Abilitare e gestire i controlli applicazioni adattivi

  • Articolo

I controlli applicazioni adattivi di Microsoft Defender per il cloud offrono una soluzione automatizzata basata sui dati e intelligente che migliora la sicurezza definendo elenchi consentiti di applicazioni sicure note per i computer. Con questa funzionalità, le organizzazioni possono gestire raccolte di computer che eseguono regolarmente gli stessi processi. Usando l'apprendimento automatico, Microsoft Defender per il cloud può analizzare le applicazioni in esecuzione nei computer e creare un elenco di software sicuro noto. Questi elenchi di elementi consentiti sono basati su carichi di lavoro di Azure specifici. È possibile personalizzare ulteriormente le raccomandazioni usando le istruzioni fornite in questa pagina.

In un gruppo di computer

Se Microsoft Defender per il cloud ha identificato gruppi di computer nelle sottoscrizioni che eseguono in modo coerente un set di applicazioni simile, verrà richiesto il suggerimento seguente: I controlli applicazioni adattivi per la definizione di applicazioni sicure devono essere abilitati nei computer.

Selezionare la raccomandazione oppure aprire la pagina dei controlli applicazioni adattivi per visualizzare l'elenco di applicazioni e gruppi di computer noti suggeriti.

  1. Aprire il dashboard Protezione del carico di lavoro e nell'area protezione avanzata selezionare Controlli applicazioni adattivi.

    Screenshot showing opening adaptive application controls from the Azure Dashboard.

    Viene visualizzata la pagina Controlli applicazione adattivi con le macchine virtuali raggruppate nelle schede seguenti:

    • Configurato : gruppi di computer che dispongono già di un elenco di applicazioni consentito definito. Per ogni gruppo, la scheda configurata mostra:

      • numero di computer nel gruppo
      • avvisi recenti

    • Consigliato : gruppi di computer che eseguono in modo coerente le stesse applicazioni e non dispongono di un elenco di elementi consentiti configurato. È consigliabile abilitare i controlli applicazioni adattivi per questi gruppi.

      Suggerimento

      Se viene visualizzato un nome di gruppo con il prefisso REVIEWGROUP, contiene computer con un elenco parzialmente coerente di applicazioni. Microsoft Defender per il cloud non è possibile visualizzare un modello, ma consiglia di esaminare questo gruppo per verificare se è possibile definire manualmente alcune regole dei controlli applicazioni adattivi come descritto in Modificare la regola dei controlli applicazioni adattivi di un gruppo.

      È anche possibile spostare i computer da questo gruppo ad altri gruppi, come descritto in Spostare un computer da un gruppo a un altro.

    • Nessuna raccomandazione : i computer senza un elenco consentito definito di applicazioni e che non supportano la funzionalità. Il computer potrebbe trovarsi in questa scheda per i motivi seguenti:

      • Manca un agente di Log Analytics
      • L'agente di Log Analytics non invia eventi
      • Si tratta di un computer Windows con criteri di AppLocker preesistenti abilitati da un oggetto Criteri di gruppo o da un criterio di sicurezza locale
      • AppLocker non è disponibile (installazioni di Windows Server Core)

      Suggerimento

      Defender per il cloud richiede almeno due settimane di dati per definire i consigli univoci per ogni gruppo di computer. I computer che sono stati creati di recente o che appartengono a sottoscrizioni protette solo di recente da Microsoft Defender per server verranno visualizzati nella scheda Nessuna raccomandazione .

  2. Aprire la scheda Consigliato . Vengono visualizzati i gruppi di computer con elenchi consentiti consigliati.

    Screenshot that shows you where on the screen the recommendation tab is.

  3. Selezionare un gruppo.

  4. Per configurare la nuova regola, esaminare le varie sezioni della pagina Configurare le regole di controllo delle applicazioni e il contenuto, che sarà univoco per questo gruppo specifico di computer:

    Screenshot that shows you the order you need to follow to configure application control rules in the portal.

    1. Selezionare i computer : per impostazione predefinita, vengono selezionati tutti i computer nel gruppo identificato. Deselezionare gli eventuali elementi da rimuovere da questa regola.

    2. Applicazioni consigliate: esaminare questo elenco di applicazioni comuni ai computer all'interno di questo gruppo e consigliate per l'esecuzione.

    3. Altre applicazioni : esaminare questo elenco di applicazioni che vengono visualizzate meno frequentemente nei computer all'interno di questo gruppo o che sono note per essere sfruttabili. Un'icona di avviso indica che un'applicazione specifica può essere usata da un utente malintenzionato per ignorare un elenco di elementi consentiti dell'applicazione. È consigliabile esaminare attentamente queste applicazioni.

      Suggerimento

      Entrambi gli elenchi di applicazioni includono l'opzione per limitare un'applicazione specifica a determinati utenti. Adottare il principio dei privilegi minimi quando possibile.

      Le applicazioni vengono definite dai rispettivi editori. Se un'applicazione non dispone di informazioni sull'editore (non firmato), viene creata una regola di percorso per il percorso completo dell'applicazione specifica.

    4. Per applicare la regola, selezionare Controlla.

Modificare la regola dei controlli applicazioni adattivi di un gruppo

È possibile decidere di modificare l'elenco di elementi consentiti per un gruppo di computer a causa di modifiche note nell'organizzazione.

Per modificare le regole per un gruppo di computer:

  1. Aprire il dashboard Protezione del carico di lavoro e nell'area protezione avanzata selezionare Controlli applicazioni adattivi.

  2. Nella scheda Configurato selezionare il gruppo con la regola da modificare.

  3. Esaminare le varie sezioni della pagina Configurare le regole di controllo delle applicazioni come descritto in In un gruppo di computer.

  4. Facoltativamente, aggiungere una o più regole personalizzate:

    1. Seleziona Aggiungi regola.

    Screenshot that showsyou where the add rule button is located.

    1. Se si definisce un percorso sicuro noto, modificare il tipo di regola in "Percorso" e immettere un singolo percorso. È possibile includere caratteri jolly nel percorso. Le schermate seguenti illustrano alcuni esempi di come usare i caratteri jolly.

      Screenshot that shows examples of using wildcards.

      Suggerimento

      Alcuni scenari per i quali i caratteri jolly in un percorso potrebbero essere utili:

      • Utilizzando un carattere jolly alla fine di un percorso per consentire tutti i file eseguibili all'interno di questa cartella e sottocartelle.
      • Usando un carattere jolly al centro di un percorso per abilitare un nome eseguibile noto con un nome di cartella modificato( ad esempio, cartelle utente personali contenenti un eseguibile noto, nomi di cartelle generati automaticamente e così via).

    2. Definire gli utenti consentiti e i tipi di file protetti.

    3. Al termine della definizione della regola, selezionare Aggiungi.

  5. Per applicare le modifiche, selezionare Salva.

Rivedere e modificare le impostazioni di un gruppo

  1. Per visualizzare i dettagli e le impostazioni del gruppo, selezionare Impostazioni gruppo.

    Questo riquadro mostra il nome del gruppo (che può essere modificato), il tipo di sistema operativo, la posizione e altri dettagli pertinenti.

    Screenshot showing the group settings page for adaptive application controls.

  2. Facoltativamente, modificare il nome del gruppo o le modalità di protezione dei tipi di file.

  3. Selezionare Applica e Salva.

Rispondere alla raccomandazione "Allowlist rules in your adaptive application control policy should be updated" (Le regole consentite nei criteri di controllo applicazioni adattivi devono essere aggiornate)

Questa raccomandazione verrà visualizzata quando l'apprendimento automatico di Defender per il cloud identifica un comportamento potenzialmente legittimo che non è stato consentito in precedenza. La raccomandazione suggerisce nuove regole per le definizioni esistenti per ridurre il numero di avvisi falsi positivi.

Per correggere i problemi:

  1. Nella pagina delle raccomandazioni selezionare le regole consenti nei criteri di controllo delle applicazioni adattivi devono essere aggiornate per visualizzare i gruppi con un comportamento potenzialmente legittimo identificato.

  2. Selezionare il gruppo con la regola da modificare.

  3. Esaminare le varie sezioni della pagina Configurare le regole di controllo delle applicazioni come descritto in In un gruppo di computer.

  4. Per applicare le modifiche, selezionare Controlla.

Controllare avvisi e violazioni

  1. Aprire il dashboard Protezione del carico di lavoro e nell'area protezione avanzata selezionare Controlli applicazioni adattivi.

  2. Per visualizzare i gruppi con computer con avvisi recenti, esaminare i gruppi elencati nella scheda Configurato .

  3. Per approfondire l'analisi, selezionare un gruppo.

    Screenshot showing recent alerts.

  4. Per altri dettagli e l'elenco dei computer interessati, selezionare un avviso.

    La pagina degli avvisi di sicurezza mostra altri dettagli degli avvisi e fornisce un collegamento Azione di esecuzione con raccomandazioni su come attenuare la minaccia.

    Screenshot of the start time of adaptive application controls alerts showing that the time is when adaptive application controls created the alert.

    Nota

    I controlli applicazioni adattivi calcolano gli eventi una volta ogni dodici ore. L'ora di inizio dell'attività visualizzata nella pagina degli avvisi di sicurezza è l'ora in cui i controlli adattivi dell'applicazione hanno creato l'avviso, non l'ora in cui il processo sospetto è stato attivo.

Spostare un computer da un gruppo a un altro

Quando si sposta un computer da un gruppo a un altro, i criteri di controllo dell'applicazione applicati cambiano alle impostazioni del gruppo in cui è stato spostato. È anche possibile spostare un computer da un gruppo configurato a un gruppo non configurato, che rimuove tutte le regole di controllo dell'applicazione applicate al computer.

  1. Aprire il dashboard Protezione del carico di lavoro e nell'area protezione avanzata selezionare Controlli applicazioni adattivi.

  2. Nella pagina Controlli applicazione adattivi selezionare il gruppo contenente il computer da spostare nella scheda Configurata.

  3. Aprire l'elenco computer configurati.

  4. Aprire il menu del computer da tre puntini alla fine della riga e selezionare Sposta. Verrà visualizzato il riquadro Sposta computer in un gruppo diverso.

  5. Selezionare il gruppo di destinazione e selezionare Sposta computer.

  6. Seleziona Salva per salvare le modifiche.

Gestire i controlli dell'applicazione tramite l'API REST

Per gestire i controlli delle applicazioni adattivi a livello di codice, usare l'API REST.

La documentazione dell'API pertinente è disponibile nella sezione Controlli applicazioni adattivi della documentazione dell'API di Defender per il cloud.

Alcune delle funzioni disponibili nell'API REST includono:

  • L'elenco recupera tutte le raccomandazioni del gruppo e fornisce un codice JSON con un oggetto per ogni gruppo.

  • Recupera il codice JSON con i dati di raccomandazione completi, ovvero un elenco di computer, regole di pubblicazione/percorso e così via.

  • Put configura la regola (usare il codice JSON recuperato con Get come corpo per questa richiesta).

    Importante

    La funzione Put prevede un minor numero di parametri rispetto al codice JSON restituito dal comando Get .

    Rimuovere le proprietà seguenti prima di usare il codice JSON nella richiesta Put : recommendationStatus, configurationStatus, issues, location e sourceSystem.

Passaggi successivi

In questa pagina si è appreso come usare il controllo applicazioni adattivo in Microsoft Defender per il cloud per definire elenchi consentiti di applicazioni in esecuzione nei computer Azure e non Azure. Per altre informazioni su altre funzionalità di protezione del carico di lavoro cloud, vedere: