Share via

Aktivieren und Verwalten von adaptiven Anwendungssteuerungen

  • Artikel

Die adaptiven Anwendungssteuerungen von Microsoft Defender for Cloud bieten eine datengesteuerte, intelligente, automatisierte Lösung, die Ihre Sicherheit durch die Definition von Positivlisten sicherer Anwendungen für Ihre Computer verbessert. Mit dieser Funktion können Organisationen Sammlungen von Computern verwalten, die routinemäßig dieselben Prozesse ausführen. Mithilfe von maschinellem Lernen kann Microsoft Defender for Cloud die auf Ihren Computern ausgeführten Anwendungen analysieren und eine Liste bekanntermaßen sicherer Software erstellen. Diese Positivlisten basieren auf Ihren spezifischen Azure-Workloads. Mit den Anweisungen auf dieser Seite können Sie die Empfehlungen weiter anpassen.

Für einer Gruppe von Computern

Wenn Microsoft Defender für Cloud Gruppen von Computern in Ihren Abonnements identifiziert hat, die konsistent einen ähnlichen Menge an Anwendungen ausführen, erhalten Sie die folgende Empfehlung: Die adaptive Anwendungssteuerung zum Definieren sicherer Anwendungen sollten auf Ihren Computern aktiviert werden.

Wählen Sie die Empfehlung aus, oder öffnen Sie die Seite der adaptiven Anwendungssteuerung, um die Liste der empfohlenen, bekannten sicheren Anwendungen und Gruppen von Computern anzuzeigen.

  1. Öffnen Sie das Workloadschutz-Dashboard, und wählen Sie im Bereich „Erweiterter Schutz“ die Option Adaptive Anwendungssteuerung aus.

    Screenshot showing opening adaptive application controls from the Azure Dashboard.

    Die Seite Adaptive Anwendungssteuerung wird geöffnet, auf der Ihre VMs auf den folgenden Registerkarten gruppiert sind:

    • Konfiguriert: Gruppen von Computern, für die es bereits eine definierte Zulassungsliste von Anwendungen gibt. Für jede Gruppe zeigt die konfigurierte Registerkarte Folgendes an:

      • die Anzahl von Computern in der Gruppe
      • letzte Warnungen

    • Empfohlen: Gruppen von Computern, auf denen die gleichen Anwendungen konsistent ausgeführt werden und für die keine Zulassungsliste konfiguriert wurde. Sie sollten die adaptive Anwendungssteuerung für diese Gruppen zu aktivieren.

      Tipp

      Wenn Sie einen Gruppennamen mit dem Präfix REVIEWGROUP sehen, enthält er Rechner mit einer teilweise konsistenten Liste von Anwendungen. Microsoft Defender for Cloud kann kein Muster erkennen, empfiehlt aber, diese Gruppe zu überprüfen, um festzustellen, ob Sie manuell einige Regeln für die adaptive Anwendungssteuerung definieren können. Dies wird in Bearbeiten der Regeln für die adaptive Anwendungssteuerung einer Gruppe beschrieben.

      Sie können auch Computer aus dieser Gruppe in andere Gruppen verschieben, wie in Verschieben eines Computers aus einer Gruppe in eine andere beschrieben.

    • Keine Empfehlung: Computer ohne eine definierte Zulassungsliste von Anwendungen und die das Feature nicht unterstützen. Ihr Computer befindet sich aus folgenden Gründen möglicherweise auf dieser Registerkarte:

      • Ein Log Analytics-Agent fehlt.
      • Der Log Analytics-Agent sendet keine Ereignisse.
      • Es handelt sich um einen Windows-Computer mit einer bereits vorhandenen AppLocker-Richtlinie, die entweder durch ein Gruppenrichtlinienobjekt oder eine lokale Sicherheitsrichtlinie aktiviert ist.
      • AppLocker ist nicht verfügbar (Windows Server Core-Installationen)

      Tipp

      Defender für Cloud benötigt mindestens die Daten von zwei Wochen, um die eindeutigen Empfehlungen pro Gruppe von Computern zu definieren. Computer, die vor kurzem erstellt wurden oder zu Abonnements gehören, die erst kürzlich mit Microsoft Defender für Server geschützt wurden, werden unter der Registerkarte Keine Empfehlung angezeigt.

  2. Öffnen Sie die Registerkarte Empfohlen. Es werden die Computergruppen mit empfohlenen Positivlisten angezeigt.

    Screenshot that shows you where on the screen the recommendation tab is.

  3. Wählen Sie eine Gruppe aus.

  4. Um die neue Regel zu konfigurieren, überprüfen Sie die verschiedenen Abschnitte dieser Seite Konfigurieren von Regeln zur Anwendungssteuerung und der Inhalte, die für diese bestimmte Gruppe von Computern eindeutig sein werden:

    Screenshot that shows you the order you need to follow to configure application control rules in the portal.

    1. Computer auswählen: Standardmäßig werden alle Computer in der identifizierten Gruppe ausgewählt. Heben Sie die Auswahl von Computern auf, die Sie von dieser Regel ausnehmen möchten.

    2. Empfohlene Anwendungen: Lesen Sie diese Liste mit Anwendungen, die auf den Computern in dieser Gruppe gängig sind, und für die ein Zulassen der Ausführung empfohlen wird.

    3. Weitere Anwendungen: Überprüfen Sie diese Liste von Anwendungen, die auf den Computern innerhalb dieser Gruppe entweder seltener vorkommen, oder die als nutzbar bekannt sind. Ein Warnsymbol gibt an, dass eine bestimmte Anwendung von einem Angreifer zur Umgehung einer Anwendungszulassungsliste verwendet werden könnte. Sie sollten diese Anwendungen sorgfältig überprüfen.

      Tipp

      Beide Anwendungslisten enthalten die Option, eine bestimmte Anwendung auf bestimmte Benutzer zu beschränken. Wenden Sie nach Möglichkeit das Prinzip der geringsten Berechtigungen an.

      Anwendungen werden von ihren Herausgebern definiert. Wenn eine Anwendung keine Informationen über den Herausgeber aufweist (nicht signiert ist), wird eine Pfadregel für den vollständigen Pfad der jeweiligen Anwendung erstellt.

    4. Wählen Sie Überwachung aus, um die Regel anzuwenden.

Bearbeiten der Regeln für die adaptive Anwendungssteuerung einer Gruppe

Aufgrund bekannter Änderungen in Ihrer Organisation können Sie die Zulassungsliste für eine Gruppe von Computern bearbeiten.

So bearbeiten Sie die Regeln für eine Gruppe von Computern:

  1. Öffnen Sie das Workloadschutz-Dashboard, und wählen Sie im Bereich „Erweiterter Schutz“ die Option Adaptive Anwendungssteuerung aus.

  2. Wählen Sie auf der Registerkarte Konfiguriert die Gruppe mit der Regel aus, die Sie bearbeiten möchten.

  3. Lesen Sie die verschiedenen Abschnitte der Seite Konfigurieren von Regeln zur Anwendungssteuerung, wie unter Für eine Gruppe von Computern beschrieben.

  4. Fügen Sie optional eine oder mehrere benutzerdefinierte Regeln hinzu:

    1. Wählen Sie Regel hinzufügen aus.

    Screenshot that shows you where the add rule button is located.

    1. Falls Sie einen bekannten sicheren Pfad definieren, ändern Sie den Regeltyp in „Pfad“, und geben Sie einen einzelnen Pfad ein. Sie können Platzhalter in den Pfad einschließen. Die folgenden Bildschirme zeigen einige Beispiele für die Verwendung von Platzhaltern.

      Screenshot that shows examples of using wildcards.

      Tipp

      Einige Szenarien, in denen Platzhalter in einem Pfad nützlich sein können:

      • Verwenden eines Platzhalters am Ende eines Pfads, um alle ausführbaren Dateien in diesem Ordner und Unterordnern zuzulassen.
      • Verwenden eines Platzhalters in der Mitte eines Pfads zum Aktivieren des Namens einer bekannten ausführbaren Datei mit einem sich ändernden Ordnernamen (z. B. persönliche Benutzerordner mit einer bekannten ausführbaren Datei, automatisch generierte Ordnernamen usw.).

    2. Definieren Sie die zulässigen Benutzer und die geschützten Dateitypen.

    3. Wenn Sie die Regel definiert haben, wählen Sie Hinzufügen aus.

  5. Wählen Sie Speichern aus, um die Änderungen zu übernehmen.

Überprüfen und Bearbeiten der Einstellungen einer Gruppe

  1. Zum Anzeigen der Details und Einstellungen Ihrer Gruppe wählen Sie Gruppeneinstellungen aus.

    In diesem Bereich werden der Name der Gruppe (der geändert werden kann), der Betriebssystemtyp, der Standort und andere relevante Details angezeigt.

    Screenshot showing the group settings page for adaptive application controls.

  2. Ändern Sie optional den Namen der Gruppe oder den jeweiligen Schutzmodus für Dateitypen.

  3. Wählen Sie Anwenden und dann Speichern aus.

Antwort auf die Empfehlung „Zulassungslistenregeln in der Richtlinie für die adaptive Anwendungssteuerung müssen aktualisiert werden“

Diese Empfehlung wird angezeigt, wenn das maschinelle Lernen von Defender für Cloud ein potenziell legitimes Verhalten identifiziert, das bisher noch nicht zugelassen wurde. Die Empfehlung schlägt neue Regeln für vorhandene Definitionen vor, um die Anzahl der falsch positiven Warnungen zu reduzieren.

So beheben Sie die Probleme:

  1. Wählen Sie auf der Empfehlungenseite die Empfehlung Zulassungslistenregeln in der Richtlinie für die adaptive Anwendungssteuerung müssen aktualisiert werden, um Gruppen mit neu identifizierten, potenziell legitimen Verhalten anzuzeigen.

  2. Wählen Sie die Gruppe mit der Regel aus, die Sie bearbeiten möchten.

  3. Lesen Sie die verschiedenen Abschnitte der Seite Konfigurieren von Regeln zur Anwendungssteuerung, wie unter Für eine Gruppe von Computern beschrieben.

  4. Wählen Sie Überwachung aus, um die Änderungen zu übernehmen.

Überwachen von Warnungen und Verstößen

  1. Öffnen Sie das Workloadschutz-Dashboard, und wählen Sie im Bereich „Erweiterter Schutz“ die Option Adaptive Anwendungssteuerung aus.

  2. Wenn Sie Gruppen mit Computern anzeigen möchten, bei denen kürzlich Warnungen aufgetreten sind, überprüfen Sie die auf der Registerkarte Konfiguriert aufgelisteten Gruppen.

  3. Wählen Sie eine Gruppe zur weiteren Untersuchung aus.

    Screenshot showing recent alerts in Configured tab.

  4. Wählen Sie eine Warnung aus, um weitere Informationen und die Liste der betroffenen Computer zu erhalten.

    Auf der Seite „Sicherheitswarnungen“ werden weitere Details zu den Warnungen angezeigt, und es wird ein Link Maßnahme ergreifen mit Empfehlungen zur Entschärfung der Bedrohung angezeigt.

    Screenshot of the start time of adaptive application controls alerts showing that the time is when adaptive application controls created the alert.

    Hinweis

    „Adaptive Anwendungssteuerungen“ berechnet Ereignisse einmal alle zwölf Stunden. Die auf der Seite „Sicherheitswarnungen“ angezeigte „Startzeit der Aktivität" ist der Zeitpunkt, zu dem die adaptiven Anwendungssteuerungen die Warnung generiert haben, und nicht der Zeitpunkt, zu dem der verdächtige Prozess aktiv war.

Verschieben eines Computers aus einer Gruppe in eine andere

Wenn Sie einen Computer aus einer Gruppe in eine andere Gruppen verschieben, ändert sich die angewandte Anwendungssteuerungsrichtlinie in die Einstellungen der Gruppe, in die die Verschiebung erfolgt. Sie können einen Computer auch aus einer konfigurierten Gruppe in eine nicht konfigurierte Gruppe verschieben. Dadurch werden alle auf den Computer angewendeten Anwendungssteuerungsregeln entfernt.

  1. Öffnen Sie das Workloadschutz-Dashboard, und wählen Sie im Bereich „Erweiterter Schutz“ die Option Adaptive Anwendungssteuerung aus.

  2. Wählen Sie auf der Seite Adaptive Anwendungssteuerung auf der Registerkarte Konfiguriert die Gruppe aus, die den Computer enthält, der verschoben werden soll.

  3. Öffnen Sie die Liste Konfigurierte Computer.

  4. Öffnen Sie das Menü des Computers über die drei Punkte am Ende der Zeile, und wählen Sie Verschieben aus. Der Bereich Computer in eine andere Gruppe verschieben wird geöffnet.

  5. Wählen Sie die Zielgruppe und dann Computer verschieben aus.

  6. Wählen Sie zum Speichern der Änderungen Speichern aus.

Verwalten der Anwendungssteuerung über die REST-API

Verwenden Sie die REST-API, um Ihre adaptive Anwendungssteuerung programmgesteuert zu verwalten.

Die entsprechende API-Dokumentation ist im Abschnitt „Adaptive Anwendungssteuerung“ in den API-Dokumenten für Defender für Cloud verfügbar.

Über die REST-API stehen Ihnen u. a. folgende Funktionen zur Verfügung:

  • List: Ruft alle Ihre Gruppenempfehlungen ab und stellt einen JSON-Code mit einem Objekt für jede Gruppe bereit.

  • Get: Ruft den JSON-Code mit den vollständigen Empfehlungsdaten (d. h. Liste von Computern, Herausgeber-/Pfadregeln usw.) ab.

  • Put: Konfiguriert Ihre Regel (verwenden Sie den JSON-Code, den Sie mit Get abgerufen haben, als Text für diese Anforderung).

    Wichtig

    Die Put-Funktion erwartet weniger Parameter als der vom Get-Befehl zurückgegebene JSON-Code enthält.

    Entfernen Sie die folgenden Eigenschaften, bevor Sie den JSON-Code in der Put-Anforderung verwenden: recommendationStatus, configurationStatus, issues, location, sourceSystem.

Zugehöriger Inhalt

Auf dieser Seite haben Sie erfahren, wie Sie mithilfe der adaptiven Anwendungssteuerung in Microsoft Defender für Cloud Zulassungslisten von Anwendungen definieren können, die auf Azure- und Nicht-Azure-Computern ausgeführt werden. Weitere Informationen zu anderen Cloudworkload-Schutzfeatures finden Sie unter: