın sonundaki üç noktanın makine menüsünü açın ve Taşı'ya tıklayın. Makineyi farklı bir gruba taşı bölmesi açılır.

  5. Hedef grubu seçin ve Makineyi taşı'ya seçin.

  6. Yaptığınız değişiklikleri kaydetmek için Kaydet'i seçin.

Uygulama denetimlerini REST API

Uyarlamalı uygulama denetimlerinizi program aracılığıyla yönetmek için uygulama REST API.

İlgili API belgeleri, Bulut için Defender API belgelerinin Uyarlamalı Uygulama Denetimleri bölümünde mevcuttur.

İşlevden kullanılabilen işlevlerden bazıları REST API:

  • Liste, tüm grup önerilerinizi alın ve her grup için bir nesnesiyle birlikte bir JSON sağlar.

  • Get, tam öneri verileriyle (makine listesi, yayımcı/yol kuralları vb.) JSON'u alır.

  • Put kuralınızı yapılandırıyor (bu isteğin gövdesi olarak Get ile birlikte alınan JSON'u kullanın).

    Önemli

    Put işlevi, Get komutu tarafından döndürülen JSON'dan daha az parametre bekler.

    Put isteğinde JSON'u kullanmadan önce aşağıdaki özellikleri kaldırın: recommendationStatus, configurationStatus, issues, location ve sourceSystem.

SSS - Uyarlamalı uygulama denetimleri

Uygulama denetimlerini uygulamak için herhangi bir seçenek var mı?

Şu anda herhangi bir zorlama seçeneği yoktur. Uyarlamalı uygulama denetimleri, herhangi bir uygulama güvenli olarak tanımlandığı dışında çalışırsa güvenlik uyarıları sağlamak için tasarlanmıştır. Çeşitli avantajları vardır ( Uyarlamalı uygulama denetimlerininavantajları nelerdir?) ve bu sayfada gösterildiği gibi son derece özelleştirilebilir.

Sunucular için Microsoft Defender, makineleriniz için ek ücret ödemeden güvenlik açığı taraması içerir. Qualys lisansına veya hatta Qualys hesabına ihtiyacınız yok. Her şey Bulut için Defender'ın içinde sorunsuz bir şekilde gerçekleştirilir. Bu tarayıcının ayrıntıları ve onu dağıtma yönergeleri için bkz. Bulut için Defender'ın tümleşik Qualys güvenlik açığı değerlendirme çözümü.

Bulut için Defender tarayıcıyı dağıtırken hiçbir uyarı oluşturulmaması için, uyarlamalı uygulama denetimleri önerilen izin verme listesi tüm makineler için tarayıcıyı içerir.

Sonraki adımlar

Bu sayfada, Azure ve Azure dışı makineleriniz üzerinde çalışan uygulamaların izin verme listelerini tanımlamak üzere Bulut için Microsoft Defender'da uyarlamalı uygulama denetimi kullanmayı öğrendinsiniz. Diğer bazı bulut iş yükü koruma özellikleri hakkında daha fazla bilgi edinmek için bkz: