Share via

Mengaktifkan dan mengelola kontrol aplikasi adaptif

  • Artikel

kontrol aplikasi adaptif Microsoft Defender untuk Cloud menyediakan solusi otomatis berbasis data dan cerdas yang meningkatkan keamanan Anda dengan mendefinisikan daftar yang diizinkan untuk aplikasi yang diketahui aman untuk komputer Anda. Dengan fitur ini, organisasi dapat mengelola kumpulan komputer yang secara rutin menjalankan proses yang sama. Dengan menggunakan pembelajaran mesin, Microsoft Defender untuk Cloud dapat menganalisis aplikasi yang berjalan di komputer Anda dan membuat daftar perangkat lunak yang diketahui aman. Daftar izin ini didasarkan pada beban kerja Azure spesifik Anda. Anda dapat menyesuaikan rekomendasi lebih lanjut menggunakan instruksi yang disediakan di halaman ini.

Pada sekelompok komputer

Jika Microsoft Defender for Cloud telah mengidentifikasi grup mesin dalam langganan Anda yang secara konsisten menjalankan set aplikasi serupa, Anda akan diminta dengan rekomendasi berikut: Kontrol aplikasi adaptif untuk mendefinisikan aplikasi yang aman harus diaktifkan pada mesin Anda.

Pilih rekomendasi atau buka halaman kontrol aplikasi adaptif untuk melihat daftar aplikasi dan grup mesin yang diketahui aman yang disarankan.

  1. Buka dasbor perlindungan Beban kerja dan dari area perlindungan tingkat lanjut, pilih Kontrol aplikasi adaptif.

    Screenshot showing opening adaptive application controls from the Azure Dashboard.

    Halaman Kontrol aplikasi Adaptif terbuka dengan VM Anda yang dikelompokkan ke dalam tab berikut:

    • Dikonfigurasi - Grup komputer yang sudah memiliki daftar aplikasi yang diizinkan. Untuk setiap grup, tab yang dikonfigurasi memperlihatkan:

      • jumlah mesin dalam grup
      • pemberitahuan terbaru

    • Disarankan - Grup komputer yang secara konsisten menjalankan aplikasi yang sama dan tidak memiliki daftar yang diizinkan dikonfigurasi. Kami menyarankan agar Anda mengaktifkan kontrol aplikasi adaptif untuk grup ini.

      Tip

      Jika Anda melihat nama grup dengan prefiks REVIEWGROUP, nama tersebut berisi mesin dengan daftar aplikasi yang sebagian konsisten. Microsoft Defender untuk Cloud tidak dapat melihat pola tetapi merekomendasikan untuk meninjau grup ini untuk melihat apakah Anda dapat menentukan beberapa aturan kontrol aplikasi adaptif secara manual seperti yang dijelaskan dalam Mengedit aturan kontrol aplikasi adaptif grup.

      Anda juga dapat memindahkan mesin dari grup ini ke grup lain seperti yang dijelaskan dalam Memindahkan mesin dari satu grup ke grup lainnya.

    • Tidak ada rekomendasi - komputer tanpa daftar aplikasi yang diizinkan dan yang tidak mendukung fitur tersebut. Mesin Anda mungkin berada di tab ini karena alasan berikut:

      • Tidak ada agen Analitik Log
      • Agen Analitik Log tidak mengirimkan peristiwa
      • Ini adalah mesin Windows dengan kebijakan AppLocker yang sudah ada sebelumnya yang diaktifkan oleh GPO atau kebijakan keamanan lokal
      • AppLocker tidak tersedia (penginstalan Windows Server Core)

      Tip

      Defender for Cloud membutuhkan setidaknya dua minggu data untuk menentukan rekomendasi unik per grup mesin. Komputer yang baru saja dibuat atau yang termasuk langganan yang baru saja diaktifkan dengan Microsoft Defender untuk server, akan muncul di bawah tab Tidak ada rekomendasi.

  2. Buka tab Yang Direkomendasikan . Grup komputer dengan daftar izin yang direkomendasikan muncul.

    Screenshot that shows you where on the screen the recommendation tab is.

  3. Pilih grup.

  4. Untuk mengonfigurasi aturan baru Anda, tinjau berbagai bagian dari halaman Konfigurasi aturan kontrol aplikasi dan konten yang akan unik untuk grup mesin tertentu ini:

    Screenshot that shows you the order you need to follow to configure application control rules in the portal.

    1. Pilih mesin - Secara default, semua mesin dalam grup yang diidentifikasi sudah dipilih. Batalkan pilihan untuk menghapusnya dari aturan ini.

    2. Aplikasi yang direkomendasikan - Tinjau daftar aplikasi ini yang umum untuk mesin dalam grup ini dan disarankan untuk diizinkan berjalan.

    3. Lebih banyak aplikasi - Tinjau daftar aplikasi ini yang lebih jarang terlihat pada mesin dalam grup ini atau diketahui dapat dieksploitasi. Ikon peringatan menunjukkan bahwa aplikasi tertentu dapat digunakan oleh penyerang untuk melewati daftar izin aplikasi. Kami menyarankan agar Anda meninjau aplikasi ini dengan cermat.

      Tip

      Kedua daftar aplikasi termasuk opsi untuk membatasi aplikasi tertentu untuk pengguna tertentu. Mengadopsi prinsip hak istimewa paling sedikit jika memungkinkan.

      Aplikasi didefinisikan oleh penerbitnya. Jika aplikasi tidak memiliki informasi penerbit (tidak ditandatangani), aturan jalur dibuat untuk jalur lengkap aplikasi tertentu.

    4. Untuk menerapkan aturan, pilih Audit.

Mengedit aturan kontrol aplikasi adaptif grup

Anda mungkin memutuskan untuk mengedit daftar yang diizinkan untuk sekelompok komputer karena perubahan yang diketahui di organisasi Anda.

Untuk mengedit aturan untuk sekelompok mesin:

  1. Buka dasbor perlindungan Beban kerja dan dari area perlindungan tingkat lanjut, pilih Kontrol aplikasi adaptif.

  2. Dari tab Dikonfigurasi, pilih grup dengan aturan yang ingin Anda edit.

  3. Tinjau berbagai bagian halaman Konfigurasi aturan kontrol aplikasi seperti yang dijelaskan di Pada sekelompok komputer.

  4. Secara opsional, tambahkan satu atau beberapa aturan kustom:

    1. Pilih Tambahkan aturan.

    Screenshot that shows you where the add rule button is located.

    1. Jika Anda menentukan jalur aman yang diketahui, ubah jenis Aturan menjadi 'Jalur' dan masukkan satu jalur. Anda dapat menyertakan kartubebas di jalur tersebut. Layar berikut menunjukkan beberapa contoh cara menggunakan kartubebas.

      Screenshot that shows examples of using wildcards.

      Tip

      Beberapa skenario dengan kartubebas berada di jalur mungkin akan berguna:

      • Menggunakan kartubebas di akhir jalur untuk memungkinkan semua yang dapat dieksekusi dalam folder dan sub-folder ini.
      • Menggunakan kartubebas di tengah jalur untuk mengaktifkan nama yang dapat dieksekusi yang dikenal dengan nama folder yang berubah (misalnya, folder pengguna pribadi yang berisi nama folder yang dapat dieksekusi dan dibuat secara otomatis, dll).

    2. Tentukan pengguna yang diizinkan dan tipe file yang diproteksi.

    3. Bila Anda sudah selesai menentukan aturan, pilih Tambahkan.

  5. Untuk menerapkan perubahan, pilih Simpan.

Mengulas dan mengedit pengaturan grup

  1. Untuk melihat detail dan pengaturan grup Anda, pilih Pengaturan grup.

    Panel ini memperlihatkan nama grup (yang bisa dimodifikasi), jenis OS, lokasi, dan detail terkait lainnya.

    Screenshot showing the group settings page for adaptive application controls.

  2. Secara opsional, ubah nama grup atau mode proteksi jenis file.

  3. Pilih Terapkan dan Simpan.

Tanggapi rekomendasi "Aturan yang diizinkan dalam kebijakan kontrol aplikasi adaptif Anda harus diperbarui"

Anda akan melihat rekomendasi ini saat pembelajaran mesin Defender for Cloud mengidentifikasi perilaku yang berpotensi sah yang sebelumnya tidak diizinkan. Rekomendasi menyarankan aturan baru untuk definisi Anda yang sudah ada untuk mengurangi jumlah pemberitahuan positif palsu.

Untuk meremediasi masalah:

  1. Dari halaman rekomendasi, pilih rekomendasi Aturan daftar yang diizinkan dalam kebijakan kontrol aplikasi adaptif Anda harus diperbarui untuk melihat grup dengan perilaku yang baru diidentifikasi dan berpotensi sah.

  2. Pilih grup dengan aturan yang ingin Anda edit.

  3. Tinjau berbagai bagian halaman Konfigurasi aturan kontrol aplikasi seperti yang dijelaskan di Pada sekelompok komputer.

  4. Untuk menerapkan perubahan, pilih Audit.

Audit pemberitahuan dan pelanggaran

  1. Buka dasbor perlindungan Beban kerja dan dari area perlindungan tingkat lanjut, pilih Kontrol aplikasi adaptif.

  2. Untuk melihat grup dengan mesin yang memiliki pemberitahuan terbaru, ulas grup yang tercantum di tab Dikonfigurasi.

  3. Untuk menyelidiki lebih lanjut, pilih grup.

    Screenshot showing recent alerts in Configured tab.

  4. Untuk detail lebih lanjut dan daftar mesin yang terpengaruh, pilih satu pemberitahuan.

    Halaman pemberitahuan keamanan memperlihatkan detail selengkapnya tentang pemberitahuan dan menyediakan tautan Ambil tindakan dengan rekomendasi tentang cara mengurangi ancaman.

    Screenshot of the start time of adaptive application controls alerts showing that the time is when adaptive application controls created the alert.

    Catatan

    Kontrol aplikasi adaptif menghitung peristiwa setiap dua belas jam sekali. "Waktu mulai aktivitas" yang ditunjukkan di halaman pemberitahuan keamanan adalah waktu kontrol aplikasi adaptif membuat pemberitahuan, bukan saat proses mencurigakan aktif.

Memindahkan mesin dari satu grup ke grup lainnya

Ketika Anda memindahkan mesin dari satu grup ke grup lainnya, kebijakan kontrol aplikasi yang diterapkan padanya akan berubah ke pengaturan grup tempat Anda memindahkannya. Anda juga dapat memindahkan komputer dari grup yang dikonfigurasi ke grup yang tidak dikonfigurasi, yang menghapus aturan kontrol aplikasi apa pun yang diterapkan ke komputer.

  1. Buka dasbor perlindungan Beban kerja dan dari area perlindungan tingkat lanjut, pilih Kontrol aplikasi adaptif.

  2. Dari halaman Kontrol aplikasi Adaptif, dari tab Dikonfigurasi, pilih grup yang berisi komputer yang akan dipindahkan.

  3. Buka daftar Komputer yang dikonfigurasi.

  4. Buka menu mesin dari tiga titik di akhir baris dan pilih Pindahkan. Panel Pindahkan mesin ke grup lain terbuka.

  5. Pilih grup tujuan, lalu pilih Pindahkan mesin.

  6. Untuk menyimpan perubahan Anda, pilih Simpan.

Mengelola kontrol aplikasi melalui REST API

Untuk mengelola kontrol aplikasi adaptif Anda secara terprogram, gunakan REST API kami.

Dokumentasi API yang relevan tersedia di bagian Kontrol aplikasi Adaptif Defender untuk Cloud dokumen API.

Beberapa fungsi yang tersedia dari REST API meliputi:

  • List mengambil semua rekomendasi grup Anda dan menyediakan JSON dengan objek untuk setiap grup.

  • Get mengambil JSON dengan data rekomendasi lengkap (yaitu daftar mesin, aturan penerbit/jalur, dan sebagainya).

  • Put konfigurasi aturan Anda (gunakan JSON yang Anda ambil dengan Get sebagai badan untuk permintaan ini).

    Penting

    Fungsi Put mengharapkan lebih sedikit parameter daripada JSON yang dikembalikan oleh perintah Dapatkan berisi.

    Hapus properti berikut sebelum menggunakan JSON dalam permintaan Put : recommendationStatus, configurationStatus, issue, location, dan sourceSystem.

Konten terkait

Di halaman ini, Anda mempelajari cara menggunakan kontrol aplikasi adaptif di Pertahanan Microsoft Defender untuk Cloud untuk menentukan daftar aplikasi yang diizinkan yang berjalan di komputer Azure dan non-Azure Anda. Untuk mempelajari selengkapnya tentang beberapa fitur perlindungan beban kerja cloud lainnya, lihat: