Megosztás a következőn keresztül:

A hálózati biztonsági állapotának javítása adaptív hálózatmegerősítéssel

  • Cikk

Az adaptív hálózatmegerősítés a Felhőhöz készült Microsoft Defender ügynök nélküli funkciója – a hálózatmegerősítő eszköz használatához semmit sem kell telepíteni a gépekre.

Ez a lap bemutatja, hogyan konfigurálhatja és kezelheti az adaptív hálózatmegerősítést Felhőhöz készült Defender.

Elérhetőség

Szempont Részletek
Kiadási állapot: Általános rendelkezésre állás (GA)
Díjszabás: A Microsoft Defender for Servers 2. csomagjának megköveteléséhez
Szükséges szerepkörök és engedélyek: Írási engedélyek a gép NSG-jén
Felhők: Kereskedelmi felhők
National (Azure Government, Microsoft Azure által üzemeltetett 21Vianet)
Csatlakoztatott AWS-fiókok

Mi az adaptív hálózatmegerősítés?

A hálózati biztonsági csoportok (NSG) alkalmazása az erőforrások felé és onnan érkező forgalom szűrésére, javítja a hálózati biztonsági helyzet állapotát. Vannak azonban olyan esetek, amikor az NSG-n áthaladó tényleges forgalom a definiált NSG-szabályok részhalmaza. Ezekben az esetekben a biztonsági helyzet további javítása az NSG-szabályok a tényleges forgalmi minták alapján történő megerősítésével érhető el.

Az adaptív hálózatmegerősítés javaslatokat tesz az NSG-szabályok további keményítésére. Egy olyan gépi tanulási algoritmust használ, amely figyelembe veszi a tényleges forgalmat, az ismert megbízható konfigurációt, a fenyegetésekkel kapcsolatos információkat és a biztonsági incidensekkel kapcsolatos egyéb tényezőket, majd javaslatokat biztosít arra vonatkozóan, hogy csak bizonyos IP-/portrekordokból származó forgalmat engedélyezzen.

Tegyük fel például, hogy a meglévő NSG-szabály engedélyezi a 140.20.30.10/24-ről érkező forgalmat a 22-s porton. A forgalomelemzés alapján az adaptív hálózatmegerősítés javasolhatja a tartomány szűkítését, hogy a forgalom 140.23.30.10/29-től engedélyezve legyen, és tiltsa le az adott portra érkező összes többi forgalmat. A támogatott portok teljes listájáért tekintse meg a gyakori kérdéseket a Melyik portok támogatottak? című témakört.

  1. A Felhőhöz készült Defender menüjében nyissa meg a Számítási feladatok védelme irányítópultot.

  2. Válassza ki az adaptív hálózatmegerősítés csempét (1), vagy az adaptív hálózatmegerősítéshez kapcsolódó elemzési panelelemet (2).

    Az adaptív hálózatmegerősítő eszközök elérése.

    Tipp.

    Az Elemzések panel a jelenleg adaptív hálózatmegerősítéssel védett virtuális gépek százalékos arányát mutatja.

  3. Megnyílik az adaptív hálózatmegerősítési javaslatok részletes lapja az internettel rendelkező virtuális gépekre vonatkozó javaslatra, és a hálózati virtuális gépek három lapra lesznek csoportosítva:

    • Nem kifogástalan erőforrások: azok a virtuális gépek, amelyek jelenleg ajánlásokkal és riasztásokkal rendelkeznek, amelyeket az adaptív hálózati megkeményítő algoritmus futtatásával aktiváltak.
    • Kifogástalan erőforrások: riasztások és javaslatok nélküli virtuális gépek.
    • Be nem vizsgált erőforrások: Az adaptív hálózatmegerősítési algoritmus által nem futtatható virtuális gépek az alábbi okok valamelyike miatt:
      • A virtuális gépek klasszikus virtuális gépek: Csak az Azure Resource Manager virtuális gépek támogatottak.
      • Nem áll rendelkezésre elegendő adat: A forgalom pontos korlátozására vonatkozó javaslatok létrehozásához Felhőhöz készült Defender legalább 30 napos adatforgalmat igényel.
      • A virtuális gépet nem védi a Microsoft Defender a kiszolgálókhoz: Csak a Microsoft Defender for Serversrel védett virtuális gépek jogosultak erre a funkcióra.

    Az adaptív hálózatmegerősítési javaslatok részletes lapját az internetre néző virtuális gépeken kell alkalmazni.

  4. A Nem kifogástalan erőforrások lapon válasszon ki egy virtuális gépet a riasztások és az alkalmazáshoz javasolt keményítési szabályok megtekintéséhez.

    • A Szabályok lap felsorolja azokat a szabályokat, amelyeket az adaptív hálózatmegerősítés javasolt
    • A Riasztások lap felsorolja azokat a riasztásokat, amelyeket forgalom miatt hoztak létre, és amelyek az erőforrásba áramlanak, és amelyek nem tartoznak az ajánlott szabályokban engedélyezett IP-tartományba.

  5. Igény szerint szerkessze a szabályokat:

  6. Jelölje ki az NSG-n alkalmazni kívánt szabályokat, és válassza a Kényszerítés lehetőséget.

    Tipp.

    Ha az engedélyezett forrás IP-tartományok "Nincs" értékként jelennek meg, az azt jelenti, hogy az ajánlott szabály egy megtagadási szabály, ellenkező esetben ez egy engedélyezési szabály.

    Adaptív hálózatmegerősítési szabályok kezelése.

    Feljegyzés

    A rendszer hozzáadja a kényszerített szabályokat a virtuális gépet védő NSG-khez. (A virtuális gépeket védheti egy hálózati adapterhez társított NSG, vagy az alhálózat, amelyben a virtuális gép található, vagy mindkettő)

Szabály módosítása

Érdemes lehet módosítani egy ajánlott szabály paramétereit. Előfordulhat például, hogy módosítani szeretné az ajánlott IP-címtartományokat.

Néhány fontos irányelv az adaptív hálózatmegerősítési szabály módosításához:

  • Nem módosíthatja, hogy a szabályok megtagadási szabályokká váljanak.

  • Csak az engedélyezési szabályok paraméterei módosíthatók.

    A "megtagadási" szabályok létrehozása és módosítása közvetlenül az NSG-n történik. További információ: Hálózati biztonsági csoport létrehozása, módosítása vagy törlése.

  • Az összes forgalmi szabály megtagadása az itt felsorolt "megtagadási" szabály egyetlen típusa, és nem módosítható. Törölheti azonban (lásd : Szabály törlése). Az ilyen típusú szabályokról a Gyakori kérdések című bejegyzésből tájékozódhat: Mikor érdemes a "Minden forgalom megtagadása" szabályt használni?

Adaptív hálózatmegerősítési szabály módosítása:

  1. Egy szabály egyes paramétereinek módosításához a Szabályok lapon válassza ki a szabály sorának végén található három pont (...) elemet, és válassza a Szerkesztés lehetőséget.

    Szerkesztési szabály.

  2. A Szabály szerkesztése ablakban frissítse a módosítani kívánt adatokat, és válassza a Mentés lehetőséget.

    Feljegyzés

    A Mentés lehetőség kiválasztása után sikeresen módosította a szabályt. Ezt azonban nem alkalmazta az NSG-n. Az alkalmazáshoz ki kell választania a szabályt a listában, majd a Kényszerítés elemet (a következő lépésben leírtak szerint).

    Válassza a Mentés lehetőséget.

  3. A frissített szabály alkalmazásához a listából válassza ki a frissített szabályt, és válassza a Kényszerítés lehetőséget.

    kényszerítse ki a szabályt.

Új szabály hozzáadása

Hozzáadhat egy "engedélyezés" szabályt, amelyet Felhőhöz készült Defender nem ajánlott.

Feljegyzés

Itt csak az "engedélyezés" szabályok vehetők fel. Ha "megtagadási" szabályokat szeretne hozzáadni, ezt közvetlenül az NSG-n teheti meg. További információ: Hálózati biztonsági csoport létrehozása, módosítása vagy törlése.

Adaptív hálózatmegerősítési szabály hozzáadása:

  1. A felső eszköztáron válassza a Szabály hozzáadása lehetőséget.

    szabály hozzáadása.

  2. Az Új szabály ablakban adja meg a részleteket, és válassza a Hozzáadás lehetőséget.

    Feljegyzés

    A Hozzáadás lehetőség kiválasztása után sikeresen hozzáadta a szabályt, és a többi ajánlott szabályt is tartalmazza. Ezt azonban nem alkalmazta az NSG-n. Az aktiváláshoz ki kell választania a szabályt a listában, majd a Kényszerítés lehetőséget (a következő lépésben leírtak szerint).

  3. Az új szabály alkalmazásához a listából válassza ki az új szabályt, és válassza a Kényszerítés lehetőséget.

    kényszerítse ki a szabályt.

Szabály törlése

Szükség esetén törölheti az aktuális munkamenethez javasolt szabályt. Megállapíthatja például, hogy a javasolt szabály alkalmazása blokkolhatja a jogszerű forgalmat.

Adaptív hálózatmegerősítési szabály törlése az aktuális munkamenethez:

  • A Szabályok lapon jelölje ki a szabály sorának végén található három elemet (...), és válassza a Törlés lehetőséget.

    Szabály törlése.

Következő lépés