你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
通过自适应网络强化,改进网络安全状况
自适应网络强化是 Microsoft Defender for Cloud 的一项无代理功能 - 无需在计算机上安装任何额外组件就能受益于这种网络强化工具。
本页介绍如何在 Defender for Cloud 配置和管理自适应网络强化。
可用性
方面 | 详细信息 |
---|---|
发布状态: | 正式发布版 (GA) |
定价: | 需要 Microsoft Defender for Servers 计划 2 |
所需角色和权限: | 对计算机网络安全组的写入权限 |
云: | 商用云 国家/地区(Azure 政府、由世纪互联运营的 Microsoft Azure) 连接的 AWS 帐户 |
什么是自适应网络强化?
应用网络安全组 (NSG) 来筛选发往/来自资源的流量,可以改善网络安全状况。 但是,仍然可能存在一些这样的情况:通过 NSG 流动的实际流量是所定义 NSG 规则的子集。 在这些情况下,可以根据实际流量模式强化 NSG 规则,从而进一步改善安全状况。
自适应网络强化为进一步强化 NSG 规则提供了建议。 它使用机器学习算法,这种算法会将实际流量、已知受信任的配置、威胁情报和其他泄露标志都考虑在内,然后提供仅允许来自特定 IP/端口元组的流量的建议。
例如,假设现有的 NSG 规则是在端口 22 上允许来自 140.20.30.10/24 流量。 根据流量分析,自适应网络强化可能建议缩小范围以允许来自 140.23.30.10/29 的流量,并拒绝所有其他流量流经该端口。 有关受支持端口的完整列表,请参阅常见问题项支持哪些端口?。
查看强化警报和建议的规则
从 Defender for Cloud 的菜单中,打开“工作负载保护”仪表板。
选择自适应网络强化磁贴 (1) 或与自适应网络强化相关的见解面板项目 (2)。
提示
见解面板显示你当前通过自适应网络强化进行威胁防御的 VM 百分比。
“应在面向 Internet 的虚拟机上应用自适应网络强化建议”建议的详细信息页面将打开,并且你的网络 VM 将分组为三个选项卡:
- 不正常的资源:当前具有通过运行自适应网络强化算法触发的建议和警报的 VM。
- 正常的资源:没有警报和建议的 VM。
- 未扫描的资源:由于以下原因之一而无法运行自适应网络强化算法的 VM:
- VM 是经典 VM:只有 Azure 资源管理器 VM 受支持。
- 数据不足:为了生成准确的流量强化建议,Cloud for Cloud 至少需要 30 天的流量数据。
- VM 不受 Microsoft Defender for Servers 保护:只有使用 Microsoft Defender for Servers 保护的 VM 才符合使用此功能的条件。
从“不正常的资源”选项卡中,选择要查看其警报的 VM,并选择要应用的建议强化规则。
- “规则”选项卡列出了自适应网络强化建议添加的规则
- “警报”选项卡列出了由于流量(流向不在建议规则所允许的 IP 范围内的资源)而生成的警报。
(可选)编辑规则:
选择要对 NSG 应用的规则,然后选择“强制执行”。
提示
如果允许的源 IP 范围显示为“无”,则意味着建议的规则是“拒绝”规则,否则,它是“允许”规则 。
注意
强制执行的规则将添加到保护 VM 的 NSG。 (VM 可由关联到其 NIC 的 NSG 和/或 VM 所在的子网保护)
修改规则
你可能想要修改已建议的规则的参数。 例如,你可能想要更改建议的 IP 范围。
有关修改自适应网络强化规则的一些重要准则:
不能将“允许”规则更改为“拒绝”规则 。
只能修改“允许”规则的参数。
创建和修改“拒绝”规则是直接在 NSG 上执行的。 有关详细信息,请参阅创建、更改或删除网络安全组。
拒绝所有流量规则是此处列出的唯一“拒绝”规则类型,并且该规则不能修改。 不过,你可以删除它(请参阅删除规则)。 若要了解此类规则,请参阅常见问题项何时应使用“拒绝所有流量”规则?。
修改自适应网络强化规则:
若要修改规则的某些参数,请在“规则”选项卡中选择规则行末尾的省略号图标 (...),然后选择“编辑”。
在“编辑规则”窗口中,更新你要更改的详细信息,然后选择“保存” 。
注意
选择“保存”后,即已成功更改规则。 但尚未将其应用到 NSG。 若要应用该规则,必须在列表中选择该规则,然后选择“强制执行”(如下一步所述)。
若要应用已更新的规则,请从列表中选择该规则,然后选择“强制执行”。
添加新规则
你可以添加“允许”规则,但 Defender for Cloud 不建议使用此规则。
注意
在这里只能添加“允许”规则。 如果要添加“拒绝”规则,可以直接在 NSG 上执行此操作。 有关详细信息,请参阅创建、更改或删除网络安全组。
添加自适应网络强化规则:
在顶部工具栏中,选择“添加规则”。
在“新建规则”窗口中输入详细信息,然后选择“添加” 。
注意
选择“添加”后,会成功添加该规则,它将连同其他建议的规则一起列出。 但是,该规则尚未应用到 NSG。 若要激活该规则,必须在列表中选择该规则,然后选择“强制执行”(如下一步骤所述)。
若要应用新规则,请从列表中选择该规则,然后选择“强制执行”。
删除规则
必要时,可以删除当前会话的建议规则。 例如,你可能认为应用建议的规则会阻止合法的流量。
删除当前会话的自适应网络强化规则:
在“规则”选项卡中,选择规则行末尾的省略号图标 (...),然后选择“删除” 。
下一步
- 查看有关自适应网络强化的常见问题
反馈
https://aka.ms/ContentUserFeedback。
即将发布:在整个 2024 年,我们将逐步淘汰作为内容反馈机制的“GitHub 问题”,并将其取代为新的反馈系统。 有关详细信息,请参阅:提交和查看相关反馈