Leggere in inglese

Implementare criteri di controllo delle applicazioni adattivi

100 XP
  • 12 minuti

Dopo che il personale operativo IT di Contoso ha abilitato i controlli applicazioni adattivi, è necessario configurare un criterio di controllo delle applicazioni per soddisfare le raccomandazioni.

Configurare un nuovo criterio di controllo delle applicazioni

Per configurare un nuovo criterio di controllo delle applicazioni, in Centro sicurezzausare la procedura seguente:

  1. Selezionare la scheda consigliata per un elenco di gruppi con raccomandazioni per il controllo delle applicazioni:

    Screenshot del pannello Controlli applicazioni adattivi. L'amministratore ha selezionato la scheda Consigliato. Il Centro sicurezza ha consigliato due gruppi di computer per l'applicazione dei controlli delle applicazioni.

    L'elenco, ordinato per sottoscrizione di Azure, include le informazioni seguenti.

    Nome colonna Descrizione
    Nome del gruppo Nome del gruppo elencato con la sottoscrizione appropriata.
    Macchine Numero di macchine virtuali nel gruppo.
    Stato Stato delle raccomandazioni.
    Severità Livello di gravità delle raccomandazioni.

  2. Dopo aver selezionato un gruppo, esaminare il pannello Configurare le regole di controllo delle applicazioni.

    Screenshot del pannello Configura regole di controllo delle applicazioni nel portale di Azure. Sono elencati diversi computer e applicazioni consigliati.

  3. Nella sezione Selezionare macchine, esaminare l'elenco delle macchine virtuali consigliate e deselezionare quelle a cui non si desidera applicare un criterio di autorizzazione delle applicazioni.

  4. Nella sezione Applicazioni consigliate sono disponibili due sezioni, come descritto nella tabella seguente.

    Nome sezione Descrizione
    Applicazioni consigliate Elenco di applicazioni frequenti nelle macchine virtuali all'interno di questo gruppo e che il Centro sicurezza consiglia di consentire l'esecuzione.
    Altre applicazioni Elenco di applicazioni meno frequenti nelle macchine virtuali all'interno di questo gruppo o note come sfruttabili e che è consigliabile esaminare.

    Screenshot del pannello Configura regole di controllo delle applicazioni nel portale di Azure. Nella sezione Altre applicazioni sono elencate diverse applicazioni.

  5. Esaminare le applicazioni in ogni elenco e deselezionare le caselle di controllo di quelle che non si desidera applicare. Nella tabella seguente vengono descritte le informazioni contenute negli elenchi.

    Nome colonna Descrizione
    Nome Si tratta delle informazioni sul certificato per il file o il percorso completo di un'applicazione.
    Tipi di file Questo è il tipo di file dell'applicazione. Può trattarsi di un eseguibile (.exe), uno script, un Programma di installazione di Microsoft Windows (.msi) o qualsiasi permutazione di questi tipi di file.
    Sfruttabile Un'icona di avviso indica se un hacker malintenzionato potrebbe usare un'applicazione specifica per ignorare un elenco di elementi consentiti dell'applicazione. È consigliabile esaminare queste applicazioni prima di approvarle.
    Gli utenti si tratta di utenti ai quali è consigliato consentire di eseguire un'applicazione.

  6. Dopo aver completato le selezioni, seleziona Controlla.

    Nota

    Dopo aver selezionato Controlla, il Centro sicurezza sfrutta la funzionalità Windows AppLocker e crea automaticamente le regole appropriate sopra la soluzione allowlist predefinita dell'applicazione disponibile nei server che eseguono il sistema operativo Windows Server.

Quando si configurano i criteri, tenere presenti le informazioni riportate nella tabella seguente.

Considerazione Descrizione
Due settimane di dati necessari Il Centro sicurezza si basa su almeno due settimane di dati per creare una baseline e popolare le raccomandazioni univoche per ogni gruppo di macchine virtuali. I nuovi clienti del livello standard del Centro Sicurezza dovrebbero aspettarsi che, inizialmente, i gruppi di VM vengano visualizzati nella scheda nessuna raccomandazione.
Nessun supporto per i criteri di AppLocker esistenti I controlli applicazioni adattivi del Centro sicurezza non supportano le macchine virtuali per le quali i criteri di AppLocker sono già abilitati usando un oggetto Criteri di gruppo o un criterio di sicurezza locale.
Regole del server di pubblicazione preferite Come procedura consigliata per la sicurezza, il Centro sicurezza tenterà sempre di creare una regola di pubblicazione per le applicazioni selezionate per essere consentite. Se un'applicazione non dispone di informazioni sull'autore , ovvero non è firmata, verrà creata una regola di percorso per il percorso completo dell'applicazione specifica.

Importante

Al momento della scrittura (luglio 2020), è disponibile solo la modalità di controllo.

Modificare e monitorare un gruppo configurato con il controllo dell'applicazione

Dopo aver configurato i gruppi necessari, è possibile modificare e monitorare il gruppo. A tale scopo, completare la procedura seguente nel Centro sicurezza.

  1. Per modificare e monitorare un gruppo configurato con un criterio di elenco consentito delle applicazioni, tornare al pannello Controlli applicazioni adattivi e selezionare Configurato.

    Screenshot del pannello Controlli applicazioni adattivi. L'amministratore ha selezionato la scheda Configurata. Viene visualizzato un gruppo di revisione.

    L'elenco, ordinato per sottoscrizione di Azure, include le informazioni seguenti.

    Nome colonna Descrizione
    Nome del gruppo Nome del gruppo, elencato sotto la sottoscrizione appropriata.
    Macchine Numero di macchine virtuali nel gruppo.
    Modalità di protezione I log della modalità di controllo tentano di eseguire applicazioni non incluse nell'elenco elementi consentiti. ma la modalità Applica non permette affatto l'esecuzione di tali applicazioni.
    Avvisi Eventuali violazioni correnti.

  2. Selezionare un gruppo a cui si desidera apportare modifiche. Verrà visualizzato il pannello Modifica criteri di controllo dell'applicazione.

  3. Selezionare Impostazioni gruppo per apportare modifiche alle impostazioni del gruppo.

    Screenshot del pannello Modifica criteri di controllo dell'applicazione. L'amministratore ha selezionato Impostazioni gruppo e viene visualizzato anche il pannello Impostazioni gruppo.

  4. Nel pannello impostazioni gruppo , nella sezione modalità di protezione dei tipi di file , è possibile selezionare tra le modalità seguenti:

    • Audit: in questa modalità, la soluzione di controllo delle applicazioni non applica le regole e controlla solo l'attività nelle macchine virtuali protette. Questa opzione è consigliata per gli scenari in cui si vuole prima osservare il comportamento complessivo prima di bloccare un'app nella macchina virtuale di destinazione.
    • Imponi: in questa modalità, la soluzione di controllo dell'applicazione applica le regole assicurando che le applicazioni non autorizzate a essere eseguite siano bloccate.

    Importante

    Al momento della scrittura (luglio 2020), è disponibile solo la modalità di controllo.

  5. Nella sezione Aggiungere computer al gruppo è anche possibile aggiungere macchine virtuali al gruppo. Dopo aver apportato tutte le modifiche, selezionare Applica.

  6. Tornare al pannello Modifica criteri di controllo applicazioni e esaminare le violazioni correnti elencate nella sezione Avvisi recenti. Selezionare ogni riga da reindirizzare alla pagina avvisi nel Centro sicurezza ed esaminare tutti gli avvisi rilevati dal Centro sicurezza nelle macchine virtuali associate.

  7. Nelle sezioni Publisher allowlist rules, Path allowlist rulese Hash allowlist rules, è possibile esaminare quali regole dell'applicazione sono attualmente configurate nelle macchine virtuali all'interno di un gruppo, secondo il tipo di raccolta delle regole. Per ogni regola, è possibile esaminare Rule, Tipi di file, eccezioni e utenti .

  8. Se sono state apportate modifiche, selezionare Salva.

Nessun elenco di raccomandazioni

Il Centro sicurezza consiglia solo i criteri di autorizzazione delle applicazioni per le macchine virtuali che eseguono un set stabile di applicazioni. Le raccomandazioni non vengono create se:

  • La macchina virtuale non ha installato l'agente di Azure Log Analytics.
  • L'agente non invia eventi.
  • La macchina virtuale non è supportata.

Il Centro sicurezza elenca le macchine virtuali e le informazioni sulla sottoscrizione.

Suggerimento

È possibile installare l'agente di Azure Log Analytics nelle macchine virtuali. L'agente raccoglie quindi i dati necessari al Centro sicurezza per i controlli delle applicazioni.

Screenshot del pannello Controlli applicazioni adattivi. L'amministratore ha selezionato la scheda Nessuna raccomandazione. Una singola macchina virtuale è elencata e descritta come Agente mancante o nessun evento raccolto.

Suggerimento

Il Centro sicurezza consente di definire una policy di autorizzazione per le applicazioni sui gruppi di macchine virtuali indicati come Nessuna raccomandazione. Seguire gli stessi principi descritti in precedenza per configurare un criterio di autorizzazione dell'applicazione anche in tali gruppi.

Spostare una macchina virtuale da un gruppo a un altro

È possibile spostare le macchine virtuali da un gruppo a un altro. Quando si sposta una macchina virtuale in un altro gruppo, i criteri di controllo dell'applicazione applicati vengono modificati nelle impostazioni del gruppo in cui è stato spostato.

Suggerimento

È anche possibile spostare una macchina virtuale da un gruppo configurato a un gruppo non configurato, che comporta la rimozione di tutti i criteri di controllo delle applicazioni applicati in precedenza alla macchina virtuale.

Per spostare una macchina virtuale da un gruppo a un altro, seguire questa procedura:

  1. Nella scheda Controlli applicazioni adattivi, sulla scheda Configurata, selezionare il gruppo a cui appartiene attualmente la macchina virtuale.
  2. Selezionare Macchine configurate.
  3. Selezionare i puntini di sospensione e quindi selezionare Sposta.
  4. Nella finestra Sposta computer in gruppi diversi selezionare il gruppo in cui spostare la macchina virtuale, selezionare Sposta computere quindi selezionare Salva.

Screenshot del pannello Modifica criteri di controllo dell'applicazione, sezione Configura macchine. L'amministratore ha selezionato il menu a tre punti e può scegliere tra Sposta ed Elimina.

Attenzione

Assicurarsi di selezionare Salva dopo aver selezionato Sposta computer. In caso contrario, la macchina virtuale non viene spostata nel nuovo gruppo.

Unità successiva: Verifica delle conoscenze

Indietro Prossima