使用適應性應用程式控制來減少電腦的攻擊面

注意

Azure 資訊安全中心和 Azure Defender 現在稱為「 適用于雲端的 Microsoft Defender」。 我們也已將 Azure defender 方案重新命名為 Microsoft defender 方案。 例如,適用于儲存體的 Azure Defender 現在是適用于儲存體的 Microsoft Defender。

深入瞭解 Microsoft 安全性服務最近的重新命名。

瞭解適用于雲端之彈性應用程式控制的 Microsoft Defender 優點,以及如何利用此資料驅動的智慧型功能來增強您的安全性。

什麼是適應性應用程式控制?

自動調整應用程式控制項是智慧型和自動化的解決方案,可為您的機器定義已知安全應用程式的允許清單。

通常,組織會有定期執行相同進程的電腦集合。 適用于雲端的 Microsoft Defender 使用機器學習服務來分析在您電腦上執行的應用程式,並建立已知安全的軟體清單。 允許清單是以您特定的 Azure 工作負載為基礎,您可以使用下列指示進一步自訂建議。

已啟用並設定自適性應用程式控制時,如果有任何您未定義於安全清單中的應用程式執行,您就會收到安全性警示。

適應性應用程式控制的優點為何?

藉由定義已知安全的應用程式清單,並在執行任何其他動作時產生警示,您可以達成多個監督和合規性目標:

  • 找出惡意程式碼解決方案可能遺漏的潛在惡意程式碼
  • 使用規定僅限授權軟體的本機安全性原則來改善合規性
  • 識別過期或不支援的應用程式版本
  • 找出您的組織所禁止但仍在您的電腦上執行的軟體
  • 提高存取敏感性資料的應用程式監督

目前沒有任何強制選項可供使用。 如果任何應用程式執行的應用程式不是您定義為安全的應用程式,則可調整應用程式控制的目的是要提供安全性警示。

可用性

層面 詳細資料
版本狀態: 公開上市 (GA)
定價: 需要 適用于伺服器的 Microsoft Defender
支援的電腦: 執行 Windows 和 Linux 的 azure 和非 azure 機器
Azure Arc電腦
必要的角色和權限: 安全性讀取 者和 讀取 者角色可以同時查看群組和已知安全的應用程式清單
參與者安全性系統管理員 角色可以編輯群組和已知安全的應用程式清單
雲端: 商業雲端
全國 (Azure Government、Azure 中國的世紀)

在一組電腦上啟用應用程式控制

如果 Microsoft Defender for Cloud 在訂用帳戶中識別出的機器群組一致地執行一組類似的應用程式,系統將會提示您提供下列建議:您 應該在您的電腦上啟用用於定義安全應用程式的自訂應用 程式控制。

選取建議,或開啟 [自動調整應用程式控制] 頁面,以查看建議的已知安全應用程式和電腦群組的清單。

  1. 開啟工作負載保護儀表板,並從 [advanced protection] 區域選取 [自動調整 應用 程式控制]。

    從 Azure 儀表板開啟自我調整應用程式控制。

    [自動調整 應用 程式控制] 頁面隨即開啟,並將您的 vm 分組為下列索引標籤:

    • 設定-已定義應用程式允許清單的電腦群組。 針對每個群組,[已設定] 索引標籤會顯示:

      • 群組中的電腦數目
      • 最近的警示
    • 建議 -一致執行相同應用程式且未設定允許清單的電腦群組。 建議您為這些群組啟用適應性應用程式控制。

      提示

      如果您看到名為 "REVIEWGROUP" 的組名,它會包含具有部分一致性應用程式清單的電腦。 適用于雲端的 Microsoft Defender 無法查看模式,但建議您檢查此群組,以查看 是否可以手動定義某些自動調整應用程式控制規則,如 編輯群組的自訂應用程式控制規則中所述。

      您也可以將機器從此群組移至其他群組,如 將機器從某個群組移至另一個群組所述。

    • 沒有任何建議 -沒有已定義的允許清單應用程式的電腦,且不支援此功能。 您的電腦可能會在此索引標籤中,原因如下:

      • 缺少 Log Analytics 代理程式
      • Log Analytics 代理程式未傳送事件
      • 它是一台 Windows 電腦,具有 GPO 或本機安全性原則啟用的既有AppLocker原則

      提示

      適用于雲端的 Defender 需要至少兩周的資料,以定義每個電腦群組的唯一建議。 最近建立或屬於 Microsoft Defender for servers 所保護之訂用帳戶的電腦,將會出現在 [ 沒有建議 ] 索引標籤底下。

  2. 開啟 [ 建議 ] 索引標籤。具有建議允許清單的電腦群組隨即出現。

    建議索引標籤。

  3. 選取群組。

  4. 若要設定您的新規則,請檢查 [ 設定應用程式控制規則 ] 頁面的各個區段和內容,這對此特定電腦群組而言是唯一的:

    設定新的規則。

    1. 選取電腦 -根據預設,系統會選取已識別群組中的所有電腦。 取消選取任何專案,將其從此規則中移除。

    2. 建議的應用程式 -請參閱此群組中電腦通用的應用程式清單,並建議您允許執行。

    3. 更多應用程式 -在此群組中的電腦上查看較少的應用程式清單,或已知可進行攻擊的應用程式清單。 警告圖示表示攻擊者可以使用特定應用程式來略過應用程式允許清單。 建議您仔細複習這些應用程式。

      提示

      這兩個應用程式清單都包含將特定應用程式限制在特定使用者的選項。 盡可能採用最低許可權原則。

      應用程式是由其發行者定義,如果應用程式沒有發行者資訊 (不帶正負號的) ,則會針對特定應用程式的完整路徑建立路徑規則。

    4. 若要套用規則,請選取 [ Audit]。

編輯群組的自我調整應用程式控制規則

您可能會因為組織已知的變更,而決定編輯一組電腦的允許清單。

若要編輯一組電腦的規則:

  1. 開啟 工作負載保護儀表板 ,並從 [advanced protection] 區域選取 [自動調整 應用 程式控制]。

  2. 在 [ 已設定 ] 索引標籤中,選取包含您要編輯之規則的群組。

  3. 請參閱 設定應用程式控制規則 頁面的各個區段,如在 一組電腦上啟用自動調整應用程式控制項所述。

  4. (選擇性)新增一或多個自訂規則:

    1. 選取 [新增規則]。

      新增自訂規則。

    2. 如果您要定義已知的安全路徑,請將 規則類型 變更為 [路徑],並輸入單一路徑。 您可以在路徑中包含萬用字元。

      提示

      在路徑中使用萬用字元的某些案例可能很有用:

      • 在路徑結尾使用萬用字元,以允許此資料夾和子資料夾內的所有可執行檔。
      • 在路徑中間使用萬用字元來啟用具有變更資料夾名稱的已知可執行檔名稱 (例如,包含已知可執行檔的個人使用者資料夾、自動產生的資料夾名稱等) 。
    3. 定義允許的使用者和受保護的檔案類型。

    4. 當您完成定義規則之後,請選取 [ 新增]。

  5. 若要套用變更,請選取 [ 儲存]。

檢查和編輯群組的設定

  1. 若要查看群組的詳細資料和設定,請選取 [群組設定]。

    此窗格會顯示可以修改的組名 () 、OS 類型、位置和其他相關詳細資料。

    適應性應用程式控制的 [群組設定] 頁面。

  2. (選擇性)修改群組的名稱或檔案類型保護模式。

  3. 選取 [ 套用並 儲存]。

回應「您的適應性應用程式控制原則中的允許清單規則應該更新」的建議

當適用于雲端機器學習的 Defender 找不到先前未允許的合法行為時,您將會看到此建議。 建議建議您現有定義的新規則,以減少誤報的誤報數目。

若要修復問題:

  1. 在 [建議] 頁面中,選取 您的適應性應用程式控制原則中的允許清單規則應該更新 建議,以查看具有新識別、可能合法行為的群組。

  2. 選取具有您想要編輯之規則的群組。

  3. 請參閱 設定應用程式控制規則 頁面的各個區段,如在 一組電腦上啟用自動調整應用程式控制項所述。

  4. 若要套用變更,請選取 [ Audit]。

審核警示和違規

  1. 開啟 工作負載保護儀表板 ,並從 [advanced protection] 區域選取 [自動調整 應用 程式控制]。

  2. 若要查看具有最新警示的電腦群組,請檢查 [ 已設定 ] 索引標籤中列出的群組。

  3. 若要進一步調查,請選取群組。

    最近的警示。

  4. 如需詳細資訊和受影響機器的清單,請選取警示。

    [警示] 頁面會顯示警示的詳細資料,並提供「 取得動作 」連結,以及如何緩和威脅的建議。

    自動調整應用程式控制警示的開始時間是自我調整應用程式控制建立警示的時間。

    注意

    適應性應用程式控制每12小時會計算一次事件。 [警示] 頁面中顯示的 [活動開始時間] 是自我調整應用程式控制項建立警示的時間, 而不 是可疑進程的作用時間。

將機器從一個群組移至另一個群組

當您將機器從某個群組移至另一個群組時,套用至它的應用程式控制原則會變更至您移至的群組設定。 您也可以將電腦從已設定的群組移至未設定的群組,這樣做會移除套用至電腦的任何應用程式控制規則。

  1. 開啟 工作負載保護儀表板 ,並從 [advanced protection] 區域選取 [自動調整 應用 程式控制]。

  2. 從 [ 自我調整應用 程式控制] 頁面的 [ 已設定 ] 索引標籤中,選取包含要移動之電腦的群組。

  3. 開啟 已設定的電腦 清單。

  4. 從資料列結尾的三個點開啟電腦的功能表,然後選取 [ 移動]。 [ 將電腦移到不同的群組 ] 窗格隨即開啟。

  5. 選取目的地群組,然後選取 [ 移動電腦]。

  6. 若要儲存變更,請選取 [儲存]。

透過 REST API 管理應用程式控制

若要以程式設計方式管理您的自我調整應用程式控制,請使用我們的 REST API。

相關的 API 檔適用于 Defender 的 [自動調整應用程式控制] 區段,適用于雲端的 api檔。

REST API 中提供的部分函數:

  • 清單 會抓取您所有群組的建議,並為每個群組提供具有物件的 JSON。

  • 取得 具有完整建議資料的 JSON (也就是電腦清單、發行者/路徑規則等等) 。

  • Put 會設定您的規則 (使用您 抓取的 JSON 作為此 要求) 的主體。

    重要

    Put 函式需要的參數少於 Get 命令所傳回的 JSON。

    在 Put 要求中使用 JSON 之前,請先移除下列屬性: recommendationStatus、configurationStatus、問題、位置和 sourceSystem。

常見問題-自我調整應用程式控制

是否有任何選項可強制執行應用程式控制項?

目前沒有任何強制選項可供使用。 如果任何應用程式執行的應用程式不是您定義為安全的應用程式,則可調整應用程式控制的目的是要提供 安全性警示 。 他們有許多優點 (自我調整應用程式控制的優點為何?) 而且非常可自訂,如本頁面所示。

適用于伺服器的 Microsoft Defender 包含電腦的弱點掃描,不需額外費用。 您不需要 Qualys 授權或甚至是 Qualys 帳戶-所有專案都是在適用于雲端的 Defender 內無縫處理。 如需此掃描器的詳細資訊以及部署方式的指示,請參閱 適用于雲端的整合式 Qualys 弱點評估解決方案 Defender

為確保在 Defender for Cloud 部署掃描器時不會產生任何警示,適應性應用程式會控制建議的允許清單,包括所有機器的掃描器。

下一步

在此頁面上,您已瞭解如何在適用于雲端的 Microsoft Defender 中使用適應性應用程式控制,以定義在 Azure 和非 Azure 電腦上執行的應用程式清單。 若要深入瞭解其他雲端工作負載保護功能,請參閱: