Melhorar a postura de segurança de rede com a proteção de rede ajustável

  • Artigo

A proteção de rede adaptável é um recurso sem agente do Microsoft Defender for Cloud - nada precisa ser instalado em suas máquinas para se beneficiar dessa ferramenta de proteção de rede.

Esta página explica como configurar e gerenciar a proteção de rede adaptável no Defender for Cloud.

Disponibilidade

Aspeto Detalhes
Estado de lançamento: Disponibilidade geral (GA)
Preços: Requer o Microsoft Defender for Servers Plan 2
Funções e permissões necessárias: Permissões de gravação nos NSGs da máquina
Nuvens: Nuvens comerciais
Nacional (Azure Government, Microsoft Azure operado pela 21Vianet)
Contas da AWS conectadas

O que é o endurecimento adaptativo de rede?

A aplicação de grupos de segurança de rede (NSG) para filtrar o tráfego de e para recursos melhora a postura de segurança da rede. No entanto, ainda pode haver alguns casos em que o tráfego real que flui através do NSG é um subconjunto das regras NSG definidas. Nesses casos, melhorar ainda mais a postura de segurança pode ser alcançado endurecendo as regras do NSG, com base nos padrões de tráfego reais.

A proteção de rede adaptativa fornece recomendações para endurecer ainda mais as regras do NSG. Utiliza um algoritmo de aprendizagem automática que avalia o tráfego real, a configuração fidedigna conhecida, as informações sobre ameaças e outros indicadores de comprometimento e, em seguida, apresenta recomendações para permitir apenas o tráfego de cadeias de identificação de IPs/portas específicas.

Por exemplo, digamos que a regra NSG existente é permitir o tráfego de 140.20.30.10/24 na porta 22. Com base na análise de tráfego, a proteção de rede adaptativa pode recomendar a redução do intervalo para permitir o tráfego de 140.23.30.10/29 e negar todo o restante tráfego para essa porta. Para obter a lista completa de portas suportadas, consulte a entrada de perguntas comuns Quais portas são suportadas?.

  1. No menu do Defender for Cloud, abra o painel Proteções de carga de trabalho.

  2. Selecione o bloco de proteção de rede adaptável (1) ou o item do painel de informações relacionado à proteção de rede adaptável (2).

    Accessing the adaptive network hardening tools.

    Gorjeta

    O painel de insights mostra a porcentagem de suas VMs atualmente defendidas com proteção de rede adaptável.

  3. A página de detalhes das recomendações de Proteção de Rede Adaptável deve ser aplicada em máquinas virtuais voltadas para a Internet A recomendação é aberta com as VMs de rede agrupadas em três guias:

    • Recursos não íntegros: VMs que atualmente têm recomendações e alertas que foram acionados pela execução do algoritmo de proteção de rede adaptável.
    • Recursos íntegros: VMs sem alertas e recomendações.
    • Recursos não verificados: VMs nas quais o algoritmo de proteção de rede adaptável não pode ser executado devido a um dos seguintes motivos:
      • VMs são VMs clássicas: somente VMs do Azure Resource Manager são suportadas.
      • Não há dados suficientes disponíveis: para gerar recomendações precisas de proteção de tráfego, o Defender for Cloud requer pelo menos 30 dias de dados de tráfego.
      • A VM não está protegida pelo Microsoft Defender for Servers: apenas as VMs protegidas com o Microsoft Defender for Servers são elegíveis para esta funcionalidade.

    Details page of the recommendation Adaptive network hardening recommendations should be applied on internet facing virtual machines.

  4. Na guia Recursos não íntegros, selecione uma VM para exibir seus alertas e as regras de proteção recomendadas a serem aplicadas.

    • A guia Regras lista as regras que a proteção de rede adaptável recomenda que você adicione
    • A guia Alertas lista os alertas que foram gerados devido ao tráfego, fluindo para o recurso, que não está dentro do intervalo de IP permitido nas regras recomendadas.

  5. Opcionalmente, edite as regras:

  6. Selecione as regras que deseja aplicar no NSG e selecione Aplicar.

    Gorjeta

    Se os intervalos de IP de origem permitidos aparecerem como 'Nenhum', isso significa que a regra recomendada é uma regra de negação , caso contrário, é uma regra de permissão .

    Managing adaptive network hardening rules.

    Nota

    As regras impostas são adicionadas ao(s) NSG(s) que protege(m) a VM. (Uma VM pode ser protegida por um NSG associado à sua NIC, à sub-rede na qual a VM reside ou a ambas)

Modificar uma regra

Talvez você queira modificar os parâmetros de uma regra que foi recomendada. Por exemplo, talvez você queira alterar os intervalos de IP recomendados.

Algumas diretrizes importantes para modificar uma regra de proteção de rede adaptável:

  • Não é possível alterar as regras de permissão para se tornarem regras de negação .

  • Você pode modificar os parâmetros de regras de permissão somente.

    Criar e modificar regras de "negar" é feito diretamente no NSG. Para obter mais informações, consulte Criar, alterar ou excluir um grupo de segurança de rede.

  • Uma regra Negar todo o tráfego é o único tipo de regra "negar" que seria listada aqui e não pode ser modificada. No entanto, você pode excluí-lo (consulte Excluir uma regra). Para saber mais sobre esse tipo de regra, consulte a entrada de perguntas comuns Quando devo usar uma regra "Negar todo o tráfego"?.

Para modificar uma regra de proteção de rede adaptável:

  1. Para modificar alguns dos parâmetros de uma regra, na guia Regras , selecione os três pontos (...) no final da linha da regra e selecione Editar.

    Editing s rule.

  2. Na janela Editar regra , atualize os detalhes que deseja alterar e selecione Salvar.

    Nota

    Depois de selecionar Salvar, você alterou a regra com êxito. No entanto, não o aplicou ao NSG. Para aplicá-la, você deve selecionar a regra na lista e selecionar Impor (conforme explicado na próxima etapa).

    Selecting Save.

  3. Para aplicar a regra atualizada, na lista, selecione a regra atualizada e selecione Impor.

    enforce rule.

Adicionar uma nova regra

Você pode adicionar uma regra "permitir" que não foi recomendada pelo Defender for Cloud.

Nota

Apenas as regras "permitir" podem ser adicionadas aqui. Se você quiser adicionar regras de "negar", você pode fazê-lo diretamente no NSG. Para obter mais informações, consulte Criar, alterar ou excluir um grupo de segurança de rede.

Para adicionar uma regra de proteção de rede adaptável:

  1. Na barra de ferramentas superior, selecione Adicionar regra.

    add rule.

  2. Na janela Nova regra, insira os detalhes e selecione Adicionar.

    Nota

    Depois de selecionar Adicionar, você adicionou com êxito a regra e ela é listada com as outras regras recomendadas. No entanto, não o aplicou no NSG. Para ativá-lo, você deve selecionar a regra na lista e selecionar Impor (conforme explicado na próxima etapa).

  3. Para aplicar a nova regra, na lista, selecione a nova regra e selecione Impor.

    enforce rule.

Excluir uma regra

Quando necessário, você pode excluir uma regra recomendada para a sessão atual. Por exemplo, você pode determinar que a aplicação de uma regra sugerida pode bloquear o tráfego legítimo.

Para excluir uma regra de proteção de rede adaptável para sua sessão atual:

  • Na guia Regras, selecione os três pontos (...) no final da linha da regra e selecione Excluir.

    Deleting a rule.

Próximo passo