Vylepšení stavu zabezpečení sítě díky adaptivnímu posilování zabezpečení sítě

Adaptivní posílení zabezpečení sítě je funkce Microsoft Defenderu for Cloud bez agentů – na počítačích není potřeba nic instalovat, aby bylo možné využívat výhod tohoto nástroje pro posílení zabezpečení sítě.

Tato stránka vysvětluje, jak nakonfigurovat a spravovat adaptivní posílení zabezpečení sítě v programu Defender for Cloud.

Dostupnost

Aspekt Podrobnosti
Stav vydání: Všeobecná dostupnost (GA)
Stanovení cen: Vyžaduje Program Microsoft Defender for Servers Plan 2.
Požadované role a oprávnění: Oprávnění k zápisu do skupin zabezpečení sítě počítače
Mraky: Komerční cloudy
National (Azure Government, Azure China 21Vianet)
Připojené účty AWS

Co je adaptivní posílení zabezpečení sítě?

Použití skupin zabezpečení sítě (NSG) k filtrování provozu do a z prostředků zlepšuje stav zabezpečení sítě. Stále však může existovat několik případů, kdy skutečný provoz procházející skupinou zabezpečení sítě je podmnožinou definovaných pravidel skupiny zabezpečení sítě. V těchto případech je možné dále zlepšit stav zabezpečení posílením pravidel skupiny zabezpečení sítě na základě skutečných vzorů provozu.

Adaptivní posílení zabezpečení sítě poskytuje doporučení pro další posílení pravidel skupiny zabezpečení sítě. Používá algoritmus strojového učení, který bere v úvahu skutečný provoz, známou důvěryhodnou konfiguraci, analýzu hrozeb a další indikátory ohrožení a pak poskytuje doporučení k tomu, aby se provoz povolil jenom z konkrétních řazených kolekcí IP/portů.

Řekněme například, že stávající pravidlo skupiny zabezpečení sítě umožňuje provoz z 140.20.30.10/24 na portu 22. Na základě analýzy provozu může adaptivní posílení zabezpečení sítě doporučit zužování rozsahu tak, aby umožňoval provoz z 140.23.30.10/29 a odepře veškerý ostatní provoz na tento port. Úplný seznam podporovaných portů najdete v části Nejčastější dotazy, které porty jsou podporované?

  1. V nabídce Defenderu pro cloud otevřete řídicí panel Ochrany úloh .

  2. Vyberte dlaždici adaptivního posílení zabezpečení sítě (1) nebo položku panelu přehledů související s adaptivním posílením zabezpečení sítě (2).

    Přístup k nástrojům adaptivního posílení zabezpečení sítě

    Tip

    Na panelu přehledů se zobrazuje procento vašich virtuálních počítačů, které jsou aktuálně chráněny adaptivním posílením zabezpečení sítě.

  3. Na internetových virtuálních počítačích, které jsou seskupené na třech kartách, by se měla použít stránka s podrobnostmi doporučení pro adaptivní posílení zabezpečení sítě:

    • Prostředky, které nejsou v pořádku: Virtuální počítače, které aktuálně obsahují doporučení a výstrahy aktivované spuštěním algoritmu adaptivního posílení zabezpečení sítě.
    • Prostředky, které jsou v pořádku: Virtuální počítače bez upozornění a doporučení
    • Neskenované prostředky: Virtuální počítače, na kterých nejde spustit algoritmus adaptivního posílení zabezpečení sítě, z jednoho z následujících důvodů:
      • Virtuální počítače jsou klasické virtuální počítače: Podporují se jenom virtuální počítače Azure Resource Manager.
      • Nedostatek dat je k dispozici: Aby bylo možné generovat přesná doporučení pro posílení provozu, vyžaduje Defender pro cloud aspoň 30 dnů dat o provozu.
      • Virtuální počítač není chráněný programem Microsoft Defender pro servery: K této funkci mají nárok jenom virtuální počítače chráněné pomocí programu Microsoft Defender pro servery .

    Na internetových virtuálních počítačích by se měla použít stránka s podrobnostmi o doporučení adaptivního posílení zabezpečení sítě.

  4. Na kartě Prostředky, které nejsou v pořádku , vyberte virtuální počítač, abyste zobrazili upozornění a doporučená pravidla posílení zabezpečení, která se mají použít.

    • Na kartě Pravidla jsou uvedena pravidla, která adaptivní posílení zabezpečení sítě doporučuje přidat.
    • Na kartě Výstrahy jsou uvedeny výstrahy vygenerované z důvodu provozu a tok do prostředku, který není v rozsahu IP adres povolených v doporučených pravidlech.
  5. Volitelně upravte pravidla:

  6. Vyberte pravidla, která chcete použít ve skupině zabezpečení sítě, a vyberte Vynutit.

    Tip

    Pokud se povolené rozsahy zdrojových IP adres zobrazují jako Žádné, znamená to, že doporučené pravidlo je pravidlo zamítnutí, jinak se jedná o pravidlo povolení .

    Správa pravidel adaptivního posílení zabezpečení sítě

    Poznámka

    Vynucená pravidla se přidají do skupin zabezpečení sítě, které chrání virtuální počítač. (Virtuální počítač může být chráněný skupinou zabezpečení sítě, která je přidružená k jeho síťové kartě, nebo podsítí, ve které se virtuální počítač nachází, nebo obojí)

Úprava pravidla

Možná budete chtít upravit parametry pravidla, které bylo doporučeno. Můžete například chtít změnit doporučené rozsahy IP adres.

Některé důležité pokyny pro úpravu pravidla adaptivního posílení zabezpečení sítě:

Úprava pravidla adaptivního posílení zabezpečení sítě:

  1. Pokud chcete upravit některé parametry pravidla, vyberte na kartě Pravidla tři tečky (...) na konci řádku pravidla a vyberte Upravit.

    Pravidlo úprav

  2. V okně Upravit pravidlo aktualizujte podrobnosti, které chcete změnit, a vyberte Uložit.

    Poznámka

    Po výběru možnosti Uložit jste pravidlo úspěšně změnili. V této skupině zabezpečení sítě jste ho ale nepoužili. Pokud ho chcete použít, musíte vybrat pravidlo v seznamu a vybrat Vynutit (jak je vysvětleno v dalším kroku).

    Výběr možnosti Uložit

  3. Pokud chcete aktualizované pravidlo použít, vyberte v seznamu aktualizované pravidlo a vyberte Vynutit.

    vynucovat pravidlo.

Přidání nového pravidla

Můžete přidat pravidlo "allow", které program Defender pro cloud nedoporučuje.

Poznámka

Sem lze přidat pouze pravidla "allow". Pokud chcete přidat pravidla odepření, můžete to udělat přímo na skupině zabezpečení sítě. Další informace najdete v tématu Vytvoření, změna nebo odstranění skupiny zabezpečení sítě.

Přidání pravidla adaptivního posílení zabezpečení sítě:

  1. Na horním panelu nástrojů vyberte Přidat pravidlo.

    přidat pravidlo.

  2. V okně Nové pravidlo zadejte podrobnosti a vyberte Přidat.

    Poznámka

    Po výběru možnosti Přidat jste pravidlo úspěšně přidali a zobrazí se s dalšími doporučenými pravidly. V této skupině zabezpečení sítě jste ho ale nepoužili . Pokud ho chcete aktivovat, musíte vybrat pravidlo v seznamu a vybrat Vynutit (jak je vysvětleno v dalším kroku).

  3. Pokud chcete nové pravidlo použít, vyberte v seznamu nové pravidlo a vyberte Vynutit.

    vynucovat pravidlo.

Odstranění pravidla

V případě potřeby můžete odstranit doporučené pravidlo pro aktuální relaci. Můžete například určit, že použití navrhovaného pravidla může blokovat legitimní provoz.

Odstranění pravidla adaptivního posílení zabezpečení sítě pro aktuální relaci:

  • Na kartě Pravidla vyberte tři tečky (...) na konci řádku pravidla a vyberte Odstranit.

    Odstranění pravidla

Nejčastější dotazy – Adaptivní posílení zabezpečení sítě

Které porty jsou podporované?

Doporučení adaptivního posílení zabezpečení sítě se podporují jenom na následujících konkrétních portech (pro UDP i TCP):

13, 17, 19, 22, 23, 53, 69, 81, 111, 119, 123, 135, 137, 138, 139, 161, 162, 389, 445, 512, 514, 593, 636, 873, 1433, 1434, 1900, 2049, 2301, 2323, 2381, 3268, 3306, 3389, 4333, 5353, 5432, 5555, 5800, 5900, 5900, 5985, 5986, 6379, 6379, 7000, 7001, 7199, 8081, 8089, 8545, 9042, 9160, 9300, 11211, 16379, 26379, 27017, 37215

Vyžadují se nějaké požadavky nebo rozšíření virtuálních počítačů pro adaptivní posílení zabezpečení sítě?

Adaptivní posílení zabezpečení sítě je funkce Microsoft Defenderu for Cloud bez agentů – na počítačích není potřeba nic instalovat, aby bylo možné využívat výhod tohoto nástroje pro posílení zabezpečení sítě.

Kdy mám použít pravidlo Odepřít veškerý provoz?

Pravidlo odepření veškerého provozu se doporučuje, když program Defender for Cloud v důsledku spuštění algoritmu neidentifikuje provoz, který by měl být povolený na základě stávající konfigurace skupiny zabezpečení sítě. Proto doporučujeme zakázat veškerý provoz na zadaný port. Název tohoto typu pravidla se zobrazí jako "Systém vygenerovaný". Po vynucení tohoto pravidla bude jeho skutečný název ve skupině zabezpečení sítě řetězec, který se skládá z protokolu, směru provozu, "DENY" a náhodného čísla.