Adaptív alkalmazásvezérlők használata a gépek támadási felületének csökkentéséhez

Megismerheti a felhő adaptív alkalmazásvezérlőinek Microsoft Defender előnyeit, és megtudhatja, hogyan növelheti a biztonságot ezzel az adatvezérelt, intelligens funkcióval.

Mik azok az adaptív alkalmazásvezérlők?

Az adaptív alkalmazásvezérlők intelligens és automatizált megoldást jelentenek az ismert biztonságos alkalmazások engedélyezési listájának meghatározására a gépeken.

A szervezetek gyakran rendelkeznek olyan gépgyűjteményekkel, amelyek rendszeresen ugyanazokat a folyamatokat futtatják. Microsoft Defender a Felhőhöz gépi tanulást használ a gépeken futó alkalmazások elemzéséhez és az ismert biztonságos szoftverek listájának létrehozásához. Az engedélyezési listák az Adott Azure-beli számítási feladatokon alapulnak, és az alábbi utasítások segítségével tovább testre szabhatja a javaslatokat.

Ha engedélyezte és konfigurálta az adaptív alkalmazásvezérlőket, biztonsági riasztásokat kap, ha bármelyik alkalmazás a biztonságosként definiálttól eltérően fut.

Mik az adaptív alkalmazásvezérlők előnyei?

Az ismert biztonságos alkalmazások listáinak definiálásával és riasztások létrehozásával, ha bármi más végrehajtása történik, több felügyeleti és megfelelőségi célt is elérhet:

  • Azonosítsa a potenciális kártevőket, még azokat is, amelyeket a kártevőirtó megoldások kihagyhatnak
  • A csak licencelt szoftverek használatát diktáló helyi biztonsági szabályzatoknak való megfelelés javítása
  • Az alkalmazások elavult vagy nem támogatott verzióinak azonosítása
  • Azonosítsa a szervezet által tiltott, de mégis a gépeken futó szoftvereket
  • A bizalmas adatokhoz hozzáférő alkalmazások felügyeletének növelése

Jelenleg nem érhetők el kényszerítési lehetőségek. Az adaptív alkalmazásvezérlők biztonsági riasztásokat biztosítanak, ha bármely alkalmazás a biztonságosként definiáltaktól eltérően fut.

Rendelkezésre állás

Szempont Részletek
Kiadási állapot: Általános rendelkezésre állás (GA)
Árképzés: A 2. csomaghoz Microsoft Defender szükséges
Támogatott gépek: Windowst és Linuxot futtató Azure-beli és nem Azure-beli gépek
Azure Arc-gépek
Szükséges szerepkörök és engedélyek: A biztonsági olvasó és az olvasó szerepkör egyaránt megtekintheti a csoportokat és az ismert biztonságos alkalmazások listáját
A közreműködői és biztonsági Rendszergazda szerepkörök szerkeszthetik a csoportokat és az ismert biztonságos alkalmazások listáját
Felhők: Kereskedelmi felhők
Nemzeti (Azure Government, Azure China 21Vianet)
Csatlakoztatott AWS-fiókok

Alkalmazásvezérlők engedélyezése egy gépcsoporton

Ha Microsoft Defender a felhőhöz olyan gépcsoportokat azonosított az előfizetéseiben, amelyek folyamatosan hasonló alkalmazáskészletet futtatnak, a rendszer a következő javaslatot fogja kérni: A biztonságos alkalmazások meghatározásához szükséges adaptív alkalmazásvezérlőket engedélyezni kell a gépeken.

Válassza ki a javaslatot, vagy nyissa meg az adaptív alkalmazásvezérlők oldalt a javasolt ismert biztonságos alkalmazások és gépcsoportok listájának megtekintéséhez.

  1. Nyissa meg a Számítási feladatok védelme irányítópultot, és a speciális védelmi területen válassza az Adaptív alkalmazásvezérlők lehetőséget.

    Adaptív alkalmazásvezérlők megnyitása az Azure-irányítópultról.

    Megnyílik az Adaptív alkalmazásvezérlők lap, amelyen a virtuális gépek a következő lapokba lesznek csoportosítva:

    • Konfigurálva – Olyan gépek csoportjai, amelyek már rendelkeznek az alkalmazások meghatározott engedélyezési listájával. Minden csoporthoz a konfigurált lap a következőket jeleníti meg:

      • a csoportban lévő gépek száma
      • legutóbbi riasztások
    • Ajánlott – Olyan gépek csoportjai, amelyek folyamatosan ugyanazokat az alkalmazásokat futtatják, és nincsenek konfigurálva engedélyezési listák. Javasoljuk, hogy engedélyezze az adaptív alkalmazásvezérlőket ezekhez a csoportokhoz.

      Tipp

      Ha megjelenik egy csoportnév a "REVIEWGROUP" előtaggal, az az alkalmazások részlegesen konzisztens listáját tartalmazó gépeket tartalmaz. Microsoft Defender a Felhőhöz nem lát mintát, de azt javasolja, hogy tekintse át ezt a csoportot, és ellenőrizze, hogy megadhat-e manuálisan néhány adaptív alkalmazásvezérlő szabályt a csoport adaptív alkalmazásvezérlő-szabályának szerkesztése című témakörben leírtak szerint.

      Ettől a csoporttól más csoportokba is áthelyezhet gépeket a Gép áthelyezése egyik csoportból a másikba című témakörben leírtak szerint.

    • Nincs javaslat – Az alkalmazások meghatározott engedélyezési listájával nem rendelkező gépek, amelyek nem támogatják a funkciót. A gép a következő okok miatt lehet ezen a lapon:

      • Hiányzik egy Log Analytics-ügynök
      • A Log Analytics-ügynök nem küld eseményeket
      • Ez egy Windows rendszerű gép, amelyen egy már meglévő AppLocker-szabályzat van engedélyezve, amelyet egy csoportházirend-objektum vagy egy helyi biztonsági szabályzat engedélyez
      • Az AppLocker nem érhető el (Windows Server Core telepítések)

      Tipp

      A Felhőhöz készült Defendernek legalább két hétnyi adatra van szüksége az egyedi javaslatok gépcsoportonkénti meghatározásához. A nemrég létrehozott vagy a kiszolgálókhoz Microsoft Defender által nemrég védett előfizetésekhez tartozó gépek a Nincs javaslat lapon jelennek meg.

  2. Nyissa meg az Ajánlott lapot. Megjelennek az ajánlott engedélyezési listákkal rendelkező gépek csoportjai.

    Ajánlott lap.

  3. Válasszon ki egy csoportot.

  4. Az új szabály konfigurálásához tekintse át az Alkalmazásvezérlési szabályok konfigurálása lap különböző szakaszait és tartalmát, amelyek egyediek lesznek az adott gépcsoportra vonatkozóan:

    Konfiguráljon egy új szabályt.

    1. Gépek kiválasztása – Alapértelmezés szerint az azonosított csoport összes gépe ki van jelölve. Törölje a jelölésüket, hogy eltávolítsa őket ebből a szabályból.

    2. Ajánlott alkalmazások – Tekintse át a csoport gépeihez gyakran használt alkalmazások listáját, és ajánlott engedélyezni a futtatását.

    3. További alkalmazások – Tekintse át azoknak az alkalmazásoknak a listáját, amelyek vagy ritkábban jelennek meg a csoportban lévő gépeken, vagy amelyekről ismert, hogy kihasználhatóak. A figyelmeztető ikon azt jelzi, hogy egy támadó egy adott alkalmazással megkerülheti az alkalmazás engedélyezési listáját. Javasoljuk, hogy gondosan tekintse át ezeket az alkalmazásokat.

      Tipp

      Mindkét alkalmazáslista tartalmazza az adott alkalmazás bizonyos felhasználókra való korlátozásának lehetőségét. Amikor csak lehetséges, fogadja el a minimális jogosultság elvét.

      Az alkalmazásokat közzétevőik határozzák meg, ha egy alkalmazás nem rendelkezik közzétevői információkkal (nincs aláírva), létrejön egy elérésiút-szabály az adott alkalmazás teljes elérési útjára.

    4. A szabály alkalmazásához válassza a Naplózás lehetőséget.

Csoport adaptív alkalmazásvezérlő szabályának szerkesztése

A szervezet ismert változásai miatt dönthet úgy, hogy módosítja egy gépcsoport engedélyezési listáját.

Egy gépcsoport szabályainak szerkesztése:

  1. Nyissa meg a Számítási feladatok védelme irányítópultot , és a speciális védelmi területen válassza az Adaptív alkalmazásvezérlők lehetőséget.

  2. A Konfigurált lapon válassza ki a szerkeszteni kívánt szabályt tartalmazó csoportot.

  3. Tekintse át az Alkalmazásvezérlési szabályok konfigurálása lap különböző szakaszait az Adaptív alkalmazásvezérlők engedélyezése egy gépcsoporton című témakörben leírtak szerint.

  4. Ha szeretné, adjon hozzá egy vagy több egyéni szabályt:

    1. Válassza a Szabály hozzáadása lehetőséget.

      Egyéni szabály hozzáadása.

    2. Ha egy ismert biztonságos elérési utat határoz meg, módosítsa a Szabály típusát "Elérési út" típusra , és adjon meg egyetlen elérési utat. Az elérési útba helyettesítő karaktereket is felvehet.

      Tipp

      Egyes forgatókönyvek, amelyekben az elérési út helyettesítő karakterei hasznosak lehetnek:

      • Helyettesítő karakter használata az elérési út végén a mappában és az almappákban található összes végrehajtható fájl engedélyezéséhez.
      • Helyettesítő karakter használata az elérési út közepén egy változó mappanévvel rendelkező ismert végrehajtható név engedélyezéséhez (például egy ismert végrehajtható fájlt tartalmazó személyes felhasználói mappák, automatikusan létrehozott mappanevek stb.).
    3. Határozza meg az engedélyezett felhasználókat és a védett fájltípusokat.

    4. A szabály definiálása után válassza a Hozzáadás lehetőséget.

  5. A módosítások alkalmazásához válassza a Mentés lehetőséget.

Csoport beállításainak áttekintése és szerkesztése

  1. A csoport részleteinek és beállításainak megtekintéséhez válassza a Csoportbeállítások lehetőséget.

    Ezen az ablaktáblán látható a csoport neve (amely módosítható), az operációs rendszer típusa, a hely és egyéb releváns részletek.

    Az adaptív alkalmazásvezérlők csoportbeállítási lapja.

  2. Igény szerint módosíthatja a csoport nevét vagy fájltípus-védelmi módját.

  3. Válassza az Alkalmaz és mentés lehetőséget.

Válaszoljon az "Adaptív alkalmazásvezérlési szabályzat engedélyezésilistára vonatkozó szabályainak frissítésére" javaslatra

Ez a javaslat akkor jelenik meg, ha a Felhőhöz készült Defender gépi tanulása olyan potenciálisan jogos viselkedést azonosít, amely korábban nem volt engedélyezve. A javaslat új szabályokat javasol a meglévő definíciókhoz a téves pozitív riasztások számának csökkentése érdekében.

A problémák elhárítása:

  1. A javaslatok lapon válassza ki az Adaptív alkalmazásvezérlési szabályzat Engedélyezési listára vonatkozó szabályait, és tekintse meg az újonnan azonosított, vélhetően jogszerű viselkedésű csoportokat.

  2. Jelölje ki a szerkeszteni kívánt szabályt tartalmazó csoportot.

  3. Tekintse át az Alkalmazásvezérlési szabályok konfigurálása lap különböző szakaszait az Adaptív alkalmazásvezérlők engedélyezése egy gépcsoporton című témakörben leírtak szerint.

  4. A módosítások alkalmazásához válassza a Naplózás lehetőséget.

Riasztások és szabálysértések naplózása

  1. Nyissa meg a Számítási feladatok védelme irányítópultot , és a speciális védelmi területen válassza az Adaptív alkalmazásvezérlők lehetőséget.

  2. A legutóbbi riasztásokkal rendelkező számítógépekkel rendelkező csoportok megtekintéséhez tekintse át a Konfigurált lapon felsorolt csoportokat.

  3. A további vizsgálathoz válasszon ki egy csoportot.

    Legutóbbi riasztások.

  4. További részletekért és az érintett gépek listájáért válasszon ki egy riasztást.

    A biztonsági riasztások oldal további részleteket jelenít meg a riasztásokról, és egy Művelet végrehajtása hivatkozást tartalmaz, amely a fenyegetés elhárítására vonatkozó javaslatokat tartalmaz.

    Az adaptív alkalmazásvezérlők riasztásainak kezdő időpontja az az időpont, amikor az adaptív alkalmazásvezérlők létrehozták a riasztást.

    Megjegyzés

    Az adaptív alkalmazásvezérlők tizenkét óránként egyszer számítják ki az eseményeket. A biztonsági riasztások oldalán látható "tevékenység kezdési időpontja" az az idő, amikor az adaptív alkalmazásvezérlők létrehozták a riasztást, nem pedig a gyanús folyamat aktív állapotának időpontja.

Gép áthelyezése egyik csoportból a másikba

Amikor áthelyez egy gépet az egyik csoportból a másikba, a rá alkalmazott alkalmazásvezérlési szabályzat annak a csoportnak a beállításaira változik, amelybe áthelyezte azt. A gépet egy konfigurált csoportból egy nem konfigurált csoportba is áthelyezheti, így eltávolítja a gépre alkalmazott alkalmazásvezérlési szabályokat.

  1. Nyissa meg a Számítási feladatok védelme irányítópultot , és a speciális védelmi területen válassza az Adaptív alkalmazásvezérlők lehetőséget.

  2. Az Adaptív alkalmazásvezérlők lap Konfigurált lapján válassza ki az áthelyezni kívánt gépet tartalmazó csoportot.

  3. Nyissa meg a Konfigurált gépek listáját.

  4. Nyissa meg a gép menüjét a sor végén található három pontból, és válassza az Áthelyezés lehetőséget. Ekkor megnyílik a Gép áthelyezése másik csoportba panel.

  5. Válassza ki a célcsoportot, és válassza a Gép áthelyezése lehetőséget.

  6. Kattintson a Mentés gombra a módosítások mentéséhez.

Alkalmazásvezérlők kezelése a REST API-val

Az adaptív alkalmazásvezérlők programozott kezeléséhez használja a REST API-t.

A vonatkozó API-dokumentáció a Defender for Cloud API-dokumentációjának Adaptív alkalmazásvezérlők szakaszában érhető el.

A REST API-ból elérhető függvények némelyike:

  • A Lista lekéri az összes csoportjavaslatot, és minden csoporthoz biztosít egy JSON-objektumot.

  • A Get lekéri a JSON-t a teljes javaslati adatokkal (azaz a gépek listájával, a közzétevői/elérésiút-szabályokkal stb.).

  • Put konfigurálja a szabályt (használja a get paranccsal lekért JSON-t a kérés törzseként).

    Fontos

    A Put függvény kevesebb paramétert vár, mint amennyit a Get parancs által visszaadott JSON tartalmaz.

    Távolítsa el a következő tulajdonságokat, mielőtt a JSON-t használné a Put kérelemben: recommendationStatus, configurationStatus, issues, location és sourceSystem.

GYIK – Adaptív alkalmazásvezérlők

Vannak olyan lehetőségek, amelyekkel kikényszeríthetők az alkalmazásvezérlők?

Jelenleg nem érhetők el kényszerítési lehetőségek. Az adaptív alkalmazásvezérlők biztonsági riasztásokat biztosítanak, ha bármely alkalmazás a biztonságosként definiáltaktól eltérően fut. Számos előnnyel rendelkeznek (Mik az adaptív alkalmazásvezérlők előnyei?), és rendkívül testre szabhatók az oldalon látható módon.

Microsoft Defender kiszolgálók esetén a gépek biztonságirés-vizsgálatát külön költség nélkül biztosítjuk. Nincs szüksége Qualys-licencre vagy akár Qualys-fiókra sem – minden zökkenőmentesen kezelhető a Felhőhöz készült Defenderben. A szkenner részleteiért és az üzembe helyezésére vonatkozó utasításokért tekintse meg a Defender for Cloud integrált Qualys biztonságirés-felmérési megoldását.

Annak érdekében, hogy a Defender for Cloud ne hozzon létre riasztásokat a szkenner üzembe helyezésekor, az adaptív alkalmazásvezérlők ajánlott engedélyezési listája tartalmazza az összes gép szkennerét.

Következő lépések

Ezen a lapon megtanulta, hogyan használhat adaptív alkalmazásvezérlést a Microsoft Defender for Cloudban az Azure-beli és nem Azure-beli gépeken futó alkalmazások engedélyezési listájának meghatározásához. További információ a felhőbeli számítási feladatok védelmének egyéb funkcióiról: