啟用及管理自適性應用程式控制

適用於雲端的 Microsoft Defender 自適性應用程式控制提供資料驅動和智慧型自動化解決方案，藉由為您的機器定義已知安全應用程式的允許清單來增強您的安全性。 有了這項功能，組織可以管理一系列定期執行相同程序的機器。 適用於雲端的 Microsoft Defender 會使用機器學習，分析在您機器上執行的應用程式，然後建立已知安全軟體的清單。 這些允許清單以您的特定 Azure 工作負載為基礎。 您可以使用此頁面上提供的指示進一步自訂建議。

關於機器群組

如果適用於雲端的 Microsoft Defender 在您的訂用帳戶中識別出持續執行一組類似應用程式的機器群組，系統會提示您下列建議：您的電腦應啟用自適性應用程式控制，以定義安全應用程式。

選取建議，或開啟自適性應用程式控制頁面，以檢視建議的已知安全應用程式和機器群組清單。

1. 開啟 [工作負載保護] 儀表板，然後從 [進階保護] 區域選取 [自適性應用程式控制]。

   

   [自適性應用程式控制] 頁面隨即開啟，並將 VM 分組到下列索引標籤中：

   • 已設定：已定義允許清單應用程式的機器群組。 針對每個群組，設定的索引標籤會顯示：

     • 群組中的機器數目
     • 最近的警示

   • 建議：一致地執行相同應用程式，且未設定允許清單的機器群組。 建議您為這些群組啟用自適性應用程式控制。

     提示

     如果您看到前置詞為 REVIEWGROUP 的群組名稱，其中包含具有部分一致應用程式清單的機器。 適用於雲端的 Microsoft Defender 看不到模式，但建議您檢閱此群組，了解「您」是否可以手動定義一些自適性應用程式控制規則，如編輯群組的自適性應用程式控制規則中所述。

     您也可以將機器從此群組移至其他群組，如將機器從一個群組移至另一個群組中所述。

   • 無建議：沒有已定義應用程式允許清單且不支援此功能的機器。 您的電腦可能在此索引標籤中，原因如下：

     • 缺少 Log Analytics 代理程式
     • Log analytics 代理程式正在傳送事件
     • 這是一部 Windows 機器，其中具有 GPO 或本機安全性原則所啟用的現有 AppLocker 原則
     • 無法使用 AppLocker (Windows Server Core 安裝)

     提示

     適用於雲端的 Defender 至少需要兩週的資料，才能為每個機器群組定義唯一的建議。 最近建立的機器，或屬於最近僅受適用於伺服器的 Microsoft Defender 保護的訂用帳戶，會出現在 [無建議] 索引標籤底下。

2. 開啟 [建議] 索引標籤。隨即出現具有建議允許清單的機器群組。

   

3. 選取群組。

4. 若要設定您的新規則，請檢閱此 [設定應用程式控制規則] 頁面和內容的各種區段，這對於此特定機器群組而言是唯一的：

   

   1. 選取機器：根據預設，會選取已識別群組中的所有機器。 取消選取任何項目以從此規則中加以移除。

   2. 建議應用程式：檢閱此群組中機器常見且建議您允許執行的應用程式清單。

   3. 更多應用程式：檢閱此應用程式清單，這些應用程式在此群組的機器上較不常見，或已知為可利用進行攻擊的應用程式。 警告圖示會指出攻擊者可能使用特定應用程式來略過應用程式允許清單。 建議您仔細檢閱這些應用程式。

      提示

      這兩個應用程式清單都包含可將特定應用程式限制為特定使用者的選項。 盡可能採用最低權限原則。

      應用程式由其發行者定義。 如果應用程式沒有發行者資訊 (未簽署)，則會針對特定應用程式的完整路徑建立路徑規則。

   4. 若要套用規則，請選取 [稽核]。

編輯群組的自適性應用程式控制規則

您可能會因為組織中的已知變更而決定編輯機器群組的允許清單。

若要編輯機器群組的規則：

1. 開啟 [工作負載保護] 儀表板，然後從 [進階保護] 區域選取 [自適性應用程式控制]。

2. 從 [已設定] 索引標籤中，選取包含您所要編輯規則的群組。

3. 請檢閱 [設定應用程式控制規則] 頁面的各個區段，如關於機器群組中所述。

4. 選擇性地新增一或多個自訂規則：

   1. 選取新增規則。

   

   1. 如果您要定義已知的安全路徑，請將 [規則類型] 變更為 [路徑]，然後輸入單一路徑。 您可以在路徑中包含萬用字元。 下列畫面顯示如何使用萬用字元的一些範例。

      

      提示

      下列這些案例說明路徑中可能很有用的萬用字元：

      • 在路徑結尾使用萬用字元，以允許此資料夾和子資料夾中的所有可執行檔。
      • 在路徑中間使用萬用字元，可啟用其資料夾名稱不固定的已知可執行檔名稱 (例如，包含已知可執行檔的個人使用者資料夾、自動產生的資料夾名稱等等)。

   2. 定義允許的使用者和受保護的檔案類型。

   3. 當您完成定義規則之後，請選取 [新增]。

5. 若要套用變更，請選取 [儲存]。

檢閱和編輯群組的設定

1. 若要檢視群組的詳細資料和設定，請選取 [群組設定]

   此窗格會顯示群組 (可進行修改) 的名稱、OS 類型、位置和其他相關詳細資料。

   

2. 您可以選擇性地修改群組的名稱或檔案類型保護模式。

3. 依序選取 [套用] 和 [儲存]。

「必須更新自適性應用程式控制原則中的允許清單規則」建議的回應

當適用於雲端的 Defender 機器學習識別到先前未允許的潛在合法行為時，您會看到此建議。 建議為您的現有定義建議新規則，以減少誤判為真警示的數目。

若要補救問題：

1. 從 [建議] 頁面中，選取必須更新自適性應用程式控制原則中的允許清單規則建議，以查看具有新識別、可能合法行為的群組。

2. 選取具有您所要編輯規則的群組。

3. 請檢閱 [設定應用程式控制規則] 頁面的各個區段，如關於機器群組中所述。

4. 若要套用變更，請選取 [稽核]。

稽核警示和違規

1. 開啟 [工作負載保護] 儀表板，然後從 [進階保護] 區域選取 [自適性應用程式控制]。

2. 若要查看具有最近警示的機器群組，請檢閱 [設定] 索引標籤中列出的群組。

3. 若要進一步調查，請選取群組。

   

4. 如需進一步的詳細資料，以及受影響機器的清單，請選取警示。

   安全性警示頁面會顯示更多警示詳細資料，並提供 [採取動作] 連結，其中提供如何減輕威脅的建議。

   

   注意

   自適性應用程式控制每隔 12 小時計算一次事件。 安全性警示頁面中顯示的 [活動開始時間] 是自適性應用程式控制建立警示的時間，而「不」是可疑程序作用中的時間。

將機器從一個群組移至另一個群組

當您將機器從一個群組移至另一個群組時，套用其中的應用程式控制原則即變更為目標群組的設定。 您也可以將機器從已設定的群組移至未設定的群組，這會將套用至機器的任何應用程式控制規則加以移除。

1. 開啟 [工作負載保護] 儀表板，然後從 [進階保護] 區域選取 [自適性應用程式控制]。

2. 從 [自適性應用程式控制] 頁面的 [已設定] 索引標籤中，選取包含所要移動機器的群組。

3. 開啟 [已設定的機器] 清單。

4. 從資料列結尾的三個點開啟機器的功能表，然後選取 [移動]。 隨即開啟 [將機器移至不同的群組] 窗格。

5. 選取目的地群組，然後選取 [移動機器]。

6. 若要儲存變更，請選取儲存。

透過 REST API 管理應用程式控制

若要以程式設計方式管理您的自適性應用程式控制，請使用我們的 REST API。

適用於雲端的 Defender API 文件的自適性應用程式控制一節中提供相關 API 文件。

REST API 提供一些函式，包括：

• List 會擷取所有群組建議，並提供每個群組物件的 JSON。

• Get 會使用完整的建議資料 (也就是機器清單、發行者/路徑規則等等) 擷取 JSON。

• Put 會設定規則 (使用您透過 Get 擷取的 JSON 做為此要求的主體)。

  重要

  Put 函式預期比 Get 命令所傳回 JSON 包含的參數少。

  在 Put 要求中使用 JSON 之前，請先移除下列屬性：recommendationStatus、configurationStatus、issues、location 和 sourceSystem。

下一步

您已在此頁面上了解如何在適用於雲端的 Microsoft Defender 中使用自適性應用程式控制，以定義在 Azure 和非 Azure 機器上所執行應用程式的允許清單。 若要深入了解一些其他雲端工作負載保護功能，請參閱：

• 了解 Just-In-Time VM (JIT) 存取
• 保護您的 Azure Kubernetes 叢集
• 檢視自適性應用程式控制的常見問題