Migliorare la postura di sicurezza della rete con la protezione avanzata adattiva per la rete
La protezione avanzata adattiva della rete è una funzionalità senza agente di Microsoft Defender per il cloud. Non è necessario installare nulla nei computer per trarre vantaggio da questo strumento di protezione avanzata della rete.
Questa pagina illustra come configurare e gestire la protezione avanzata adattiva della rete in Defender per il cloud.
Disponibilità
Aspetto | Dettagli |
---|---|
Stato della versione: | Disponibilità generale (GA) |
Prezzi: | Richiede Microsoft Defender per server piano 2 |
Autorizzazioni e ruoli obbligatori: | Autorizzazioni di scrittura per i gruppi di sicurezza di rete del computer |
Cloud: | Cloud commerciali Nazionale (Azure per enti pubblici, Microsoft Azure gestito da 21Vianet) account AWS Connessione ed |
Che cos'è la protezione avanzata adattiva della rete?
L'applicazione di gruppi di sicurezza di rete (NSG) per filtrare il traffico da e verso le risorse migliora il comportamento di sicurezza di rete. In alcuni casi, tuttavia, è comunque possibile che il traffico effettivo che attraversa il gruppo di sicurezza di rete corrisponda a un subset delle regole del gruppo di sicurezza di rete definite. In questi casi è possibile migliorare ancora il comportamento di sicurezza applicando la protezione avanzata alle regole del gruppo di sicurezza di rete, in base ai criteri effettivi del traffico.
Protezione avanzata adattiva per la rete fornisce raccomandazioni per migliorare ulteriormente la protezione delle regole dei gruppi di sicurezza di rete. Usa un algoritmo di Machine Learning che prende in considerazione il traffico effettivo, la configurazione attendibile nota, l'intelligence sulle minacce e altri indicatori di compromissione e quindi fornisce raccomandazioni per consentire il traffico solo da tuple di IP/porta specifiche.
Si supponga, ad esempio, che la regola NSG esistente consenta il traffico dalla porta 140.20.30.10/24 sulla porta 22. In base all'analisi del traffico, la protezione avanzata adattiva della rete potrebbe consigliare di restringere l'intervallo per consentire il traffico da 140.23.30.10/29 e negare tutto l'altro traffico a tale porta. Per l'elenco completo delle porte supportate, vedere la voce domande comuni Quali porte sono supportate?.
Visualizzare gli avvisi di protezione avanzata e le regole consigliate
Dal menu di Defender per il cloud aprire il dashboard Protezione del carico di lavoro.
Selezionare il riquadro protezione avanzata adattiva della rete (1) o l'elemento del pannello informazioni dettagliate correlato alla protezione avanzata adattiva della rete (2).
Suggerimento
Il pannello informazioni dettagliate mostra la percentuale delle macchine virtuali attualmente difese con protezione avanzata adattiva della rete.
La pagina dei dettagli per le raccomandazioni per la protezione avanzata adattiva della rete deve essere applicata alle macchine virtuali con connessione Internet si apre con le macchine virtuali di rete raggruppate in tre schede:
- Risorse non integre: macchine virtuali con raccomandazioni e avvisi attivati eseguendo l'algoritmo adattivo di protezione avanzata della rete.
- Risorse integre: macchine virtuali senza avvisi e raccomandazioni.
- Risorse non a cui è stata eseguita l'analisi: le macchine virtuali in cui l'algoritmo di protezione avanzata adattiva della rete non può essere eseguito a causa di uno dei motivi seguenti:
- Le macchine virtuali sono macchine virtuali classiche: sono supportate solo le macchine virtuali di Azure Resource Manager.
- Non sono disponibili dati sufficienti: per generare raccomandazioni accurate sulla protezione avanzata del traffico, Defender per il cloud richiede almeno 30 giorni di dati sul traffico.
- La macchina virtuale non è protetta da Microsoft Defender per server: solo le macchine virtuali protette con Microsoft Defender per server sono idonee per questa funzionalità.
Nella scheda Risorse non integre selezionare una macchina virtuale per visualizzarne gli avvisi e le regole di protezione avanzata consigliate da applicare.
- Nella scheda Regole sono elencate le regole consigliate dalla protezione avanzata adattiva della rete
- Nella scheda Avvisi sono elencati gli avvisi generati a causa del traffico, che passa alla risorsa, che non rientra nell'intervallo IP consentito nelle regole consigliate.
Facoltativamente, modificare le regole:
Selezionare le regole da applicare nel gruppo di sicurezza di rete e selezionare Applica.
Suggerimento
Se gli intervalli IP di origine consentiti vengono visualizzati come "Nessuno", significa che la regola consigliata è una regola di negazione . In caso contrario, si tratta di una regola consentita .
Nota
Le regole applicate vengono aggiunte ai gruppi di sicurezza di rete che proteggono la macchina virtuale. Una macchina virtuale può essere protetta da un gruppo di sicurezza di rete associato alla relativa scheda di interfaccia di rete o dalla subnet in cui risiede la macchina virtuale o da entrambi.
Modificare una regola
È possibile modificare i parametri di una regola consigliata. Ad esempio, è possibile modificare gli intervalli IP consigliati.
Alcune linee guida importanti per la modifica di una regola di protezione avanzata adattiva della rete:
Non è possibile modificare le regole per consentire la negazione delle regole.
È possibile modificare solo i parametri delle regole consentite .
La creazione e la modifica delle regole di "negazione" viene eseguita direttamente nel gruppo di sicurezza di rete. Per altre informazioni, vedere Creare, modificare o eliminare un gruppo di sicurezza di rete.
Una regola nega tutto il traffico è l'unico tipo di regola "nega" che verrebbe elencata qui e non può essere modificata. È tuttavia possibile eliminarlo (vedere Eliminare una regola). Per informazioni su questo tipo di regola, vedere la voce domande comuni Quando è consigliabile usare una regola "Nega tutto il traffico?".
Per modificare una regola di protezione avanzata adattiva della rete:
Per modificare alcuni dei parametri di una regola, nella scheda Regole selezionare i tre puntini (...) alla fine della riga della regola e selezionare Modifica.
Nella finestra Modifica regola aggiornare i dettagli da modificare e selezionare Salva.
Nota
Dopo aver selezionato Salva, la regola è stata modificata correttamente. Tuttavia, non è stato applicato al gruppo di sicurezza di rete. Per applicarla, è necessario selezionare la regola nell'elenco e selezionare Applica (come illustrato nel passaggio successivo).
Per applicare la regola aggiornata, nell'elenco selezionare la regola aggiornata e selezionare Applica.
Aggiungere una nuova regola
È possibile aggiungere una regola "consenti" non consigliata da Defender per il cloud.
Nota
Qui è possibile aggiungere solo le regole "consenti". Se si desidera aggiungere regole di "negazione", è possibile farlo direttamente nel gruppo di sicurezza di rete. Per altre informazioni, vedere Creare, modificare o eliminare un gruppo di sicurezza di rete.
Per aggiungere una regola di protezione avanzata adattiva della rete:
Nella barra degli strumenti superiore selezionare Aggiungi regola.
Nella finestra Nuova regola immettere i dettagli e selezionare Aggiungi.
Nota
Dopo aver selezionato Aggiungi, la regola è stata aggiunta correttamente ed è elencata con le altre regole consigliate. Tuttavia, non è stato applicato al gruppo di sicurezza di rete. Per attivarlo, è necessario selezionare la regola nell'elenco e selezionare Applica (come illustrato nel passaggio successivo).
Per applicare la nuova regola, nell'elenco selezionare la nuova regola e selezionare Applica.
Eliminare una regola
Quando necessario, è possibile eliminare una regola consigliata per la sessione corrente. Ad esempio, è possibile determinare che l'applicazione di una regola suggerita potrebbe bloccare il traffico legittimo.
Per eliminare una regola di protezione avanzata adattiva della rete per la sessione corrente:
Nella scheda Regole selezionare i tre puntini (...) alla fine della riga della regola e selezionare Elimina.
Passaggio successivo
- Visualizzare domande comuni sulla protezione avanzata adattiva della rete