Partilhar via

Habilite e gerencie controles de aplicativos adaptáveis

  • Artigo

Os controles de aplicativos adaptáveis do Microsoft Defender for Cloud fornecem uma solução automatizada inteligente e orientada por dados que aprimora sua segurança definindo listas de permissões de aplicativos seguros conhecidos para suas máquinas. Com esse recurso, as organizações podem gerenciar coleções de máquinas que executam rotineiramente os mesmos processos. Usando o aprendizado de máquina, o Microsoft Defender for Cloud pode analisar os aplicativos em execução em suas máquinas e criar uma lista de softwares seguros conhecidos. Essas listas de permissões são baseadas em suas cargas de trabalho específicas do Azure. Você pode personalizar ainda mais as recomendações usando as instruções fornecidas nesta página.

Em um grupo de máquinas

Se o Microsoft Defender for Cloud tiver identificado grupos de máquinas em suas assinaturas que executam consistentemente um conjunto semelhante de aplicativos, você receberá a seguinte recomendação: Os controles de aplicativos adaptáveis para definir aplicativos seguros devem ser habilitados em suas máquinas.

Selecione a recomendação ou abra a página de controles de aplicativos adaptáveis para exibir a lista de aplicativos e grupos de máquinas seguros conhecidos sugeridos.

  1. Abra o painel Proteções de carga de trabalho e, na área de proteção avançada, selecione Controles de aplicativo adaptáveis.

    Screenshot showing opening adaptive application controls from the Azure Dashboard.

    A página Controles de aplicativo adaptáveis é aberta com suas VMs agrupadas nas seguintes guias:

    • Configurado - Grupos de máquinas que já têm uma lista de permissões definida de aplicativos. Para cada grupo, a guia configurada mostra:

      • o número de máquinas no grupo
      • Alertas recentes

    • Recomendado - Grupos de máquinas que executam consistentemente os mesmos aplicativos e não têm uma lista de permissões configurada. Recomendamos que você habilite os controles de aplicativo adaptáveis para esses grupos.

      Gorjeta

      Se você vir um nome de grupo com o prefixo REVIEWGROUP, ele conterá máquinas com uma lista parcialmente consistente de aplicativos. O Microsoft Defender for Cloud não consegue ver um padrão, mas recomenda rever este grupo para ver se é possível definir manualmente algumas regras de controlos de aplicações adaptáveis, conforme descrito em Editar a regra de controlos de aplicações adaptáveis de um grupo.

      Você também pode mover máquinas desse grupo para outros grupos, conforme descrito em Mover uma máquina de um grupo para outro.

    • Sem recomendação - Máquinas sem uma lista de permissões definida de aplicativos e que não suportam o recurso. Sua máquina pode estar nessa guia pelos seguintes motivos:

      • Está faltando um agente do Log Analytics
      • O agente do Log Analytics não está enviando eventos
      • É uma máquina Windows com uma política do AppLocker pré-existente habilitada por um GPO ou uma diretiva de segurança local
      • O AppLocker não está disponível (instalações do Windows Server Core)

      Gorjeta

      O Defender for Cloud precisa de pelo menos duas semanas de dados para definir as recomendações exclusivas por grupo de máquinas. As máquinas que foram criadas recentemente ou que pertencem a assinaturas que foram protegidas recentemente pelo Microsoft Defender for Servers aparecerão na guia Sem recomendação .

  2. Abra a guia Recomendado . Os grupos de máquinas com listas de permissões recomendadas aparecem.

    Screenshot that shows you where on the screen the recommendation tab is.

  3. Selecione um grupo.

  4. Para configurar sua nova regra, revise as várias seções desta página Configurar regras de controle de aplicativo e o conteúdo, que será exclusivo para este grupo específico de máquinas:

    Screenshot that shows you the order you need to follow to configure application control rules in the portal.

    1. Selecionar máquinas - Por padrão, todas as máquinas do grupo identificado são selecionadas. Desmarque qualquer um para removê-los desta regra.

    2. Aplicativos recomendados - Revise esta lista de aplicativos que são comuns às máquinas desse grupo e recomendados para serem autorizados a serem executados.

    3. Mais aplicações - Analise esta lista de aplicações que são vistas com menos frequência nas máquinas deste grupo ou que são conhecidas por serem exploráveis. Um ícone de aviso indica que um aplicativo específico pode ser usado por um invasor para ignorar uma lista de permissões de aplicativo. Recomendamos que analise cuidadosamente estas aplicações.

      Gorjeta

      Ambas as listas de aplicativos incluem a opção de restringir um aplicativo específico a determinados usuários. Adote o princípio do menor privilégio sempre que possível.

      Os aplicativos são definidos por seus editores. Se um aplicativo não tiver informações do editor (não está assinado), uma regra de caminho será criada para o caminho completo do aplicativo específico.

    4. Para aplicar a regra, selecione Auditoria.

Editar a regra de controles de aplicativo adaptáveis de um grupo

Você pode decidir editar a lista de permissões para um grupo de máquinas devido a alterações conhecidas em sua organização.

Para editar as regras de um grupo de máquinas:

  1. Abra o painel Proteções de carga de trabalho e, na área de proteção avançada, selecione Controles de aplicativo adaptáveis.

  2. Na guia Configurado, selecione o grupo com a regra que deseja editar.

  3. Analise as várias seções da página Configurar regras de controle de aplicativo conforme descrito em Em um grupo de máquinas.

  4. Opcionalmente, adicione uma ou mais regras personalizadas:

    1. Selecione Adicionar regra.

    Screenshot that shows you where the add rule button is located.

    1. Se você estiver definindo um caminho seguro conhecido, altere o tipo de regra para 'Caminho' e insira um único caminho. Você pode incluir curingas no caminho. As telas a seguir mostram alguns exemplos de como usar curingas.

      Screenshot that shows examples of using wildcards.

      Gorjeta

      Alguns cenários para os quais curingas em um caminho podem ser úteis:

      • Usando um curinga no final de um caminho para permitir todos os executáveis dentro dessa pasta e subpastas.
      • Usando um curinga no meio de um caminho para habilitar um nome executável conhecido com um nome de pasta variável (por exemplo, pastas de usuário pessoais contendo um executável conhecido, nomes de pastas gerados automaticamente, etc.).

    2. Defina os usuários permitidos e os tipos de arquivo protegidos.

    3. Quando terminar de definir a regra, selecione Adicionar.

  5. Para aplicar as alterações, selecione Salvar.

Rever e editar as definições de um grupo

  1. Para ver os detalhes e as definições do seu grupo, selecione Definições do grupo.

    Este painel mostra o nome do grupo (que pode ser modificado), o tipo de SO, a localização e outros detalhes relevantes.

    Screenshot showing the group settings page for adaptive application controls.

  2. Opcionalmente, modifique os modos de proteção de nome ou tipo de arquivo do grupo.

  3. Selecione Aplicar e Salvar.

Responda à recomendação "As regras da lista de permissões em sua política de controle de aplicativo adaptável devem ser atualizadas"

Você verá essa recomendação quando o aprendizado de máquina do Defender for Cloud identificar comportamentos potencialmente legítimos que não foram permitidos anteriormente. A recomendação sugere novas regras para as definições existentes para reduzir o número de alertas falsos positivos.

Para remediar os problemas:

  1. Na página de recomendações, selecione as regras da lista de permissões em sua política de controle de aplicativo adaptável deve ser atualizada recomendação para ver grupos com comportamento recém-identificado e potencialmente legítimo.

  2. Selecione o grupo com a regra que deseja editar.

  3. Analise as várias seções da página Configurar regras de controle de aplicativo conforme descrito em Em um grupo de máquinas.

  4. Para aplicar as alterações, selecione Auditoria.

Alertas e violações de auditoria

  1. Abra o painel Proteções de carga de trabalho e, na área de proteção avançada, selecione Controles de aplicativo adaptáveis.

  2. Para ver grupos com máquinas com alertas recentes, revise os grupos listados na guia Configurado .

  3. Para investigar mais, selecione um grupo.

    Screenshot showing recent alerts in Configured tab.

  4. Para obter mais detalhes e a lista de máquinas afetadas, selecione um alerta.

    A página de alertas de segurança mostra mais detalhes dos alertas e fornece um link Tomar medidas com recomendações de como mitigar a ameaça.

    Screenshot of the start time of adaptive application controls alerts showing that the time is when adaptive application controls created the alert.

    Nota

    Os controles de aplicativos adaptáveis calculam eventos uma vez a cada doze horas. A "hora de início da atividade" mostrada na página de alertas de segurança é a hora em que os controles de aplicativo adaptáveis criaram o alerta, não a hora em que o processo suspeito estava ativo.

Mover uma máquina de um grupo para outro

Quando você move uma máquina de um grupo para outro, a diretiva de controle de aplicativo aplicada a ela muda para as configurações do grupo para o qual você a moveu. Você também pode mover uma máquina de um grupo configurado para um grupo não configurado, o que remove todas as regras de controle de aplicativo que foram aplicadas à máquina.

  1. Abra o painel Proteções de carga de trabalho e, na área de proteção avançada, selecione Controles de aplicativo adaptáveis.

  2. Na página Controles de aplicativo adaptáveis, na guia Configurado, selecione o grupo que contém a máquina a ser movida.

  3. Abra a lista de máquinas configuradas.

  4. Abra o menu da máquina a partir de três pontos no final da linha e selecione Mover. O painel Mover máquina para um grupo diferente é aberto.

  5. Selecione o grupo de destino e selecione Mover máquina.

  6. Para guardar as alterações, selecione Guardar.

Gerencie controles de aplicativos por meio da API REST

Para gerenciar seus controles de aplicativo adaptáveis programaticamente, use nossa API REST.

A documentação relevante da API está disponível na seção Adaptive application Controls dos documentos de API do Defender for Cloud.

Algumas das funções disponíveis na API REST incluem:

  • List recupera todas as recomendações do seu grupo e fornece um JSON com um objeto para cada grupo.

  • Get recupera o JSON com os dados de recomendação completos (ou seja, lista de máquinas, regras de editor/caminho e assim por diante).

  • Put configura sua regra (use o JSON recuperado com Get como o corpo para esta solicitação).

    Importante

    A função Put espera menos parâmetros do que o JSON retornado pelo comando Get contém.

    Remova as seguintes propriedades antes de usar o JSON na solicitação Put : recommendationStatus, configurationStatus, issues, location e sourceSystem.

Conteúdos relacionados

Nesta página, você aprendeu como usar o controle de aplicativo adaptável no Microsoft Defender for Cloud para definir listas de permissões de aplicativos em execução em suas máquinas Azure e não Azure. Para saber mais sobre alguns outros recursos de proteção de carga de trabalho na nuvem, consulte: