透過自適性網路強化來改善網路安全性狀況

  • 發行項

自適性網路強化是 適用於雲端的 Microsoft Defender 的無代理程式功能-不需要安裝在您的機器上,即可受益於此網路強化工具。

此頁面說明如何在 適用於雲端的 Defender 中設定和管理自適性網路強化。

可用性

層面 詳細資料
版本狀態: 公開上市 (GA)
定價: 需要適用於伺服器的 Microsoft Defender 方案 2
必要的角色和權限: 機器 NSG 的寫入許可權
雲端: 商業雲端
國家/省(Azure Government,由 21Vianet 營運的 Microsoft Azure)
已連線的 AWS 帳戶

什麼是自適性網路強化?

用網路安全組 (NSG) 來篩選來自資源的流量,可改善您的網路安全性狀態。 但在某些情況下,透過 NSG 傳輸的實際流量仍有可能包含在已定義的 NSG 規則中。 在這些情況下,您可以根據實際流量模式強化 NSG 規則,進一步改善安全性態勢。

自適性網路強化會提供建議來進一步強化 NSG 規則。 此功能會使用將實際流量、已知的信任設定、威脅情報和其他危害指標等因素納入考量的機器學習演算法,然後提供建議,而僅允許來自特定 IP/連接埠元組的流量。

例如,假設現有的NSG規則是允許埠 22 上的 140.20.30.10/24 流量。 根據流量分析,調適型網路強化可能會建議縮小範圍,以允許來自140.23.30.10/29的流量,並拒絕所有其他流量到該埠。 如需支援埠的完整清單,請參閱支援哪些埠的常見問題專案

  1. 從 適用於雲端的 Defender 的功能表中,開啟 [工作負載保護] 儀錶板。

  2. 選取自適性網路強化圖格 (1),或與調適型網路強化相關的深入解析面板專案 (2)。

    Accessing the adaptive network hardening tools.

    提示

    深入解析面板會顯示目前使用自適性網路強化防禦的 VM 百分比。

  3. 自適性網路強化建議的詳細數據頁面 應該套用在因特網對向虛擬機 建議上,隨即開啟,並將您的網路 VM 分組為三個索引卷標:

    • 狀況不良的資源:目前有建議和警示的 VM,這些 VM 是由執行自適性網路強化演算法所觸發。
    • 狀況良好的資源:沒有警示和建議的 VM。
    • 未掃描的資源:因為下列其中一個原因,無法執行調適型網路強化演算法的 VM:
      • VM 是傳統 VM:僅支援 Azure Resource Manager VM。
      • 數據不足:為了產生精確的流量強化建議,適用於雲端的 Defender 至少需要 30 天的流量數據。
      • VM 不受適用於伺服器的 Microsoft Defender 保護:只有受適用於伺服器的 Microsoft Defender 保護的 VM 才有資格使用此功能。

    Details page of the recommendation Adaptive network hardening recommendations should be applied on internet facing virtual machines.

  4. 從 [ 狀況不良的資源 ] 索引卷標中,選取要檢視其警示的 VM,以及要套用的建議強化規則。

    • [規則] 索引標籤會列出自適性網路強化建議新增的規則
    • [警示] 索引標籤會列出因流量而產生的警示,並流向資源,這不在建議規則中允許的IP範圍內。

  5. 選擇性地編輯規則:

  6. 選取您想要在 NSG 上套用的規則,然後選取 [ 強制執行]。

    提示

    如果允許的來源IP範圍顯示為「無」,表示建議的規則是 拒絕 規則,否則為 允許 規則。

    Managing adaptive network hardening rules.

    注意

    強制執行的規則會新增至保護 VM 的 NSG。 (VM 可由與其 NIC 相關聯的 NSG 或 VM 所在的子網或兩者所保護)

修改規則

您可能想要修改建議之規則的參數。 例如,您可能想要變更建議的IP範圍。

修改自適性網路強化規則的一些重要指導方針:

若要修改自適性網路強化規則:

  1. 若要修改規則的某些參數,請在 [規則 ] 索引標籤中,選取規則數據列結尾的三個點 (...),然後選取 [ 編輯]。

    Editing s rule.

  2. 在 [ 編輯規則] 視窗中,更新您要變更的詳細數據,然後選取 [ 儲存]。

    注意

    選取 [ 儲存] 之後,您已成功變更規則。 不過,您尚未將它套用至 NSG。 若要套用它,您必須選取清單中的規則,然後選取 [ 強制執行 ] (如下一個步驟所述)。

    Selecting Save.

  3. 若要套用更新的規則,請從清單中選取更新的規則,然後選取 [ 強制執行]。

    enforce rule.

新增規則

您可以新增 適用於雲端的 Defender 不建議的「允許」規則。

注意

這裡只能新增「允許」規則。 如果您想要新增「拒絕」規則,可以直接在 NSG 上執行此動作。 如需詳細資訊,請參閱 建立、變更或刪除網路安全組

若要新增自適性網路強化規則:

  1. 從頂端工具列中,選取 [ 新增規則]。

    add rule.

  2. 在 [ 新增規則] 視窗中,輸入詳細數據,然後選取 [ 新增]。

    注意

    選取 [ 新增] 之後,您已成功新增規則,並列出其他建議的規則。 不過,您尚未 在 NSG 上套用 它。 若要啟用它,您必須選取清單中的規則,然後選取 [ 強制執行 ] (如下一個步驟所述)。

  3. 若要套用新規則,請從清單中選取新規則,然後選取 [ 強制執行]。

    enforce rule.

刪除規則

必要時,您可以刪除目前會話的建議規則。 例如,您可能會判斷套用建議的規則可能會封鎖合法的流量。

若要刪除目前會話的自適性網路強化規則:

  • 在 [ 規則] 索引標籤中,選取規則數據列結尾的三個點 (...),然後選取 [ 刪除]。

    Deleting a rule.

後續步驟