Melhorar sua postura de segurança de rede com o fortalecimento de rede adaptável

  • Artigo

A proteção de rede adaptável é um recurso sem agente do Microsoft Defender para Nuvem – nada precisa ser instalado nos computadores para obter os benefícios dessa ferramenta de proteção de rede.

Esta página explica como configurar e gerenciar a proteção de rede adaptável no Defender para Nuvem.

Disponibilidade

Aspecto Detalhes
Estado da versão: Disponibilidade Geral (GA)
Preço: Requer o Plano 2 do Microsoft Defender para Servidores
Funções e permissões necessárias: Permissões de gravação nos NSGs do computador
Nuvens: Nuvens comerciais
Nacionais (Azure Governamental, Microsoft Azure operado pela 21Vianet)
Contas da AWS conectadas

O que é proteção de rede adaptável?

A aplicação de NSG (grupos de segurança de rede) para filtrar o tráfego de e para recursos melhora a postura de segurança da rede. No entanto, ainda pode haver alguns casos em que o tráfego real que flui pelo NSG seja um subconjunto das regras NSG definidas. Nesses casos, é possível aprimorar ainda mais a postura de segurança protegendo as regras NSG, com base nos padrões reais de tráfego.

A proteção de rede adaptável fornece recomendações para fortalecer ainda mais as regras NSG. Ela usa um algoritmo de machine learning que inclui o tráfego real, a configuração confiável conhecida, a inteligência contra ameaças e outros indicadores de comprometimento e, em seguida, fornece recomendações para permitir o tráfego somente de tuplas de IP/porta específicas.

Por exemplo, digamos que a regra NSG existente permita o tráfego de 140.20.30.10/24 na porta 22. Baseada na análise de tráfego, a proteção de rede adaptável pode recomendar a restrição de intervalo para permitir o tráfego de 140.23.30.10/29 e negar outros tráfegos para essa porta. Para obter a lista completa de portas com suporte, confira a entrada de perguntas comuns Quais portas têm suporte?.

  1. No menu do Defender para Nuvem, abra o painel de proteções de carga de trabalho.

  2. Selecione o bloco de proteção de rede adaptável (1) ou o item do painel insights relacionado ao fortalecimento de rede adaptável (2).

    Accessing the adaptive network hardening tools.

    Dica

    O painel de insights mostra a porcentagem das VMs atualmente protegidas com proteção de rede adaptável.

  3. A página de detalhes da recomendaçãoAs recomendações de Proteção de Rede Adaptável devem ser aplicadas em máquinas virtuais para a Internet é aberta com as VMs de rede agrupadas em três guias:

    • Recursos não íntegros: VMs que atualmente têm recomendações e alertas que foram disparados pela execução do algoritmo de proteção de rede adaptável.
    • Recursos íntegros: VMs sem alertas e recomendações.
    • Recursos não examinados: VMs em que o algoritmo de proteção de rede adaptável não pode ser executado por um dos seguintes motivos:
      • VMs são VMs Clássicas: apenas as VMs do Azure Resource Manager têm suporte.
      • Não há dados suficientes disponíveis: para gerar recomendações precisas de proteção de tráfego, o Defender para Nuvem requer pelo menos 30 dias de dados de tráfego.
      • A VM não é protegida pelo Microsoft Defender para Servidores: apenas as VMs protegidas com o Microsoft Defender para Servidores são qualificáveis para este recurso.

    Details page of the recommendation Adaptive network hardening recommendations should be applied on internet facing virtual machines.

  4. Na guia Recursos não íntegros, selecione uma VM para exibir os alertas e as regras de proteção recomendadas a serem aplicadas.

    • A guia Regras lista as regras que a proteção de rede adaptável recomenda que sejam adicionadas
    • A guia Alertas lista os alertas que foram gerados devido ao tráfego, com fluxo para o recurso, que não está dentro do intervalo de IP permitido nas regras recomendadas.

  5. Opcionalmente, edite as regras:

  6. Selecione as regras que deseja aplicar no NSG e selecioneImpor.

    Dica

    Se os intervalos de IP de origem permitidos forem exibidos como 'Nenhum', isso significa que a regra recomendada é uma regra de negação, caso contrário, será uma regra de permissão.

    Managing adaptive network hardening rules.

    Observação

    As regras aplicadas são adicionadas aos NSGs protegendo a VM. (Uma VM pode ser protegida por um NSG associado à NIC ou à sub-rede em que a VM reside, ou a ambos)

Modificar uma regra

É desejável modificar os parâmetros de uma regra que tenha sido recomendada. Por exemplo, talvez você queira alterar os intervalos de IP recomendados.

Algumas diretrizes importantes para modificar uma regra de proteção de rede adaptável:

  • Não é possível alterar as regras de permissão para torná-las regras de negação.

  • É possível somente modificar os parâmetros de regras de permissão.

    A criação e modificação de regras de "negação" são feitas diretamente no NSG. Para saber mais, confira Criar, alterar ou excluir um grupo de segurança de rede.

  • Uma regra Negar todo o tráfego é o único tipo de regra de "negação" listada aqui e que não pode ser modificada. No entanto, é possível excluí-la (consulte Excluir uma regra). Para saber mais sobre esse tipo de regra, confira a entrada de perguntas comuns Quando devo usar uma regra "Negar todo o tráfego"?.

Para modificar uma regra de proteção de rede adaptável:

  1. Para modificar alguns dos parâmetros de uma regra, na guia Regras, selecione os três pontos (...) no final da linha da regra e selecione Editar.

    Editing s rule.

  2. Na janela Editar regra, atualize os detalhes que deseja alterar e selecioneSalvar.

    Observação

    Após selecionar Salvar, você alterou a regra com êxito. No entanto, você não aplicou a regra ao NSG. Para aplicá-la, é necessário selecionar a regra na lista e selecionar Impor (conforme explicado na próxima etapa).

    Selecting Save.

  3. Para aplicar a regra atualizada, selecione a regra atualizada na lista e, em seguida, selecione Impor.

    enforce rule.

Adicionar uma nova regra

É possível adicionar uma regra de "permissão" que não foi recomendada pelo Defender para Nuvem.

Observação

Somente as regras de "permissão" podem ser adicionadas aqui. Se você quiser adicionar regras de "negação", poderá fazer isso diretamente no NSG. Para saber mais, confira Criar, alterar ou excluir um grupo de segurança de rede.

Para adicionar uma regra de proteção de rede adaptável:

  1. Na barra de ferramentas superior, selecione Adicionar regra.

    add rule.

  2. Na janela Nova regra, insira os detalhes e selecione Adicionar.

    Observação

    Após selecionar Adicionar, você adicionou a regra com êxito e ela foi listada com as outras regras recomendadas. No entanto, você não aplicou a regra ao NSG. Para ativá-la, é necessário selecionar a regra na lista e selecionar Impor (conforme explicado na próxima etapa).

  3. Para aplicar a nova regra, selecione a nova regra na lista e, em seguida, selecione Impor.

    enforce rule.

Excluir uma regra

Quando necessário, é possível excluir uma regra recomendada para a sessão atual. Por exemplo, você pode determinar que a aplicação de uma regra sugerida pode bloquear o tráfego legítimo.

Para excluir uma regra de proteção de rede adaptável para sua sessão atual:

  • Na guia Regras, selecione os três pontos (...) no final da linha da regra e selecione Excluir.

    Deleting a rule.

Próxima etapa