Adaptív alkalmazásvezérlők engedélyezése és kezelése

  • Cikk

Felhőhöz készült Microsoft Defender adaptív alkalmazásvezérlői adatvezérelt és intelligens automatizált megoldást biztosítanak, amely növeli a biztonságot azáltal, hogy meghatározza a gépek ismert biztonságos alkalmazásainak engedélyezési listáját. Ezzel a funkcióval a szervezetek olyan gépek gyűjteményeit kezelhetik, amelyek rendszeresen ugyanazokat a folyamatokat futtatják. A gépi tanulás használatával Felhőhöz készült Microsoft Defender elemezheti a gépeken futó alkalmazásokat, és létrehozhatja az ismert biztonságos szoftverek listáját. Ezek az engedélyezési listák az Adott Azure-számítási feladatokon alapulnak. A javaslatok további testreszabásához használja az ezen az oldalon található utasításokat.

Gépcsoporton

Ha Felhőhöz készült Microsoft Defender azonosított olyan gépcsoportokat az előfizetéseiben, amelyek folyamatosan hasonló alkalmazásokat futtatnak, a rendszer a következő javaslattal fogja kérni: A biztonságos alkalmazások meghatározására szolgáló adaptív alkalmazásvezérlőket engedélyezni kell a gépeken.

Válassza ki a javaslatot, vagy nyissa meg az adaptív alkalmazásvezérlők lapot a javasolt ismert biztonságos alkalmazások és gépcsoportok listájának megtekintéséhez.

  1. Nyissa meg a Számítási feladatok védelme irányítópultot, és a speciális védelmi területen válassza az Adaptív alkalmazásvezérlők lehetőséget.

    Screenshot showing opening adaptive application controls from the Azure Dashboard.

    Megnyílik az Adaptív alkalmazásvezérlők lap, amelyen a virtuális gépek az alábbi lapokba csoportosítva jelennek meg:

    • Konfigurálva – Olyan gépcsoportok, amelyek már rendelkeznek az alkalmazások meghatározott engedélyezési listájával. Minden csoport esetében a konfigurált lap a következőt jeleníti meg:

      • a csoport gépeinek száma
      • legutóbbi riasztások

    • Ajánlott – Olyan gépcsoportok, amelyek folyamatosan ugyanazokat az alkalmazásokat futtatják, és nincsenek konfigurálva engedélyezési listák. Javasoljuk, hogy engedélyezze az adaptív alkalmazásvezérlőket ezekhez a csoportokhoz.

      Tipp.

      Ha megjelenik egy csoportnév a REVIEWGROUP előtaggal, az az alkalmazások részben konzisztens listáját tartalmazó gépeket tartalmaz. Felhőhöz készült Microsoft Defender nem lát mintát, de azt javasolja, hogy tekintse át ezt a csoportot, és ellenőrizze, hogy manuálisan definiálhat-e néhány adaptív alkalmazásvezérlő szabályt a csoport adaptív alkalmazásvezérlő-szabályának szerkesztése című cikkben leírtak szerint.

      A gépeket át is helyezheti ebből a csoportból más csoportokba a gép áthelyezése egyik csoportból a másikba című cikkben leírtak szerint.

    • Nincs javaslat – Az alkalmazások meghatározott engedélyezési listája nélküli gépek, amelyek nem támogatják a funkciót. A gép a következő okok miatt lehet ezen a lapon:

      • Hiányzik egy Log Analytics-ügynök
      • A Log Analytics-ügynök nem küld eseményeket
      • Ez egy Windows rendszerű gép, amely egy csoportházirend-objektum vagy egy helyi biztonsági szabályzat által engedélyezett, már meglévő AppLocker-szabályzattal rendelkezik
      • Az AppLocker nem érhető el (Windows Server Core-telepítések)

      Tipp.

      Felhőhöz készült Defender legalább két hétnyi adatra van szüksége az egyedi javaslatok gépcsoportonkénti meghatározásához. A nemrég létrehozott vagy csak a Microsoft Defender for Servers által nemrég védett előfizetésekhez tartozó gépek a Javaslatok nélkül lapon jelennek meg.

  2. Nyissa meg az Ajánlott lapot. Megjelennek az ajánlott engedélyezési listákkal rendelkező gépek csoportjai.

    Screenshot that shows you where on the screen the recommendation tab is.

  3. Válasszon ki egy csoportot.

  4. Az új szabály konfigurálásához tekintse át az alkalmazásvezérlési szabályok konfigurálásának lapjának különböző szakaszait és tartalmát, amelyek egyediek lesznek az adott gépcsoportra vonatkozóan:

    Screenshot that shows you the order you need to follow to configure application control rules in the portal.

    1. Gépek kiválasztása – Alapértelmezés szerint az azonosított csoport összes gépe ki van jelölve. A szabályból való eltávolításukhoz törölje a jelölést.

    2. Ajánlott alkalmazások – Tekintse át a csoporton belüli gépeken gyakran használt alkalmazások listáját, és ajánlott a futtatás engedélyezése.

    3. További alkalmazások – Tekintse át azoknak az alkalmazásoknak a listáját, amelyek vagy ritkábban jelennek meg a csoportban lévő gépeken, vagy amelyekről ismert, hogy kihasználhatóak. A figyelmeztető ikon azt jelzi, hogy a támadó egy adott alkalmazást használhat az alkalmazás engedélyezési listájának megkerülésére. Javasoljuk, hogy gondosan tekintse át ezeket az alkalmazásokat.

      Tipp.

      Mindkét alkalmazáslista tartalmazza egy adott alkalmazás bizonyos felhasználókra való korlátozásának lehetőségét. Amikor csak lehetséges, fogadja el a minimális jogosultság elvét.

      Az alkalmazásokat közzétevőik határozzák meg. Ha egy alkalmazás nem rendelkezik közzétevői információkkal (nincs aláírva), létrejön egy elérésiút-szabály az adott alkalmazás teljes elérési útjára.

    4. A szabály alkalmazásához válassza a Naplózás lehetőséget.

Csoport adaptív alkalmazásvezérlő szabályának szerkesztése

Előfordulhat, hogy a szervezet ismert változásai miatt úgy dönt, hogy szerkessze egy gépcsoport engedélyezési listáját.

Egy gépcsoport szabályainak szerkesztése:

  1. Nyissa meg a Számítási feladatok védelme irányítópultot , és a speciális védelmi területen válassza az Adaptív alkalmazásvezérlők lehetőséget.

  2. A Konfigurált lapon válassza ki a szerkeszteni kívánt szabályt tartalmazó csoportot.

  3. Tekintse át az Alkalmazásvezérlési szabályok konfigurálása lap különböző szakaszait a gépek egy csoportjában leírtak szerint.

  4. Igény szerint adjon hozzá egy vagy több egyéni szabályt:

    1. Válassza a Szabály hozzáadása lehetőséget.

    Screenshot that shows you where the add rule button is located.

    1. Ha ismert biztonságos elérési utat definiál, módosítsa a szabály típusát "Elérési út" típusra , és adjon meg egyetlen elérési utat. Helyettesítő karaktereket is felvehet az elérési útra. Az alábbi képernyők néhány példát mutatnak be a helyettesítő karakterek használatára.

      Screenshot that shows examples of using wildcards.

      Tipp.

      Egyes forgatókönyvek, amelyekben az elérési utak helyettesítő karakterei hasznosak lehetnek:

      • Az elérési út végén egy helyettesítő karakter használatával engedélyezheti az összes végrehajtható fájlt ebben a mappában és almappában.
      • Helyettesítő karakter használata az elérési út közepén egy ismert végrehajtható név változó mappanévvel való engedélyezéséhez (például egy ismert végrehajtható, automatikusan létrehozott mappanevet tartalmazó személyes felhasználói mappák stb.).

    2. Határozza meg az engedélyezett felhasználókat és a védett fájltípusokat.

    3. A szabály definiálása után válassza a Hozzáadás lehetőséget.

  5. A módosítások alkalmazásához válassza a Mentés lehetőséget.

Csoport beállításainak áttekintése és szerkesztése

  1. A csoport részleteinek és beállításainak megtekintéséhez válassza a Csoportbeállítások lehetőséget.

    Ez a panel a csoport nevét (amely módosítható), az operációs rendszer típusát, a helyet és egyéb releváns részleteket jeleníti meg.

    Screenshot showing the group settings page for adaptive application controls.

  2. Igény szerint módosítsa a csoport nevét vagy fájltípus-védelmi módját.

  3. Válassza az Alkalmaz és mentés lehetőséget.

Válaszoljon az "Adaptív alkalmazásvezérlési szabályzat engedélyezési szabályainak frissítésére" javaslatra

Ez a javaslat akkor jelenik meg, ha Felhőhöz készült Defender gépi tanulása azonosítja a korábban nem engedélyezett, potenciálisan jogos viselkedést. A javaslat új szabályokat javasol a meglévő definíciókhoz a hamis pozitív riasztások számának csökkentése érdekében.

A problémák elhárítása:

  1. A javaslatok lapon válassza ki az Adaptív alkalmazásvezérlési szabályzat Engedélyezési listája szabályait, hogy láthassa az újonnan azonosított, potenciálisan jogos viselkedésű csoportokat.

  2. Jelölje ki a szerkeszteni kívánt szabályt tartalmazó csoportot.

  3. Tekintse át az Alkalmazásvezérlési szabályok konfigurálása lap különböző szakaszait a gépek egy csoportjában leírtak szerint.

  4. A módosítások alkalmazásához válassza a Naplózás lehetőséget.

Riasztások és szabálysértések naplózása

  1. Nyissa meg a Számítási feladatok védelme irányítópultot , és a speciális védelmi területen válassza az Adaptív alkalmazásvezérlők lehetőséget.

  2. A legutóbbi riasztásokkal rendelkező gépekkel rendelkező csoportok megtekintéséhez tekintse át a Konfigurált lapon felsorolt csoportokat.

  3. A további vizsgálathoz válasszon ki egy csoportot.

    Screenshot showing recent alerts in Configured tab.

  4. További részletekért és az érintett gépek listájáért válasszon ki egy riasztást.

    A biztonsági riasztások oldal további részleteket tartalmaz a riasztásokról, és a veszélyforrások elhárítására vonatkozó javaslatokat tartalmazó Művelet végrehajtása hivatkozást tartalmaz.

    Screenshot of the start time of adaptive application controls alerts showing that the time is when adaptive application controls created the alert.

    Feljegyzés

    Az adaptív alkalmazásvezérlők tizenkét óránként egyszer számítják ki az eseményeket. A biztonsági riasztások lapon látható "tevékenység kezdési ideje" az az idő, amikor az adaptív alkalmazásvezérlők létrehozták a riasztást, nem pedig a gyanús folyamat aktív állapotának időpontja.

Gép áthelyezése egyik csoportból a másikba

Amikor egy gépet egyik csoportból a másikba helyez át, a rá alkalmazott alkalmazásvezérlési szabályzat annak a csoportnak a beállításait módosítja, amelyikbe áthelyezte. A gépet egy konfigurált csoportból egy nem konfigurált csoportba is áthelyezheti, amely eltávolítja a gépre alkalmazott alkalmazásvezérlési szabályokat.

  1. Nyissa meg a Számítási feladatok védelme irányítópultot , és a speciális védelmi területen válassza az Adaptív alkalmazásvezérlők lehetőséget.

  2. Az Adaptív alkalmazásvezérlők lapon, a Konfigurált lapon válassza ki az áthelyezni kívánt gépet tartalmazó csoportot.

  3. Nyissa meg a konfigurált gépek listáját.

  4. Nyissa meg a gép menüjét a sor végén található három pontból, és válassza az Áthelyezés lehetőséget. Megnyílik a gép áthelyezése egy másik csoportpanelre.

  5. Válassza ki a célcsoportot, és válassza a Gép áthelyezése lehetőséget.

  6. Kattintson a Mentés gombra a módosítások mentéséhez.

Alkalmazásvezérlők kezelése a REST API-val

Az adaptív alkalmazásvezérlők programozott kezeléséhez használja a REST API-t.

A vonatkozó API-dokumentáció Felhőhöz készült Defender API-dokumentációjának Adaptív alkalmazásvezérlők szakaszában érhető el.

A REST API-ból elérhető függvények némelyike a következők:

  • A lista lekéri az összes csoportjavaslatot, és minden csoporthoz biztosít egy JSON-objektumot.

  • Lekéri a JSON-t a teljes javaslati adatokkal (azaz a gépek listájával, a közzétevői/elérésiút-szabályokkal stb.).

  • Put konfigurálja a szabályt (használja a lekért JSON-t a get mint a kérés törzseként).

    Fontos

    A Put függvény kevesebb paramétert vár, mint a Get parancs által visszaadott JSON.

    Távolítsa el a következő tulajdonságokat, mielőtt a JSON-t használné a Put-kérelemben : recommendationStatus, configurationStatus, issues, location és sourceSystem.

Kapcsolódó tartalom

Ezen a lapon megtanulta, hogyan használhat adaptív alkalmazásvezérlést Felhőhöz készült Microsoft Defender az Azure-beli és nem Azure-beli gépeken futó alkalmazások engedélyezési listájának meghatározásához. További információ a felhőbeli számítási feladatok védelmének egyéb funkcióiról: