Использование адаптивных элементов управления приложениями для сокращения направлений атак на компьютере

Знакомство с преимуществами адаптивных элементов управления приложениями в Microsoft Defender для облака и тем, как повысить уровень безопасности с помощью этой интеллектуальной функции, управляемой данными.

Что такое адаптивные элементы управления приложениями?

Адаптивные элементы управления приложениями — это интеллектуальное автоматизированное решение, которое позволяет определить списки заведомо безопасных разрешенных приложений для ваших компьютеров.

Часто организации имеют коллекции компьютеров, которые регулярно выполняют одни и те же процессы. Microsoft Defender для облака использует машинное обучение для анализа приложений, выполняемых на компьютерах, и на основании полученных данных создает список разрешений. Списки разрешений основываются на конкретных рабочих нагрузках Azure, и вы можете настроить рекомендации с помощью приведенных ниже инструкций.

Если вы включите и настроите адаптивные элементы управления приложениями, вы сможете получать оповещения безопасности при запуске в системе приложений, которые не были определены вами как безопасные.

Каковы преимущества адаптивных элементов управления приложениями?

Определяя списки известных приложений и создавая предупреждения при выполнении других действий, можно добиться нескольких целей надзора и обеспечения соответствия.

  • Выявить потенциально вредоносные программы, даже те, которые могут быть пропущены решениями для защиты от вредоносных программ
  • Улучшить соответствие локальным политикам безопасности, определяющим использование только лицензированного программного обеспечения
  • Выявить устаревшие или неподдерживаемые версии приложений
  • Выявить программное обеспечения, запрещенное организацией, но выполняемое на ваших компьютерах
  • Укрепить понимание работы приложений, обращающихся к конфиденциальным данным

Параметры принудительного применения сейчас недоступны. Адаптивные элементы управления приложениями предназначены для предоставления оповещений системы безопасности, если работает какое-либо приложение, помимо тех, которые были определены как надежные.

Доступность

Аспект Сведения
Состояние выпуска: Общедоступная версия
Цены Требуется Microsoft Defender для серверов, план 2
Поддерживаемые компьютеры: Azure и компьютеры вне среды Azure под управлением Windows и Linux
компьютеры Azure Arc.
Требуемые роли и разрешения Роли Читатель безопасности и Читатель могут просматривать группы и списки известных приложений.
Роли Участник и Администратор безопасности могут изменять группы и списки известных приложений.
Облако. Коммерческие облака
Национальные облака (Azure для государственных организаций, Azure для Китая (21Vianet))
Подключенные учетные записи AWS.

Включение элементов управления приложениями в группе компьютеров

Если Microsoft Defender для облака определил группы компьютеров в подписках, которые постоянно запускают аналогичный набор приложений, вам будет предложено выполнить следующую рекомендацию: адаптивные элементы управления приложениями для определения безнадежных приложений на компьютерах должны быть включены.

Выберите рекомендацию или откройте страницу "Адаптивные элементы управления приложениями", чтобы просмотреть список предложенных безопасных приложений и групп компьютеров.

  1. Откройте панель мониторинга защиты рабочих нагрузок и выберите в области расширенной защиты пункт Адаптивные элементы управления приложениями.

    Открытие адаптивных элементов управления приложениями на панели мониторинга Azure.

    Откроется страница Адаптивное управление приложениями с виртуальными машинами, сгруппированными в следующие вкладки:

    • Настроенные — группы компьютеров, у которых уже есть определенный список разрешенных приложений. Для каждой группы на вкладке "Настроенные" отображается следующее:

      • количество компьютеров в группе;
      • недавние оповещения.
    • Рекомендованные — группы компьютеров, которые постоянно используют одни и те же приложения и не имеют настроенного списка разрешений. Рекомендуется включить адаптивные элементы управления приложениями для этих групп.

      Совет

      Если вы видите имя группы с префиксом "REVIEWGROUP" (Группа проверки), она содержит компьютеры с частично согласованным списком приложений. Microsoft Defender для облака не может просмотреть шаблон, но рекомендует проверить эту группу, чтобы узнать, можно ли вручную определить некоторые правила адаптивного управления приложениями, как описано в разделе Изменение правила управления адаптивными приложениями группы.

      Можно также переместить компьютеры из этой группы в другие группы, как описано в разделе Перемещение компьютера из одной группы в другую.

    • Нет рекомендаций — компьютеры без определенного списка разрешенных приложений и которые не поддерживают эту функцию. Ваш компьютер может оказаться на этой вкладке по следующим причинам.

      • Отсутствует агент Log Analytics
      • Агент Log Analytics не отправляет события
      • Это компьютер Windows с существующей политикой AppLocker, включенной либо объектом групповой политики, либо локальной политикой безопасности.
      • AppLocker недоступен (установки Windows Server Core)

      Совет

      Чтобы определить уникальные рекомендации для каждой группы компьютеров, Defender для облака требуется по крайней мере две недели сбора данных. Компьютеры, которые были недавно созданы или принадлежат к подпискам, которые недавно были защищены с помощью Microsoft Defender для серверов, будут отображаться на вкладке Нет рекомендаций.

  2. Откройте вкладку Рекомендуемые. Отобразятся группы компьютеров с рекомендуемыми списками разрешений.

    Вкладка

  3. Выберите группу.

  4. Чтобы настроить новое правило, ознакомьтесь с различными разделами страницы Настройка правил управления приложениями и содержимым, которое будет уникальным для этой конкретной группы компьютеров:

    Настройка нового правила.

    1. Выбрать компьютеры. По умолчанию выбираются все компьютеры в указанной группе. Чтобы удалить их из этого правила, отмените выбор.

    2. Рекомендуемые приложения. Список приложений, которые часто используются на виртуальных машинах в пределах этой группы; их можно запускать.

    3. Дополнительные приложения. Ознакомьтесь с этим списком приложений, которые на компьютерах в этой группе либо часто встречаются, либо могут быть подвержены уязвимости. Значок предупреждения отображается рядом с теми приложениями, с помощью которых злоумышленники могут обходить список разрешенных приложений. Рекомендуется внимательно изучить эти приложения.

      Совет

      Оба списка приложений позволяют ограничить конкретное приложение определенными пользователями. При возможности применяйте принцип минимальных привилегий.

      Приложения определяются своими издателями, если у приложения нет сведений об издателе (без знака), для полного пути к конкретному приложению создается правило для пути.

    4. Чтобы применить правило, выберите Аудит.

Изменение правила управления адаптивным приложением для группы

Вы можете изменить список разрешений для группы компьютеров из-за известных изменений в организации.

Чтобы изменить правила для группы компьютеров, выполните следующие действия.

  1. Откройте панель мониторинга Защита рабочих нагрузок и выберите в области расширенной защиты пункт Адаптивные элементы управления приложениями.

  2. На вкладке Настроенные выберите группу с правилом, которое необходимо изменить.

  3. Ознакомьтесь с различными разделами страницы Настройка правил управления приложениями, как описано в разделе Включение адаптивных элементов управления приложениями в группе компьютеров.

  4. При необходимости добавьте одно или несколько настраиваемых правил:

    1. Выберите Add rule (Добавить правило).

      Добавление пользовательского правила.

    2. При определении известного безопасного пути измените Тип правила на "Путь" и введите один путь. В пути можно указывать подстановочные знаки.

      Совет

      Некоторые сценарии, для которых можно использовать подстановочные знаки в пути, могут оказаться полезными:

      • Использование подстановочного знака в конце пути, чтобы разрешить все исполняемые файлы в этой папке и всех вложенных папках.
      • Использование подстановочного знака в середине пути, чтобы разрешить исполняемый файл с известным именем в папках с разными именами (например, в сценариях с личными папками пользователей с известным исполняемым файлом, автоматически создаваемыми именами папок и т. д.).
    3. Определите разрешенных пользователей и типы защищенных файлов.

    4. Завершив определение правила, нажмите кнопку Добавить.

  5. Чтобы применить изменения, нажмите кнопку Сохранить.

Просмотр и изменение параметров группы

  1. Чтобы просмотреть сведения и параметры группы, выберите Параметры группы.

    На этой панели отображается имя группы (которую можно изменить), тип ОС, расположение и прочие релевантные сведения.

    Страница параметров группы для адаптивных элементов управления приложениями.

  2. При необходимости измените имя группы или режимы защиты типа файла.

  3. Нажмите кнопку Применить, а затем — Сохранить.

Ответьте на запрос рекомендации "Правила разрешенных в политике адаптивного управления приложениями необходимо обновить".

Эта рекомендация будет отображаться, если машинное обучение Defender для облака определяет потенциально допустимое поведение, которое ранее не было разрешено. Рекомендация предложит новые правила для существующих определений, чтобы уменьшить количество ложных положительных оповещений.

Устранение проблем

  1. На странице рекомендации выберите Правила разрешенные в политике адаптивного управления приложениями, чтобы увидеть группы с недавно идентифицированным, потенциально легальным поведением.

  2. Выберите группу с правилом, которое необходимо изменить.

  3. Ознакомьтесь с различными разделами страницы Настройка правил управления приложениями, как описано в разделе Включение адаптивных элементов управления приложениями в группе компьютеров.

  4. Чтобы применить изменения, выберите Аудит.

Аудит оповещений и нарушений

  1. Откройте панель мониторинга Защита рабочих нагрузок и выберите в области расширенной защиты пункт Адаптивные элементы управления приложениями.

  2. Чтобы найти группы компьютеров с последними оповещениями, просмотрите группы, перечисленные на вкладке Настроенные.

  3. Чтобы узнать подробности, выберите группу.

    Недавние оповещения.

  4. Для получения дополнительных сведений и списка затронутых компьютеров выберите оповещение.

    На странице оповещений системы безопасности отображаются дополнительные сведения об оповещениях, а также ссылка на действие с рекомендациями по устранению угрозы.

    Время запуска оповещений для адаптивных элементов управления приложениями — это время создания оповещения адаптивным элементом управления приложениями.

    Примечание

    Адаптивные элементы управления приложениями вычисляют события каждые двенадцать часов. "Время начала действия", отображаемое на странице оповещений системы безопасности, — это время, когда адаптивные элементы управления приложения создали оповещение, а не время активности подозрительного процесса.

Перемещение виртуальной машины из одной группы в другую

При перемещении виртуальной машины в другую группу примененная к ней политика управления приложениями заменяется настройками группы, в которую она была перемещена. Вы также можете переместить компьютер из настроенной группы в ненастроенную. Это приведет к удалению всех правил управления приложениями, примененных к компьютеру.

  1. Откройте панель мониторинга Защита рабочих нагрузок и выберите в области расширенной защиты пункт Адаптивные элементы управления приложениями.

  2. На странице Адаптивные элементы управления приложениями на вкладке Настроенные выберите группу, содержащую перемещаемый компьютер.

  3. Откройте список Настроенные компьютеры.

  4. Откройте меню компьютера с тремя точками в конце строки и выберите Переместить. Откроется область Перемещение компьютера в другую группу.

  5. Выберите целевую группу и щелкните Переместить компьютер.

  6. Выберите Сохранить, чтобы сохранить изменения.

Управление элементами управления приложениями с помощью REST API

Чтобы программно управлять адаптивными элементами управления приложениями, используйте REST API.

Соответствующая документация по API доступна в разделе Адаптивные элементы управления приложениями документации по API Defender для облака.

Некоторые функции, доступные d REST API:

  • List — получает все рекомендации по группам и предоставляет JSON с объектом для каждой группы.

  • Get — получает JSON с полными данными рекомендаций (то есть список компьютеров, правил издателя и пути и т. д.).

  • Put — настраивает правило (используйте полученный JSON с помощью Get в качестве текста для этого запроса).

    Важно!

    Функция Put принимает меньше параметров, чем JSON, возвращаемый командой Get.

    Перед использованием JSON в запросе на размещение удалите следующие свойства: recommendationStatus, configurationStatus, issues, location и sourceSystem.

Вопросы и ответы. Адаптивные элементы управления приложениями

Существуют ли какие либо варианты для принудительного применения элементов управления приложениями?

Параметры принудительного применения сейчас недоступны. Адаптивные элементы управления приложениями предназначены для предоставления оповещений системы безопасности, если работает какое-либо приложение, помимо тех, которые были определены как надежные. У них есть ряд преимуществ (Каковы преимущества адаптивных элементов управления приложениями?) и их можно настроить, как показано на этой странице.

Microsoft Defender для серверов позволяет выполнять проверку уязвимостей компьютеров без дополнительных затрат. Вам не потребуется лицензия или учетная запись Qualys: вся обработка выполняется в Defender для облака. Дополнительные сведения об этом сканере и инструкции по его развертыванию см. в статье Встроенное в Defender для облака решение по оценке уязвимостей Qualys.

Чтобы предупреждения не создавались при развертывании сканера в Defender для облака, рекомендуемый список разрешенных элементов управления приложениями включает в себя средство проверки для всех компьютеров.

Дальнейшие действия

На этой странице вы узнали, как использовать адаптивное управление приложениями в Microsoft Defender для облака для определения списков разрешенных приложений, выполняющихся на компьютерах с Azure и вне среды Azure. Дополнительные сведения о других функциях защиты облачной рабочей нагрузки см. в следующих статьях: