Usare i controlli applicazioni adattivi per ridurre le superfici di attacco dei computer

Informazioni sui vantaggi di Microsoft Defender per i controlli applicazioni adattivi del cloud e su come migliorare la sicurezza con questa funzionalità intelligente basata sui dati.

Che cosa sono i controlli applicazioni adattivi?

I controlli applicazioni adattivi sono una soluzione intelligente e automatizzata per definire elenchi di applicazioni note sicure consentite per i computer.

Spesso, le organizzazioni dispongono di raccolte di computer che eseguono regolarmente gli stessi processi. Microsoft Defender for Cloud usa l'apprendimento automatico per analizzare le applicazioni in esecuzione nei computer e creare un elenco del software sicuro noto. Gli elenchi di elementi consentiti si basano sui carichi di lavoro di Azure specifici ed è possibile personalizzare ulteriormente le raccomandazioni seguendo le istruzioni riportate di seguito.

Dopo l'abilitazione e la configurazione dei controlli applicazioni adattivi, si riceveranno avvisi di sicurezza se viene eseguita un'applicazione non inclusa nell'elenco di applicazioni definite come sicure.

Quali sono i vantaggi dei controlli applicazioni adattivi?

Definendo elenchi di applicazioni sicure note e generando avvisi quando si esegue qualsiasi altra operazione, è possibile raggiungere più obiettivi di supervisione e conformità:

  • Identificare il potenziale malware, anche in caso di mancata presenza di soluzioni antimalware
  • Migliorare la conformità ai criteri di sicurezza locali che determinano l'uso solo del software concesso in licenza
  • Identificare le versioni obsolete o non supportate delle applicazioni
  • Identificare il software vietato dall'organizzazione, ma è comunque in esecuzione nei computer
  • Aumentare la supervisione delle app che accedono ai dati sensibili

Attualmente non sono disponibili opzioni di imposizione. I controlli applicazioni adattivi sono progettati per fornire avvisi di sicurezza se un'applicazione viene eseguita in modo diverso da quelli definiti come sicuri.

Disponibilità

Aspetto Dettagli
Stato della versione: Disponibilità generale (GA)
Prezzi: Richiede Microsoft Defender per server piano 2
Computer supportati: Computer Azure e non Azure che eseguono Windows e Linux
Computer Azure Arc
Autorizzazioni e ruoli obbligatori: I ruoli Con autorizzazioni di lettura per la sicurezza e lettore possono visualizzare sia i gruppi che gli elenchi di applicazioni sicure note
I ruoli collaboratore e sicurezza Amministrazione possono modificare i gruppi e gli elenchi di applicazioni sicure note
Cloud: Cloud commerciali
Nazionale (Azure per enti pubblici, Azure China 21Vianet)
Account AWS connessi

Abilitare i controlli delle applicazioni in un gruppo di computer

Se Microsoft Defender for Cloud ha identificato gruppi di computer nelle sottoscrizioni che eseguono in modo coerente un set di applicazioni simile, verrà richiesto il consiglio seguente: i controlli applicazioni adattivi per la definizione di applicazioni sicure devono essere abilitati nei computer.

Selezionare la raccomandazione oppure aprire la pagina controlli applicazioni adattivi per visualizzare l'elenco delle applicazioni e dei gruppi di computer noti suggeriti.

  1. Aprire il dashboard Protezione del carico di lavoro e nell'area protezione avanzata selezionare Controlli applicazione adattivi.

    Apertura di controlli applicazioni adattivi dal dashboard di Azure.

    Viene visualizzata la pagina Controlli applicazione adattivi con le macchine virtuali raggruppate nelle schede seguenti:

    • Configurato : gruppi di computer che dispongono già di un elenco consentito definito di applicazioni. Per ogni gruppo, la scheda configurata mostra:

      • numero di computer nel gruppo
      • avvisi recenti
    • Consigliato : gruppi di computer che eseguono in modo coerente le stesse applicazioni e non hanno un elenco elementi consentiti configurato. È consigliabile abilitare i controlli applicazioni adattivi per questi gruppi.

      Suggerimento

      Se viene visualizzato un nome di gruppo con il prefisso "REVIEWGROUP", contiene computer con un elenco parzialmente coerente di applicazioni. Microsoft Defender per Cloud non è in grado di visualizzare un modello, ma consiglia di esaminare questo gruppo per verificare se è possibile definire manualmente alcune regole di controlli applicazione adattivi, come descritto in Modifica della regola dei controlli applicazioni adattivi di un gruppo.

      È anche possibile spostare i computer da questo gruppo ad altri gruppi, come descritto in Spostare un computer da un gruppo a un altro.

    • Nessuna raccomandazione : i computer senza un elenco consentito definito di applicazioni e che non supportano la funzionalità. Il computer potrebbe trovarsi in questa scheda per i motivi seguenti:

      • Manca un agente di Log Analytics
      • L'agente di Log Analytics non invia eventi
      • Si tratta di un computer Windows con criteri di AppLocker preesistenti abilitati da un oggetto Criteri di gruppo o da un criterio di sicurezza locale
      • AppLocker non è disponibile (installazioni di Windows Server Core)

      Suggerimento

      Defender for Cloud richiede almeno due settimane di dati per definire i consigli univoci per ogni gruppo di computer. I computer che sono stati creati di recente o che appartengono a sottoscrizioni protette solo di recente da Microsoft Defender per server, verranno visualizzati nella scheda Nessuna raccomandazione.

  2. Aprire la scheda Consigliato . Viene visualizzato il gruppo di computer con elenchi consentiti consigliati.

    Scheda Consigliata.

  3. Selezionare un gruppo.

  4. Per configurare la nuova regola, esaminare le varie sezioni di questa pagina Configurare le regole di controllo delle applicazioni e il contenuto, che sarà univoco per questo gruppo specifico di computer:

    Configurare una nuova regola.

    1. Selezionare i computer : per impostazione predefinita, vengono selezionati tutti i computer nel gruppo identificato. Deselezionare eventuali elementi da rimuovere da questa regola.

    2. Applicazioni consigliate : esaminare questo elenco di applicazioni comuni ai computer all'interno di questo gruppo e che è consigliabile eseguire.

    3. Altre applicazioni : esaminare questo elenco di applicazioni che vengono visualizzate meno frequentemente nei computer all'interno di questo gruppo o che sono note per essere sfruttabili. Un'icona di avviso indica che un'applicazione specifica può essere usata da un utente malintenzionato per ignorare un elenco di elementi consentiti di un'applicazione. È consigliabile esaminare attentamente queste applicazioni.

      Suggerimento

      Entrambi gli elenchi di applicazioni includono l'opzione per limitare un'applicazione specifica a determinati utenti. Adottare il principio dei privilegi minimi quando possibile.

      Le applicazioni vengono definite dagli editori, se un'applicazione non dispone di informazioni sull'autore (non firmate), viene creata una regola di percorso per il percorso completo dell'applicazione specifica.

    4. Per applicare la regola, selezionare Controlla.

Modificare la regola dei controlli applicazione adattivi di un gruppo

È possibile decidere di modificare l'elenco elementi consentiti per un gruppo di computer a causa di modifiche note nell'organizzazione.

Per modificare le regole per un gruppo di computer:

  1. Aprire il dashboard Protezione del carico di lavoro e nell'area protezione avanzata selezionare Controlli applicazione adattivi.

  2. Nella scheda Configurato selezionare il gruppo con la regola da modificare.

  3. Esaminare le varie sezioni della pagina Configurare le regole di controllo delle applicazioni come descritto in Abilitare i controlli applicazioni adattivi in un gruppo di computer.

  4. Facoltativamente, aggiungere una o più regole personalizzate:

    1. Selezionare Aggiungi regola.

      Aggiungere una regola personalizzata.

    2. Se si definisce un percorso sicuro noto, modificare il tipo di regola in "Percorso" e immettere un singolo percorso. È possibile includere caratteri jolly nel percorso.

      Suggerimento

      Alcuni scenari per i quali i caratteri jolly in un percorso potrebbero essere utili:

      • Utilizzando un carattere jolly alla fine di un percorso per consentire tutti i file eseguibili all'interno di questa cartella e sottocartelle.
      • Usando un carattere jolly al centro di un percorso per abilitare un nome eseguibile noto con un nome di cartella modificato (ad esempio, cartelle utente personali contenenti un eseguibile noto, nomi di cartelle generati automaticamente e così via).
    3. Definire gli utenti consentiti e i tipi di file protetti.

    4. Al termine della definizione della regola, selezionare Aggiungi.

  5. Per applicare le modifiche, selezionare Salva.

Esaminare e modificare le impostazioni di un gruppo

  1. Per visualizzare i dettagli e le impostazioni del gruppo, selezionare Impostazioni gruppo

    Questo riquadro mostra il nome del gruppo (che può essere modificato), il tipo di sistema operativo, la posizione e altri dettagli pertinenti.

    Pagina delle impostazioni di gruppo per i controlli applicazione adattivi.

  2. Facoltativamente, modificare il nome del gruppo o le modalità di protezione del tipo di file.

  3. Selezionare Applica e Salva.

Rispondere alla raccomandazione "Allowlist rules in your adaptive application control policy should be updated" (Regole consentite nei criteri di controllo applicazioni adattivi)

Questa raccomandazione verrà visualizzata quando l'apprendimento automatico di Defender for Cloud identifica un comportamento potenzialmente legittimo che non è stato consentito in precedenza. La raccomandazione suggerisce nuove regole per le definizioni esistenti per ridurre il numero di avvisi falsi positivi.

Per risolvere i problemi:

  1. Nella pagina delle raccomandazioni selezionare la raccomandazione Consenti regole nel criterio di controllo delle applicazioni adattivo per visualizzare i gruppi con un comportamento potenzialmente legittimo identificato.

  2. Selezionare il gruppo con la regola da modificare.

  3. Esaminare le varie sezioni della pagina Configurare le regole di controllo delle applicazioni come descritto in Abilitare i controlli applicazioni adattivi in un gruppo di computer.

  4. Per applicare le modifiche, selezionare Controlla.

Controllare avvisi e violazioni

  1. Aprire il dashboard Protezione del carico di lavoro e nell'area protezione avanzata selezionare Controlli applicazione adattivi.

  2. Per visualizzare i gruppi con computer con avvisi recenti, esaminare i gruppi elencati nella scheda Configurata .

  3. Per approfondire l'analisi, selezionare un gruppo.

    Avvisi recenti.

  4. Per altri dettagli e l'elenco dei computer interessati, selezionare un avviso.

    La pagina Avvisi di sicurezza mostra altri dettagli degli avvisi e fornisce un collegamento Azione di esecuzione con consigli su come attenuare la minaccia.

    L'ora di inizio degli avvisi dei controlli applicazioni adattivi è l'ora in cui i controlli applicazioni adattivi hanno creato l'avviso.

    Nota

    I controlli applicazioni adattivi calcolano gli eventi una volta ogni dodici ore. L'ora di inizio dell'attività visualizzata nella pagina Avvisi di sicurezza è l'ora in cui l'applicazione adattiva controlla l'avviso, non l'ora in cui il processo sospetto è stato attivo.

Spostare un computer da un gruppo a un altro

Quando si sposta un computer da un gruppo a un altro, i criteri di controllo dell'applicazione vengono applicati alle impostazioni del gruppo in cui è stato spostato. È anche possibile spostare un computer da un gruppo configurato a un gruppo non configurato, in modo da rimuovere tutte le regole di controllo dell'applicazione applicate al computer.

  1. Aprire il dashboard Protezione del carico di lavoro e nell'area protezione avanzata selezionare Controlli applicazione adattivi.

  2. Nella scheda Configurato della pagina Controlli applicazione adattivi selezionare il gruppo contenente il computer da spostare.

  3. Aprire l'elenco dei computer configurati.

  4. Aprire il menu del computer da tre puntini alla fine della riga e selezionare Sposta. Verrà visualizzato il riquadro Sposta computer in un gruppo diverso .

  5. Selezionare il gruppo di destinazione e selezionare Sposta computer.

  6. Per salvare le modifiche, selezionare Salva.

Gestire i controlli delle applicazioni tramite l'API REST

Per gestire i controlli delle applicazioni adattivi a livello di codice, usare l'API REST.

La documentazione dell'API pertinente è disponibile nella sezione Controlli applicazioni adattivi della documentazione dell'API di Defender for Cloud.

Alcune delle funzioni disponibili dall'API REST:

  • L'elenco recupera tutte le raccomandazioni del gruppo e fornisce un codice JSON con un oggetto per ogni gruppo.

  • Recupera il codice JSON con i dati di raccomandazione completi, ovvero l'elenco di computer, regole publisher/path e così via.

  • Put configura la regola (usare il codice JSON recuperato con Get come corpo per questa richiesta).

    Importante

    La funzione Put prevede un minor numero di parametri rispetto al codice JSON restituito dal comando Get.

    Rimuovere le proprietà seguenti prima di usare json nella richiesta Put: recommendationStatus, configurationStatus, issues, location e sourceSystem.

Domande frequenti - Controlli applicazioni adattivi

Sono disponibili opzioni per applicare i controlli dell'applicazione?

Attualmente non sono disponibili opzioni di imposizione. I controlli applicazioni adattivi sono progettati per fornire avvisi di sicurezza se un'applicazione viene eseguita in modo diverso da quelli definiti come sicuri. Hanno una gamma di vantaggi (quali sono i vantaggi dei controlli applicazioni adattivi?) e sono estremamente personalizzabili come illustrato in questa pagina.

Microsoft Defender per i server include l'analisi delle vulnerabilità per i computer senza costi aggiuntivi. Non è necessaria una licenza né un account Qualys: tutto viene gestito in modo integrato all'interno di Defender per il cloud. Per informazioni dettagliate su questo scanner e istruzioni su come distribuirlo, vedere La soluzione di valutazione delle vulnerabilità Qualys integrata di Defender for Cloud.

Per assicurarsi che non vengano generati avvisi quando Defender for Cloud distribuisce lo scanner, l'elenco di elementi consentiti consigliati per i controlli applicazioni adattivi include lo scanner per tutti i computer.

Passaggi successivi

In questa pagina si è appreso come usare il controllo applicazioni adattivo in Microsoft Defender for Cloud per definire elenchi consentiti di applicazioni in esecuzione nei computer Azure e non Azure. Per altre informazioni su altre funzionalità di protezione del carico di lavoro cloud, vedere: