Migliorare la postura di sicurezza della rete con la protezione avanzata adattiva per la rete
La protezione avanzata adattiva della rete è una funzionalità senza agente di Microsoft Defender per il cloud. Non è necessario installare nulla nei computer per trarre vantaggio da questo strumento di protezione avanzata della rete.
Questa pagina spiega come configurare e gestire la protezione avanzata adattiva della rete in Defender per il cloud.
Disponibilità
| Aspetto | Dettagli |
|---|---|
| Stato della versione: | Disponibilità generale (GA) |
| Prezzi: | Richiede Microsoft Defender per server piano 2 |
| Autorizzazioni e ruoli obbligatori: | Autorizzazioni di scrittura per i gruppi di sicurezza di rete del computer |
| Cloud: |  Cloud commerciali Nazionale (Azure per enti pubblici, Microsoft Azure gestito da 21Vianet) Account AWS connessi |
Informazioni sulla protezione avanzata adattiva della rete
L'applicazione di gruppi di sicurezza di rete (Network Security Group, NSG) per filtrare il traffico da e verso le risorse consente di migliorare la postura di sicurezza della rete. In alcuni casi, tuttavia, è comunque possibile che il traffico effettivo che attraversa il gruppo di sicurezza di rete corrisponda a un subset delle regole del gruppo di sicurezza di rete definite. In questi casi è possibile migliorare ancora il comportamento di sicurezza applicando la protezione avanzata alle regole del gruppo di sicurezza di rete, in base ai criteri effettivi del traffico.
Protezione avanzata adattiva per la rete fornisce raccomandazioni per migliorare ulteriormente la protezione delle regole dei gruppi di sicurezza di rete. Usa un algoritmo di Machine Learning che prende in considerazione il traffico effettivo, la configurazione attendibile nota, l'intelligence sulle minacce e altri indicatori di compromissione e quindi fornisce raccomandazioni per consentire il traffico solo da tuple di IP/porta specifiche.
Si supponga, ad esempio, che la regola NSG esistente consenta il traffico dalla porta 140.20.30.10/24 sulla porta 22. In base all'analisi del traffico, la protezione avanzata adattiva della rete potrebbe consigliare di limitare l'intervallo per consentire il traffico da 140.23.30.10/29 e negare tutto l'altro traffico verso tale porta. Per l'elenco completo delle porte supportate, vedere Quali porte sono supportate? nella sezione Domande frequenti.
Visualizzare gli avvisi di protezione avanzata e le regole consigliate
Nel menu di Defender per il cloud aprire il dashboard Protezioni dei carichi di lavoro.
Selezionare il riquadro della protezione avanzata adattiva della rete (1) o l'elemento del pannello delle informazioni dettagliate correlato alla protezione avanzata adattiva della rete (2).
Suggerimento
Il pannello delle informazioni dettagliate mostra la percentuale di macchine virtuali attualmente protette mediante la protezione avanzata adattiva della rete.
Viene visualizzata la pagina dei dettagli relativi al consiglio indicante che i consigli relativi alla protezione avanzata adattativa della rete devono essere applicati alle macchine virtuali con connessione Internet, dove le macchine virtuali della rete sono raggruppate in tre schede:
- Risorse non integre: macchine virtuali con consigli e avvisi attivati dall'esecuzione dell'algoritmo della protezione avanzata adattiva della rete.
- Risorse integre: macchine virtuali senza avvisi e consigli.
- Risorse non analizzate: le macchine virtuali in cui l'algoritmo della protezione avanzata adattiva della rete non può essere eseguito a causa di uno dei motivi seguenti:
- Le macchine virtuali sono macchine virtuali classiche: sono supportate solo le macchine virtuali di Azure Resource Manager.
- Non sono disponibili dati sufficienti: per generare consigli accurati sulla protezione avanzata del traffico, Defender per il cloud richiede almeno 30 giorni di dati sul traffico.
- La macchina virtuale non è protetta da Microsoft Defender per server: solo le macchine virtuali protette con Microsoft Defender per server sono idonee per questa funzionalità.
Nella scheda Risorse non integre selezionare una macchina virtuale per visualizzarne gli avvisi e le regole di protezione avanzata consigliate da applicare.
- Nella scheda Regole sono elencate le regole consigliate dalla protezione avanzata adattiva della rete
- Nella scheda Avvisi sono elencati gli avvisi generati a causa del traffico verso la risorsa, che non rientra nell'intervallo IP consentito nelle regole consigliate.
Facoltativamente, modificare le regole:
Selezionare le regole da applicare nel gruppo di sicurezza di rete e selezionare Applica.
Suggerimento
Se gli intervalli IP di origine consentiti vengono visualizzati come "Nessuno", significa che la regola consigliata è una regola di tipo Nega. In caso contrario, si tratta di una regola di tipo Consenti.
Nota
Le regole applicate vengono aggiunte ai gruppi di sicurezza di rete (NSG) che proteggono la macchina virtuale. Una macchina virtuale può essere protetta da un gruppo di sicurezza di rete associato alla relativa scheda di interfaccia di rete o dalla subnet in cui risiede la macchina virtuale o da entrambi.
Modificare una regola
È possibile modificare i parametri di una regola consigliata. Ad esempio, è possibile modificare gli intervalli IP consigliati.
Alcune linee guida importanti per la modifica di una regola di protezione avanzata adattiva della rete:
Non è possibile modificare le regole di tipo Consenti in regole di tipo Nega.
È possibile solo modificare i parametri delle regole di tipo Consenti.
La creazione e la modifica delle regole di tipo "Nega" vengono eseguite direttamente nel gruppo di sicurezza di rete. Per altre informazioni, vedere Creare, modificare o eliminare un gruppo di sicurezza di rete.
Una regola di tipo Nega tutto il traffico è l'unico tipo di regola di tipo "Nega" non modificabile che verrebbe elencata qui. È tuttavia possibile eliminarla (vedere Eliminare una regola). Per informazioni su questo tipo di regola, vedere Quando è consigliabile usare una regola di tipo "Nega tutto il traffico?" nella sezione Domande frequenti.
Per modificare una regola di protezione avanzata adattiva della rete:
Per modificare alcuni dei parametri di una regola, nella scheda Regole selezionare i tre puntini (...) alla fine della riga della regola e selezionare Modifica.
Nella finestra Modifica regola, aggiornare i dettagli da modificare e selezionare Salva.
Nota
Dopo aver selezionato Salva, la regola viene modificata correttamente, ma non viene applicata al gruppo di sicurezza di rete. Per applicarla, è necessario selezionare la regola nell'elenco e selezionare Applica (come illustrato nel passaggio successivo).
Per applicare la regola aggiornata, nell'elenco selezionare la regola aggiornata e selezionare Applica.
Aggiungere una nuova regola
È possibile, anche se sconsigliato da Defender per il cloud, aggiungere una regola di tipo "Consenti".
Nota
Qui è possibile aggiungere solo le regole di tipo "Consenti". Se si vuole aggiungere regole di tipo "Nega", è possibile farlo direttamente nel gruppo di sicurezza di rete. Per altre informazioni, vedere Creare, modificare o eliminare un gruppo di sicurezza di rete.
Per aggiungere una regola di protezione avanzata adattiva della rete:
Nella barra degli strumenti superiore selezionare Aggiungi regola.
Nella finestra Nuova regola immettere i dettagli e selezionare Aggiungi.
Nota
Dopo aver selezionato Aggiungi, la regola viene aggiunta correttamente e viene elencata assieme alle altre regole consigliate. Tuttavia, non viene applicata al gruppo di sicurezza di rete. Per attivarla, è necessario selezionare la regola nell'elenco e selezionare Applica (come illustrato nel passaggio successivo).
Per applicare la nuova regola, nell'elenco selezionare la nuova regola e selezionare Applica.
Eliminare una regola
Se necessario, è possibile eliminare una regola consigliata per la sessione corrente. Ad esempio, è possibile determinare che l'applicazione di una regola consigliata potrebbe bloccare il traffico consentito.
Per eliminare una regola di protezione avanzata adattiva della rete per la sessione corrente:
Nella scheda Regole selezionare i tre puntini (...) alla fine della riga della regola e selezionare Elimina.
Passaggio successivo
- Visualizzare le domande comuni sulla protezione avanzata adattiva della rete
Commenti e suggerimenti
Presto disponibile: Nel corso del 2024 verranno gradualmente disattivati i problemi di GitHub come meccanismo di feedback per il contenuto e ciò verrà sostituito con un nuovo sistema di feedback. Per altre informazioni, vedere https://aka.ms/ContentUserFeedback.
Invia e visualizza il feedback per