你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
启用和管理自适应应用程序控制
Microsoft Defender for Cloud 的自适应应用程序控制提供数据驱动的智能自动化解决方案,通过为计算机定义已知安全应用程序的允许列表来增强安全性。 借助此功能,组织可以管理定期运行相同进程的计算机集合。 借助机器学习,Microsoft Defender for Cloud 可以分析计算机上运行的应用程序,并创建已知安全软件的列表。 这些允许列表基于特定的 Azure 工作负载。 你可以使用此页上提供的说明进一步对建议进行自定义。
在一组计算机上
如果 Microsoft Defender for Cloud 在你的订阅中确定了持续运行一组类似应用程序的计算机组,系统会提示你参考以下建议:应在计算机中启用自适应应用程序控制以定义安全应用程序。
选择建议,或打开自适应应用程序控制页面,查看建议的已知安全应用程序列表和计算机组。
打开“工作负载保护”仪表板,并从“高级保护”区域选择“自适应应用程序控制”。
“自适应应用程序控制”页随即打开,你的 VM 会分组到以下多个选项卡中:
已配置 - 已具有定义的应用程序允许列表的计算机组。 对于每个组,“已配置”选项卡会显示:
- 组中的计算机数
- 最近的警报
推荐 - 始终运行相同应用程序且未配置允许列表的计算机组。 我们建议你为这些组启用自适应应用程序控制。
提示
如果看到前缀为 REVIEWGROUP 的组名称,则它包含应用程序列表部分一致的计算机。 Microsoft Defender for Cloud 无法查看模式,但建议查看此组,确定是否可以手动定义一些自适应应用程序控制规则,如编辑组的自适应应用程序控制规则中所述。
你还可以将计算机从该组移动到其他组,如将计算机从一个组移动到另一个组中所述。
无推荐 - 没有已定义的应用程序允许列表且不支持此功能的计算机。 你的计算机出现在此选项卡中可能是因为以下原因:
- 缺少 Log Analytics 代理
- Log Analytics 代理未发送事件
- 这是一台 Windows 计算机,具有通过 GPO 或本地安全策略启用的预先存在的 AppLocker 策略
- AppLocker 不可用(Windows Server Core 安装)
提示
Defender for Cloud 需要至少两周的数据才能定义每组计算机的唯一建议。 最近创建的计算机,或者属于最近才受适用于服务器的 Microsoft Defender 保护的订阅的计算机,将显示在“无建议”选项卡下。
打开“推荐”选项卡。此时将显示带有推荐允许列表的计算机组。
选择组。
要配置新规则,请查看此“配置应用程序控制规则”页的各个部分和内容,这些内容对于特定计算机组是唯一的:
选择计算机 - 默认情况下,将选择标识组中的所有计算机。 如果取消选择任何计算机,则会此规则中删除它们。
推荐应用程序 - 查看此组中计算机的常用应用程序列表,并建议允许其运行。
更多应用程序 - 查看此应用程序列表,这些应用程序在该组计算机上不常出现,或者已知可被攻击。 一个警告图标,表示攻击者可能会利用特定应用程序绕过应用程序允许列表。 建议仔细检查这些应用程序。
提示
两个应用程序列表都包含将特定应用程序限制为某些用户的选项。 尽可能采用最小特权原则。
应用程序基于其发布者进行定义。 如果应用程序没有发布者信息(未签名),则会为特定应用程序的完整路径创建路径规则。
要应用规则,请选择“审核”。
编辑组的自适应应用程序控制规则
由于组织中的已知更改,你可能决定编辑一组计算机的允许列表。
编辑计算机组的规则:
打开“工作负载保护”仪表板,并从“高级保护”区域选择“自适应应用程序控制” 。
从“已配置”选项卡中,选择包含要编辑的规则的组。
查看“配置应用程序控制规则”页面的各个部分,如在一组计算机上中所述。
(可选)添加一个或多个自定义规则:
- 选择“添加规则”。
如果要定义已知的安全路径,请将“规则类型”更改为“路径”,然后输入单个路径。 可以在路径中包含通配符。 以下屏幕显示了如何使用通配符的一些示例。
提示
在路径中使用通配符可能有用的一些方案:
- 在路径末尾使用通配符,可以添加该文件夹和子文件夹中的所有可执行文件。
- 在路径中间使用通配符,可以启用文件夹名称发生更改的已知可执行文件名称(例如,包含已知可执行文件的个人用户文件夹、自动生成的文件夹名称等)。
定义允许的用户和受保护的文件类型。
定义完规则后,选择“添加”。
选择“保存”,应用所做的更改。
查看和编辑组设置
若要查看组详细信息和设置,请选择“组设置”。
此窗格显示组名称(可修改)、OS 类型、位置和其他相关详细信息。
(可选)修改组名称或文件类型保护模式。
选择“应用”和“保存” 。
响应“应更新自适应应用程序控制策略中的允许列表规则”建议
当 Defender for Cloud 的机器学习识别出以前不允许的潜在合法行为时,你会看到此建议。 该建议提供针对现有定义的新规则,用于减少误报警报数量。
修正问题:
从建议页中,选择“应更新自适应应用程序控制策略中的允许列表规则”建议,查看新标识的、可能合法的行为组。
选择包含要编辑的规则的组。
查看“配置应用程序控制规则”页面的各个部分,如在一组计算机上中所述。
选择“审核”,应用所做的更改。
审核警报和冲突
打开“工作负载保护”仪表板,并从“高级保护”区域选择“自适应应用程序控制” 。
要查看最近发出了警报的计算机组,请查看“已配置”选项卡中列出的组。
要进一步调查,请选择一个组。
要查看更多详细信息以及受影响的计算机列表,请选择一个警报。
“安全警报”页将显示警报的更多详细信息,并提供“执行操作”链接以及有关如何缓解威胁的建议。
注意
自适应应用程序控制每 12 小时计算一次事件数量。 “安全警报”页中显示的“活动开始时间”是自适应应用程序控件创建警报的时间,而不是可疑进程处于活动状态的时间。
将计算机从一个组移动到另一个组
将计算机从一个组移动到另一个组时,适用于该计算机的应用程序控制策略会更改为移动到的组的设置。 你也可将计算机从已配置的组移动到未配置的组;这样做会移除应用于该计算机的所有应用程序控制规则。
打开“工作负载保护”仪表板,并从“高级保护”区域选择“自适应应用程序控制” 。
在“自适应应用程序控制”页中,从“已配置”选项卡中选择包含要移动的计算机的组。
打开“已配置的计算机”列表。
通过行尾的三个点打开计算机菜单,然后选择“移动”。 “将计算机移动到其他组”窗格随即打开。
选择目标组,然后选择“移动计算机”。
选择“保存”,以保存更改。
通过 REST API 管理应用程序控制
若要以编程方式管理自适应应用程序控制,请使用我们的 REST API。
Defender for Cloud API 文档的“自适应应用程序控制”部分提供了相关的 API 文档。
REST API 提供的一些函数包括:
List 可检索所有组建议,并为每个组提供带有对象的 JSON。
Get 可检索带有完整建议数据(即机器列表、发布者/路径规则等)的 JSON。
Put 可用于配置规则(使用 Get 检索到的 JSON 作为此请求的主体)。
重要
Put 函数需要的参数比 Get 命令返回的 JSON 所含参数少。
在 Put 请求中使用 JSON 之前,请删除以下属性:recommendationStatus、configurationStatus、issues、location 和 sourceSystem。
相关内容
在本页面上,你已了解如何在 Microsoft Defender for Cloud 中使用自适应应用程序控制来定义允许在 Azure 和非 Azure 计算机上运行的应用程序列表。 若要详细了解一些其他云工作负载保护功能,请参阅: