A hálózati biztonsági állapotának javítása adaptív hálózatmegerősítéssel

  • Cikk

Az adaptív hálózatmegerősítés a Felhőhöz készült Microsoft Defender ügynök nélküli funkciója – a hálózatmegerősítő eszköz használatához semmit sem kell telepíteni a gépekre.

Ez a lap bemutatja, hogyan konfigurálhatja és kezelheti az adaptív hálózatmegerősítést Felhőhöz készült Defender.

Elérhetőség

Szempont Részletek
Kiadási állapot: Általános rendelkezésre állás (GA)
Díjszabás: A Microsoft Defender for Servers 2. csomagjának megköveteléséhez
Szükséges szerepkörök és engedélyek: Írási engedélyek a gép NSG-jén
Felhők: Kereskedelmi felhők
National (Azure Government, Microsoft Azure által üzemeltetett 21Vianet)
Csatlakozás AWS-fiókok

Mi az adaptív hálózatmegerősítés?

A hálózati biztonsági csoportok (NSG) alkalmazása az erőforrások felé és onnan érkező forgalom szűrésére, javítja a hálózati biztonsági helyzet állapotát. Vannak azonban olyan esetek, amikor az NSG-n áthaladó tényleges forgalom a definiált NSG-szabályok részhalmaza. Ezekben az esetekben a biztonsági helyzet további javítása az NSG-szabályok a tényleges forgalmi minták alapján történő megerősítésével érhető el.

Az adaptív hálózatmegerősítés javaslatokat tesz az NSG-szabályok további keményítésére. Egy olyan gépi tanulási algoritmust használ, amely figyelembe veszi a tényleges forgalmat, az ismert megbízható konfigurációt, a fenyegetésekkel kapcsolatos információkat és a biztonsági incidensekkel kapcsolatos egyéb tényezőket, majd javaslatokat biztosít arra vonatkozóan, hogy csak bizonyos IP-/portrekordokból származó forgalmat engedélyezzen.

Tegyük fel például, hogy a meglévő NSG-szabály engedélyezi a 140.20.30.10/24-ről érkező forgalmat a 22-s porton. A forgalomelemzés alapján az adaptív hálózatmegerősítés javasolhatja a tartomány szűkítését, hogy a forgalom 140.23.30.10/29-től engedélyezve legyen, és tiltsa le az adott portra érkező összes többi forgalmat. A támogatott portok teljes listájáért tekintse meg a gyakori kérdéseket a Melyik portok támogatottak? című témakört.

  1. A Felhőhöz készült Defender menüjében nyissa meg a Számítási feladatok védelme irányítópultot.

  2. Válassza ki az adaptív hálózatmegerősítés csempét (1), vagy az adaptív hálózatmegerősítéshez kapcsolódó elemzési panelelemet (2).

    Accessing the adaptive network hardening tools.

    Tipp.

    Az Elemzések panel a jelenleg adaptív hálózatmegerősítéssel védett virtuális gépek százalékos arányát mutatja.

  3. Megnyílik az adaptív hálózatmegerősítési javaslatok részletes lapja az internettel rendelkező virtuális gépekre vonatkozó javaslatra, és a hálózati virtuális gépek három lapra lesznek csoportosítva:

    • Nem kifogástalan erőforrások: azok a virtuális gépek, amelyek jelenleg ajánlásokkal és riasztásokkal rendelkeznek, amelyeket az adaptív hálózati megkeményítő algoritmus futtatásával aktiváltak.
    • Kifogástalan erőforrások: riasztások és javaslatok nélküli virtuális gépek.
    • Be nem vizsgált erőforrások: Az adaptív hálózatmegerősítési algoritmus által nem futtatható virtuális gépek az alábbi okok valamelyike miatt:
      • A virtuális gépek klasszikus virtuális gépek: Csak az Azure Resource Manager virtuális gépek támogatottak.
      • Nem áll rendelkezésre elegendő adat: A forgalom pontos korlátozására vonatkozó javaslatok létrehozásához Felhőhöz készült Defender legalább 30 napos adatforgalmat igényel.
      • A virtuális gépet nem védi a Microsoft Defender a kiszolgálókhoz: Csak a Microsoft Defender for Serversrel védett virtuális gépek jogosultak erre a funkcióra.

    Details page of the recommendation Adaptive network hardening recommendations should be applied on internet facing virtual machines.

  4. A Nem kifogástalan erőforrások lapon válasszon ki egy virtuális gépet a riasztások és az alkalmazáshoz javasolt keményítési szabályok megtekintéséhez.

    • A Szabályok lap felsorolja azokat a szabályokat, amelyeket az adaptív hálózatmegerősítés javasolt
    • A Riasztások lap felsorolja azokat a riasztásokat, amelyeket forgalom miatt hoztak létre, és amelyek az erőforrásba áramlanak, és amelyek nem tartoznak az ajánlott szabályokban engedélyezett IP-tartományba.

  5. Igény szerint szerkessze a szabályokat:

  6. Jelölje ki az NSG-n alkalmazni kívánt szabályokat, és válassza a Kényszerítés lehetőséget.

    Tipp.

    Ha az engedélyezett forrás IP-tartományok "Nincs" értékként jelennek meg, az azt jelenti, hogy az ajánlott szabály egy megtagadási szabály, ellenkező esetben ez egy engedélyezési szabály.

    Managing adaptive network hardening rules.

    Feljegyzés

    A rendszer hozzáadja a kényszerített szabályokat a virtuális gépet védő NSG-khez. (A virtuális gépeket védheti egy hálózati adapterhez társított NSG, vagy az alhálózat, amelyben a virtuális gép található, vagy mindkettő)

Szabály módosítása

Érdemes lehet módosítani egy ajánlott szabály paramétereit. Előfordulhat például, hogy módosítani szeretné az ajánlott IP-címtartományokat.

Néhány fontos irányelv az adaptív hálózatmegerősítési szabály módosításához:

  • Nem módosíthatja, hogy a szabályok megtagadási szabályokká váljanak.

  • Csak az engedélyezési szabályok paraméterei módosíthatók.

    A "megtagadási" szabályok létrehozása és módosítása közvetlenül az NSG-n történik. További információ: Hálózati biztonsági csoport létrehozása, módosítása vagy törlése.

  • Az összes forgalmi szabály megtagadása az itt felsorolt "megtagadási" szabály egyetlen típusa, és nem módosítható. Törölheti azonban (lásd : Szabály törlése). Az ilyen típusú szabályokról a Gyakori kérdések című bejegyzésből tájékozódhat: Mikor érdemes a "Minden forgalom megtagadása" szabályt használni?

Adaptív hálózatmegerősítési szabály módosítása:

  1. Egy szabály egyes paramétereinek módosításához a Szabályok lapon válassza ki a szabály sorának végén található három pont (...) elemet, és válassza a Szerkesztés lehetőséget.

    Editing s rule.

  2. A Szabály szerkesztése ablakban frissítse a módosítani kívánt adatokat, és válassza a Mentés lehetőséget.

    Feljegyzés

    A Mentés lehetőség kiválasztása után sikeresen módosította a szabályt. Ezt azonban nem alkalmazta az NSG-n. Az alkalmazáshoz ki kell választania a szabályt a listában, majd a Kényszerítés elemet (a következő lépésben leírtak szerint).

    Selecting Save.

  3. A frissített szabály alkalmazásához a listából válassza ki a frissített szabályt, és válassza a Kényszerítés lehetőséget.

    enforce rule.

Új szabály hozzáadása

Hozzáadhat egy "engedélyezés" szabályt, amelyet Felhőhöz készült Defender nem ajánlott.

Feljegyzés

Itt csak az "engedélyezés" szabályok vehetők fel. Ha "megtagadási" szabályokat szeretne hozzáadni, ezt közvetlenül az NSG-n teheti meg. További információ: Hálózati biztonsági csoport létrehozása, módosítása vagy törlése.

Adaptív hálózatmegerősítési szabály hozzáadása:

  1. A felső eszköztáron válassza a Szabály hozzáadása lehetőséget.

    add rule.

  2. Az Új szabály ablakban adja meg a részleteket, és válassza a Hozzáadás lehetőséget.

    Feljegyzés

    A Hozzáadás lehetőség kiválasztása után sikeresen hozzáadta a szabályt, és a többi ajánlott szabályt is tartalmazza. Ezt azonban nem alkalmazta az NSG-n. Az aktiváláshoz ki kell választania a szabályt a listában, majd a Kényszerítés lehetőséget (a következő lépésben leírtak szerint).

  3. Az új szabály alkalmazásához a listából válassza ki az új szabályt, és válassza a Kényszerítés lehetőséget.

    enforce rule.

Szabály törlése

Szükség esetén törölheti az aktuális munkamenethez javasolt szabályt. Megállapíthatja például, hogy a javasolt szabály alkalmazása blokkolhatja a jogszerű forgalmat.

Adaptív hálózatmegerősítési szabály törlése az aktuális munkamenethez:

  • A Szabályok lapon jelölje ki a szabály sorának végén található három elemet (...), és válassza a Törlés lehetőséget.

    Deleting a rule.

Következő lépés