Förbättra din nätverkssäkerhetsstatus med anpassningsbar nätverkshärdning

Adaptiv nätverkshärdning är en agentlös funktion i Microsoft Defender för molnet – inget behöver installeras på dina datorer för att dra nytta av det härdningsverktyget för nätverket.

Den här sidan förklarar hur du konfigurerar och hanterar anpassningsbar nätverkshärdning i Defender för molnet.

Tillgänglighet

Aspekt	Details
Versionstillstånd:	Allmän tillgänglighet (GA)
Prissättning:	Kräver Microsoft Defender för serverplan 2
Nödvändiga roller och behörigheter:	Skrivbehörigheter för datorns NSG:er
Moln:	Kommersiella moln National (Azure Government, Microsoft Azure drivs av 21Vianet) Anslut AWS-konton

Vad är anpassningsbar nätverkshärdning?

Genom att använda nätverkssäkerhetsgrupper (NSG) för att filtrera trafik till och från resurser, förbättras din nätverkssäkerhetsstatus. Det kan dock fortfarande finnas vissa fall där den faktiska trafik som flödar genom NSG är en delmängd av NSG-reglerna som definierats. I dessa fall kan du förbättra säkerhetsstatusen ytterligare genom att skärpa NSG-reglerna baserat på de faktiska trafikmönstren.

Anpassningsbar nätverkshärdning ger rekommendationer för att ytterligare förstärka NSG-reglerna. I funktionen används en maskininlärningsalgoritm som beaktar faktisk trafik, kända betrodda konfigurationer, hotinformation och andra indikatorer på angrepp. Sedan ges rekommendationer för att endast tillåta trafik från specifika kombinationer av IP-adresser/porttupplar.

Anta till exempel att den befintliga NSG-regeln är att tillåta trafik från 140.20.30.10/24 på port 22. Baserat på trafikanalys kan adaptiv nätverkshärdning rekommendera en begränsning av intervallet för att tillåta trafik från 140.23.30.10/29 och neka all annan trafik till porten. Den fullständiga listan över portar som stöds finns i vanliga frågor som anger vilka portar som stöds?.

Visa härdningsaviseringar och rekommenderade regler

1. Öppna instrumentpanelen Arbetsbelastningsskydd på Defender för molnet meny.

2. Välj den adaptiva nätverkshärdningspanelen (1) eller insiktspanelens objekt som är relaterat till adaptiv nätverkshärdning (2).

   

   Dricks

   Insiktspanelen visar procentandelen av dina virtuella datorer som för närvarande försvaras med anpassningsbar nätverkshärdning.

3. Informationssidan för rekommendationerna adaptiv nätverkshärdning bör tillämpas på rekommendationen internetuppkopplade virtuella datorer öppnas med dina virtuella nätverksdatorer grupperade i tre flikar:

   • Resurser som inte är felfria: Virtuella datorer som för närvarande har rekommendationer och aviseringar som utlöstes genom att köra den anpassningsbara nätverkshärdningsalgoritmen.
   • Felfria resurser: Virtuella datorer utan aviseringar och rekommendationer.
   • Ej genomsökda resurser: Virtuella datorer som den anpassningsbara nätverkshärdningsalgoritmen inte kan köras på på grund av någon av följande orsaker:
     • Virtuella datorer är klassiska virtuella datorer: Endast virtuella Azure Resource Manager-datorer stöds.
     • Det finns inte tillräckligt med data: För att generera korrekta rekommendationer för trafikhärdning kräver Defender för molnet minst 30 dagars trafikdata.
     • Den virtuella datorn skyddas inte av Microsoft Defender för servrar: Endast virtuella datorer som skyddas med Microsoft Defender för servrar är berättigade till den här funktionen.

   

4. På fliken Ej felfria resurser väljer du en virtuell dator för att visa aviseringarna och de rekommenderade härdningsregler som ska tillämpas.

   • Fliken Regler visar de regler som adaptiv nätverkshärdning rekommenderar att du lägger till
   • Fliken Aviseringar visar de aviseringar som genererades på grund av trafik som flödar till resursen, som inte ligger inom det IP-intervall som tillåts i de rekommenderade reglerna.

5. Du kan också redigera reglerna:

   • Ändra en regel
   • Ta bort en regel
   • Lägga till en regel

6. Välj de regler som du vill tillämpa på NSG:n och välj Framtvinga.

   Dricks

   Om de tillåtna käll-IP-intervallen visas som "Ingen" innebär det att rekommenderad regel är en neka-regel , annars är det en tillåten regel.

   

   Kommentar

   De framtvingade reglerna läggs till i de NSG:er som skyddar den virtuella datorn. (En virtuell dator kan skyddas av en NSG som är associerad med dess nätverkskort, eller det undernät där den virtuella datorn finns, eller båda)

Ändra en regel

Du kanske vill ändra parametrarna för en regel som har rekommenderats. Du kanske till exempel vill ändra de rekommenderade IP-intervallen.

Några viktiga riktlinjer för att ändra en regel för anpassningsbar nätverkshärdning:

• Du kan inte ändra tillåt att regler nekas.

• Du kan bara ändra parametrarna för tillåtna regler.

  Att skapa och ändra "neka"-regler görs direkt i NSG:n. Mer information finns i Skapa, ändra eller ta bort en nätverkssäkerhetsgrupp.

• Regeln Neka all trafik är den enda typen av "neka"-regel som visas här, och den kan inte ändras. Du kan dock ta bort den (se Ta bort en regel). Om du vill veta mer om den här typen av regel kan du läsa vanliga frågor när ska jag använda regeln "Neka all trafik"?

Så här ändrar du en regel för anpassningsbar nätverkshärdning:

1. Om du vill ändra några av parametrarna för en regel går du till fliken Regler , väljer på de tre punkterna (...) i slutet av regelns rad och väljer Redigera.

   

2. I fönstret Redigera regel uppdaterar du den information som du vill ändra och väljer Spara.

   Kommentar

   När du har valt Spara har du ändrat regeln. Du har dock inte tillämpat den på NSG:n. Om du vill tillämpa den måste du välja regeln i listan och välja Framtvinga (enligt beskrivningen i nästa steg).

   

3. Om du vill tillämpa den uppdaterade regeln väljer du den uppdaterade regeln i listan och väljer Framtvinga.

   

Lägga till en ny regel

Du kan lägga till en "tillåt"-regel som inte rekommenderades av Defender för molnet.

Kommentar

Endast "tillåt"-regler kan läggas till här. Om du vill lägga till "neka"-regler kan du göra det direkt i NSG:n. Mer information finns i Skapa, ändra eller ta bort en nätverkssäkerhetsgrupp.

Så här lägger du till en regel för anpassningsbar nätverkshärdning:

1. I det övre verktygsfältet väljer du Lägg till regel.

   

2. I fönstret Ny regel anger du informationen och väljer Lägg till.

   Kommentar

   När du har valt Lägg till har du lagt till regeln och den visas med de andra rekommenderade reglerna. Du har dock inte tillämpat den på NSG:n. Om du vill aktivera den måste du välja regeln i listan och välja Framtvinga (enligt beskrivningen i nästa steg).

3. Om du vill tillämpa den nya regeln väljer du den nya regeln i listan och väljer Framtvinga.

   

Ta bort en regel

Vid behov kan du ta bort en rekommenderad regel för den aktuella sessionen. Du kan till exempel fastställa att tillämpning av en föreslagen regel kan blockera legitim trafik.

Så här tar du bort en regel för anpassningsbar nätverkshärdning för den aktuella sessionen:

• På fliken Regler väljer du de tre punkterna (...) i slutet av regelns rad och väljer Ta bort.

  

Gå vidare

• Visa vanliga frågor om adaptiv nätverkshärdning