你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

通过自适应网络强化,改进网络安全状况

  • 项目

自适应网络强化是 Microsoft Defender for Cloud 的一项无代理功能 - 无需在计算机上安装任何额外组件就能受益于这种网络强化工具。

本页介绍如何在 Defender for Cloud 配置和管理自适应网络强化。

可用性

方面 详细信息
发布状态: 正式发布版 (GA)
定价: 需要 Microsoft Defender for Servers 计划 2
所需角色和权限: 对计算机网络安全组的写入权限
云: 商用云
国家/地区(Azure 政府、由世纪互联运营的 Microsoft Azure)
连接的 AWS 帐户

什么是自适应网络强化?

应用网络安全组 (NSG) 来筛选发往/来自资源的流量,可以改善网络安全状况。 但是,仍然可能存在一些这样的情况:通过 NSG 流动的实际流量是所定义 NSG 规则的子集。 在这些情况下,可以根据实际流量模式强化 NSG 规则,从而进一步改善安全状况。

自适应网络强化为进一步强化 NSG 规则提供了建议。 它使用机器学习算法,这种算法会将实际流量、已知受信任的配置、威胁情报和其他泄露标志都考虑在内,然后提供仅允许来自特定 IP/端口元组的流量的建议。

例如,假设现有的 NSG 规则是在端口 22 上允许来自 140.20.30.10/24 流量。 根据流量分析,自适应网络强化可能建议缩小范围以允许来自 140.23.30.10/29 的流量,并拒绝所有其他流量流经该端口。 有关受支持端口的完整列表,请参阅常见问题项支持哪些端口?

  1. 从 Defender for Cloud 的菜单中,打开“工作负载保护”仪表板。

  2. 选择自适应网络强化磁贴 (1) 或与自适应网络强化相关的见解面板项目 (2)。

    Accessing the adaptive network hardening tools.

    提示

    见解面板显示你当前通过自适应网络强化进行威胁防御的 VM 百分比。

  3. “应在面向 Internet 的虚拟机上应用自适应网络强化建议”建议的详细信息页面将打开,并且你的网络 VM 将分组为三个选项卡:

    • 不正常的资源:当前具有通过运行自适应网络强化算法触发的建议和警报的 VM。
    • 正常的资源:没有警报和建议的 VM。
    • 未扫描的资源:由于以下原因之一而无法运行自适应网络强化算法的 VM:
      • VM 是经典 VM:只有 Azure 资源管理器 VM 受支持。
      • 数据不足:为了生成准确的流量强化建议,Cloud for Cloud 至少需要 30 天的流量数据。
      • VM 不受 Microsoft Defender for Servers 保护:只有使用 Microsoft Defender for Servers 保护的 VM 才符合使用此功能的条件。

    Details page of the recommendation Adaptive network hardening recommendations should be applied on internet facing virtual machines.

  4. 从“不正常的资源”选项卡中,选择要查看其警报的 VM,并选择要应用的建议强化规则。

    • “规则”选项卡列出了自适应网络强化建议添加的规则
    • “警报”选项卡列出了由于流量(流向不在建议规则所允许的 IP 范围内的资源)而生成的警报。

  5. (可选)编辑规则:

  6. 选择要对 NSG 应用的规则,然后选择“强制执行”。

    提示

    如果允许的源 IP 范围显示为“无”,则意味着建议的规则是“拒绝”规则,否则,它是“允许”规则 。

    Managing adaptive network hardening rules.

    注意

    强制执行的规则将添加到保护 VM 的 NSG。 (VM 可由关联到其 NIC 的 NSG 和/或 VM 所在的子网保护)

修改规则

你可能想要修改已建议的规则的参数。 例如,你可能想要更改建议的 IP 范围。

有关修改自适应网络强化规则的一些重要准则:

  • 不能将“允许”规则更改为“拒绝”规则 。

  • 只能修改“允许”规则的参数。

    创建和修改“拒绝”规则是直接在 NSG 上执行的。 有关详细信息,请参阅创建、更改或删除网络安全组

  • 拒绝所有流量规则是此处列出的唯一“拒绝”规则类型,并且该规则不能修改。 不过,你可以删除它(请参阅删除规则)。 若要了解此类规则,请参阅常见问题项何时应使用“拒绝所有流量”规则?

修改自适应网络强化规则:

  1. 若要修改规则的某些参数,请在“规则”选项卡中选择规则行末尾的省略号图标 (...),然后选择“编辑”。

    Editing s rule.

  2. 在“编辑规则”窗口中,更新你要更改的详细信息,然后选择“保存” 。

    注意

    选择“保存”后,即已成功更改规则。 但尚未将其应用到 NSG。 若要应用该规则,必须在列表中选择该规则,然后选择“强制执行”(如下一步所述)。

    Selecting Save.

  3. 若要应用已更新的规则,请从列表中选择该规则,然后选择“强制执行”。

    enforce rule.

添加新规则

你可以添加“允许”规则,但 Defender for Cloud 不建议使用此规则。

注意

在这里只能添加“允许”规则。 如果要添加“拒绝”规则,可以直接在 NSG 上执行此操作。 有关详细信息,请参阅创建、更改或删除网络安全组

添加自适应网络强化规则:

  1. 在顶部工具栏中,选择“添加规则”。

    add rule.

  2. 在“新建规则”窗口中输入详细信息,然后选择“添加” 。

    注意

    选择“添加”后,会成功添加该规则,它将连同其他建议的规则一起列出。 但是,该规则尚未应用到 NSG。 若要激活该规则,必须在列表中选择该规则,然后选择“强制执行”(如下一步骤所述)。

  3. 若要应用新规则,请从列表中选择该规则,然后选择“强制执行”。

    enforce rule.

删除规则

必要时,可以删除当前会话的建议规则。 例如,你可能认为应用建议的规则会阻止合法的流量。

删除当前会话的自适应网络强化规则:

  • 在“规则”选项卡中,选择规则行末尾的省略号图标 (...),然后选择“删除” 。

    Deleting a rule.

下一步