Poprawianie stanu bezpieczeństwa sieci dzięki adaptacyjnemu wzmacnianiu zabezpieczeń sieci

Adaptacyjne wzmocnienie zabezpieczeń sieci to funkcja bez agenta Microsoft Defender dla chmury — nic nie musi być zainstalowane na maszynach, aby korzystać z tego narzędzia do wzmacniania zabezpieczeń sieci.

Na tej stronie wyjaśniono, jak skonfigurować adaptacyjne wzmocnienie zabezpieczeń sieci i zarządzać nimi w usłudze Defender for Cloud.

Dostępność

Aspekt Szczegóły
Stan wydania: Ogólna dostępność
Ceny: Wymaga Microsoft Defender dla planu 2 serwerów
Wymagane role i uprawnienia: Uprawnienia do zapisu w sieciowych grupach zabezpieczeń maszyny
Chmury: Chmury komercyjne
National (Azure Government, Azure China 21Vianet)
Połączone konta platformy AWS

Co to jest adaptacyjne wzmocnienie zabezpieczeń sieci?

Stosowanie sieciowych grup zabezpieczeń w celu filtrowania ruchu do i z zasobów zwiększa stan zabezpieczeń sieci. Jednak nadal może istnieć kilka przypadków, w których rzeczywisty ruch przepływający przez sieciową grupę zabezpieczeń jest podzbiorem zdefiniowanych reguł sieciowej grupy zabezpieczeń. W takich przypadkach można jeszcze bardziej poprawić stan zabezpieczeń, wzmacniając reguły sieciowej grupy zabezpieczeń na podstawie rzeczywistych wzorców ruchu.

Adaptacyjne wzmacnianie zabezpieczeń sieci zawiera zalecenia umożliwiające dalsze wzmacnianie reguł sieciowej grupy zabezpieczeń. Używa algorytmu uczenia maszynowego, który uwzględnia rzeczywisty ruch, znaną zaufaną konfigurację, analizę zagrożeń i inne wskaźniki naruszenia, a następnie udostępnia zalecenia zezwalania na ruch tylko z określonych krotek adresów IP/portów.

Załóżmy na przykład, że istniejąca reguła sieciowej grupy zabezpieczeń zezwala na ruch z 140.20.30.10/24 na porcie 22. Na podstawie analizy ruchu adaptacyjne wzmocnienie zabezpieczeń sieci może zalecić zawężenie zakresu, aby zezwolić na ruch z 140.23.30.10/29 i odmówić całego innego ruchu do tego portu. Aby uzyskać pełną listę obsługiwanych portów, zobacz wpis Często zadawane pytania , które porty są obsługiwane?.

  1. W menu usługi Defender for Cloud otwórz pulpit nawigacyjny Ochrona obciążenia .

  2. Wybierz kafelek adaptacyjnego wzmacniania zabezpieczeń sieci (1) lub element panelu szczegółowych informacji związany z adaptacyjnym wzmacnianiem zabezpieczeń sieci (2).

    Uzyskiwanie dostępu do narzędzi adaptacyjnego wzmacniania zabezpieczeń sieci.

    Porada

    Panel szczegółowych informacji przedstawia procent maszyn wirtualnych, które są obecnie bronione przy użyciu adaptacyjnego wzmacniania zabezpieczeń sieci.

  3. Strona szczegółów zaleceń dotyczących adaptacyjnego wzmacniania zabezpieczeń sieci powinna być stosowana w zaleceniach dotyczących maszyn wirtualnych z Dostępem do Internetu, w których znajdują się maszyny wirtualne sieciowe pogrupowane na trzy karty:

    • Zasoby w złej kondycji: maszyny wirtualne, które mają obecnie zalecenia i alerty, które zostały wyzwolone przez uruchomienie algorytmu adaptacyjnego wzmacniania zabezpieczeń sieci.
    • Zasoby w dobrej kondycji: maszyny wirtualne bez alertów i zaleceń.
    • Nieskanowane zasoby: maszyny wirtualne, na których nie można uruchomić algorytmu adaptacyjnego wzmacniania zabezpieczeń sieci z jednego z następujących powodów:
      • Maszyny wirtualne to klasyczne maszyny wirtualne: obsługiwane są tylko maszyny wirtualne platformy Azure Resource Manager.
      • Za mało dostępnych danych: aby wygenerować dokładne zalecenia dotyczące wzmacniania bezpieczeństwa ruchu, usługa Defender for Cloud wymaga co najmniej 30 dni danych ruchu.
      • Maszyna wirtualna nie jest chroniona przez Microsoft Defender dla serwerów: tylko maszyny wirtualne chronione za pomocą Microsoft Defender dla serwerów kwalifikują się do tej funkcji.

    Strona szczegółów rekomendacji Zalecenia dotyczące adaptacyjnego wzmacniania zabezpieczeń sieci powinny być stosowane na maszynach wirtualnych z Internetem.

  4. Na karcie Zasoby w złej kondycji wybierz maszynę wirtualną, aby wyświetlić alerty i zalecane reguły wzmacniania zabezpieczeń, które mają być stosowane.

    • Karta Reguły zawiera listę reguł zalecanych przez adaptacyjne wzmacnianie zabezpieczeń sieci
    • Karta Alerty zawiera listę alertów wygenerowanych z powodu ruchu, przepływającego do zasobu, który nie znajduje się w zakresie adresów IP dozwolonych w zalecanych regułach.
  5. Opcjonalnie edytuj reguły:

  6. Wybierz reguły, które chcesz zastosować w sieciowej grupie zabezpieczeń, a następnie wybierz pozycję Wymuszaj.

    Porada

    Jeśli dozwolone źródłowe zakresy adresów IP są wyświetlane jako "Brak", oznacza to, że zalecana reguła jest regułą odmowy , w przeciwnym razie jest to reguła zezwalania .

    Zarządzanie regułami adaptacyjnego wzmacniania zabezpieczeń sieci.

    Uwaga

    Wymuszone reguły są dodawane do sieciowych grup zabezpieczeń chroniących maszynę wirtualną. (Maszyna wirtualna może być chroniona przez sieciową grupę zabezpieczeń skojarzona z kartą sieciową lub podsieć, w której znajduje się maszyna wirtualna lub obie te grupy)

Modyfikowanie reguły

Możesz zmodyfikować parametry reguły, która została zalecana. Możesz na przykład zmienić zalecane zakresy adresów IP.

Niektóre ważne wskazówki dotyczące modyfikowania reguły adaptacyjnego wzmacniania zabezpieczeń sieci:

Aby zmodyfikować regułę adaptacyjnego wzmacniania zabezpieczeń sieci:

  1. Aby zmodyfikować niektóre parametry reguły, na karcie Reguły wybierz trzy kropki (...) na końcu wiersza reguły, a następnie wybierz pozycję Edytuj.

    Edytowanie reguły.

  2. W oknie Edytowanie reguły zaktualizuj szczegóły, które chcesz zmienić, a następnie wybierz pozycję Zapisz.

    Uwaga

    Po wybraniu pozycji Zapisz pomyślnie zmieniono regułę. Nie zastosowano go jednak do sieciowej grupy zabezpieczeń. Aby ją zastosować, musisz wybrać regułę na liście i wybrać pozycję Wymuszaj (jak wyjaśniono w następnym kroku).

    Wybranie pozycji Zapisz.

  3. Aby zastosować zaktualizowaną regułę, z listy wybierz zaktualizowaną regułę i wybierz pozycję Wymuszaj.

    wymuszanie reguły.

Dodawanie nowej reguły

Możesz dodać regułę "zezwalaj", która nie była zalecana przez usługę Defender for Cloud.

Uwaga

W tym miejscu można dodać tylko reguły "zezwalaj". Jeśli chcesz dodać reguły "odmów", możesz to zrobić bezpośrednio w sieciowej grupie zabezpieczeń. Aby uzyskać więcej informacji, zobacz Tworzenie, zmienianie lub usuwanie sieciowej grupy zabezpieczeń.

Aby dodać regułę adaptacyjnego wzmacniania zabezpieczeń sieci:

  1. Na górnym pasku narzędzi wybierz pozycję Dodaj regułę.

    dodaj regułę.

  2. W oknie Nowa reguła wprowadź szczegóły i wybierz pozycję Dodaj.

    Uwaga

    Po wybraniu pozycji Dodaj pomyślnie dodano regułę i zostanie ona wyświetlona z innymi zalecanymi regułami. Nie zastosowano go jednak w sieciowej grupie zabezpieczeń. Aby ją aktywować, musisz wybrać regułę na liście i wybrać pozycję Wymuszaj (jak wyjaśniono w następnym kroku).

  3. Aby zastosować nową regułę, z listy wybierz nową regułę i wybierz pozycję Wymuszaj.

    wymuszanie reguły.

Usuwanie reguły

W razie potrzeby można usunąć zalecaną regułę dla bieżącej sesji. Na przykład można określić, że zastosowanie sugerowanej reguły może blokować legalny ruch.

Aby usunąć regułę adaptacyjnego wzmacniania zabezpieczeń sieci dla bieżącej sesji:

  • Na karcie Reguły wybierz trzy kropki (...) na końcu wiersza reguły, a następnie wybierz pozycję Usuń.

    Usuwanie reguły.

Często zadawane pytania — adaptacyjne wzmacnianie zabezpieczeń sieci

Które porty są obsługiwane?

Zalecenia dotyczące adaptacyjnego wzmacniania zabezpieczeń sieci są obsługiwane tylko na następujących określonych portach (zarówno dla protokołu UDP, jak i TCP):

13, 17, 19, 22, 23, 53, 69, 81, 111, 119, 123, 135, 137, 138, 139, 161, 162, 389, 445, 512, 514, 593, 636, 873, 1433, 1434, 1900, 2049, 2301, 2323, 2381, 3268, 3306, 3389, 4333, 5353, 5432, 5555, 5800, 5900, 5900, 5985, 5986, 6379, 6379, 7000, 7001, 7199, 8081, 8089, 8545, 9042, 9160, 9300, 11211, 16379, 26379, 27017, 37215

Czy istnieją jakieś wymagania wstępne lub rozszerzenia maszyn wirtualnych wymagane do adaptacyjnego wzmacniania zabezpieczeń sieci?

Adaptacyjne wzmocnienie zabezpieczeń sieci to funkcja bez agenta Microsoft Defender dla chmury — nic nie musi być zainstalowane na maszynach, aby korzystać z tego narzędzia do wzmacniania zabezpieczeń sieci.

Kiedy należy użyć reguły "Odmów całego ruchu"?

Reguła Odmowy całego ruchu jest zalecana, gdy w wyniku uruchomienia algorytmu usługa Defender for Cloud nie identyfikuje ruchu, który powinien być dozwolony w oparciu o istniejącą konfigurację sieciowej grupy zabezpieczeń. W związku z tym zalecaną regułą jest odrzucanie całego ruchu do określonego portu. Nazwa reguły tego typu jest wyświetlana jako "Wygenerowana przez system". Po wymusieniu tej reguły jej rzeczywista nazwa w sieciowej grupie zabezpieczeń będzie ciągiem składającym się z protokołu, kierunku ruchu, "DENY" i liczby losowej.