透過自適性網路強化來改善網路安全性狀況
自適性網路強化是適用於雲端的 Microsoft Defender 的無代理程式功能 - 您的電腦無須安裝任何項目,就能受益於此網路強化工具。
此頁面說明如何在適用於雲端的 Defender 中設定和管理自適性網路強化。
可用性
| 層面 | 詳細資料 |
|---|---|
| 版本狀態: | 公開上市 (GA) |
| 定價: | 需要適用於伺服器的 Microsoft Defender 方案 2 |
| 必要的角色和權限: | 機器 NSG 的寫入權限 |
| 雲端: |  商業雲端 國家 (Azure Government、由 21Vianet 營運的 Microsoft Azure) 已連線的 AWS 帳戶 |
什麼是自適性網路強化?
套用網路安全性群組 (NSG) 以篩選資源的出入流量,從而改善網路安全性態勢。 但在某些情況下,透過 NSG 傳輸的實際流量仍有可能包含在已定義的 NSG 規則中。 在這些情況下,您可以根據實際流量模式強化 NSG 規則,進一步改善安全性態勢。
自適性網路強化會提供建議來進一步強化 NSG 規則。 此功能會使用將實際流量、已知的信任設定、威脅情報和其他危害指標等因素納入考量的機器學習演算法,然後提供建議,而僅允許來自特定 IP/連接埠元組的流量。
例如,假設現有的 NSG 規則是在連接埠 22 上允許來自 140.20.30.10/24 的流量。 根據流量分析,自適性網路強化可能會建議縮小範圍,以便允許來自 140.23.30.10/29 的流量,並拒絕其他所有傳送到該連接埠的流量。 如需受支援連接埠的完整清單,請參閱常見問題項目哪些連接埠受到支援?。
檢視強化警示和建議的規則
從適用於雲端的 Defender 功能表中,開啟 [工作負載保護] 儀表板。
選取自適性網路強化圖格 (1),或與自適性網路強化 (2) 相關的深入解析面板項目。
提示
深入解析面板會顯示目前受到自適性網路強化所防禦的 VM 百分比。
應該在網際網路面向的虛擬機器上套用自適性網路強化建議的詳細資料頁面開啟時,您的網路 VM 會分組為三個索引標籤:
- 狀況不良的資源:目前有建議和警示的 VM,這些建議和警示是由執行自適性網路強化演算法所觸發。
- 狀況良好的資源:沒有警示和建議的 VM。
- 未掃描的資源:因為下列其中一個原因而無法執行自適性網路強化演算法的 VM:
- VM 是傳統 VM:僅支援 Azure Resource Manager VM。
- 資料不足:為了產生精確的流量強化建議,適用於雲端的 Defender 至少需要 30 天的流量資料。
- 適用於伺服器的 Microsoft Defender 未保護 VM:只有受到適用於伺服器的 Microsoft Defender 所保護的 VM 有資格使用此功能。
![[應該在網際網路對應的虛擬機器上套用自適性網路強化建議] 建議的詳細資料頁面。](media/adaptive-network-hardening/recommendation-details-page.png)
從 [狀況不良的資源] 索引標籤中,選取一個 VM 來檢視其警示,以及要套用的建議強化規則。
- [規則] 索引標籤會列出自適性網路強化建議您新增的規則
- [警示] 索引標籤會列出由於流量流向資源而產生的警示,且該資源不在建議規則允許的 IP 範圍內。
選擇性地編輯規則:
選取您想要在 NSG 上套用的規則,然後選取 [強制執行]。
提示
如果允許的來源 IP 範圍顯示為「無」,表示建議的規則是 [拒絕] 規則,否則就是 [允許] 規則。
注意
強制執行的規則會新增至保護 VM 的 NSG。 (與自身 NIC 相關聯的 NSG 或/和 VM 所在的子路網可以保護 VM)
修改規則
您可能會想要針對已建議的規則修改其參數。 例如,您可能會想要變更建議的 IP 範圍。
一些修改自適性網路強化規則的重要指導方針:
您無法將 [允許] 規則變更為 [拒絕] 規則。
您只能修改 [允許] 規則的參數。
在 NSG 上直接建立和修改「拒絕」規則。 如需詳細資訊,請參閱建立、變更或刪除網路安全性群組。
[拒絕所有流量] 規則是此處會列出的唯一「拒絕」規則類型,而且無法修改。 不過,您可以將其刪除 (請參閱刪除規則)。 若要了解這種類型的規則,請參閱常見問題項目何時應該使用「拒絕所有流量」規則?。
若要修改自適性網路強化規則:
若要修改規則的某些參數,請在 [規則] 索引標籤中,選取規則資料列結尾的三個點 (...),然後選取 [編輯]。
在 [編輯規則] 視窗中,更新您想要變更的詳細資料,然後選取 [儲存]。
注意
選取 [儲存] 之後,您便已成功變更規則。 不過,您尚未將其套用至 NSG。 若要套用,您必須選取清單中的規則,然後選取 [強制執行] (如下一個步驟中所述)。
![選取 [儲存]。](media/adaptive-network-hardening/edit-hard-rule-3.png)
若要套用更新的規則,請從清單中選取更新的規則,然後選取 [強制執行]。
加入新規則
您可以新增適用於雲端的 Defender 不建議的「允許」規則。
注意
這裡只能新增「允許」規則。 如果您想要新增「拒絕」規則,可以直接在 NSG 上執行此動作。 如需詳細資訊,請參閱建立、變更或刪除網路安全性群組。
若要新增自適性網路強化規則:
從頂端工具列中,選取 [新增規則]。
在 [新增規則] 窗格中,輸入詳細資料並選取 [新增]。
注意
選取 [新增] 之後,您便已成功新增規則,且該規則會和其他建議的規則一同列出。 不過,您尚未在 NSG 上將其「套用」。 若要啟動,您必須選取清單中的規則,然後選取 [強制執行] (如下一個步驟中所述)。
若要套用新規則,請從清單中選取新的規則,然後選取 [強制執行]。
刪除規則
必要時,您可以刪除目前工作階段的建議規則。 例如,您也許會判斷,套用建議的規則可能會封鎖合法的流量。
若要刪除目前工作階段的自適性網路強化規則:
在 [規則] 索引標籤中,選取規則資料列結尾處的三個點 (...),然後選取 [刪除]。
後續步驟
- 檢視有關自適性網路強化的常見問題
意見反映
即將推出:我們會在 2024 年淘汰 GitHub 問題,並以全新的意見反應系統取代並作為內容意見反應的渠道。 如需更多資訊,請參閱:https://aka.ms/ContentUserFeedback。
提交及檢視以下的意見反映: