透過自適性網路強化來改善網路安全性狀況
自適性網路強化是 適用於雲端的 Microsoft Defender 的無代理程式功能-不需要安裝在您的機器上,即可受益於此網路強化工具。
此頁面說明如何在 適用於雲端的 Defender 中設定和管理自適性網路強化。
可用性
層面 | 詳細資料 |
---|---|
版本狀態: | 公開上市 (GA) |
定價: | 需要適用於伺服器的 Microsoft Defender 方案 2 |
必要的角色和權限: | 機器 NSG 的寫入許可權 |
雲端: | 商業雲端 國家/省(Azure Government,由 21Vianet 營運的 Microsoft Azure) 已連線的 AWS 帳戶 |
什麼是自適性網路強化?
套 用網路安全組 (NSG) 來篩選來自資源的流量,可改善您的網路安全性狀態。 但在某些情況下,透過 NSG 傳輸的實際流量仍有可能包含在已定義的 NSG 規則中。 在這些情況下,您可以根據實際流量模式強化 NSG 規則,進一步改善安全性態勢。
自適性網路強化會提供建議來進一步強化 NSG 規則。 此功能會使用將實際流量、已知的信任設定、威脅情報和其他危害指標等因素納入考量的機器學習演算法,然後提供建議,而僅允許來自特定 IP/連接埠元組的流量。
例如,假設現有的NSG規則是允許埠 22 上的 140.20.30.10/24 流量。 根據流量分析,調適型網路強化可能會建議縮小範圍,以允許來自140.23.30.10/29的流量,並拒絕所有其他流量到該埠。 如需支援埠的完整清單,請參閱支援哪些埠的常見問題專案 ?。
檢視強化警示和建議的規則
從 適用於雲端的 Defender 的功能表中,開啟 [工作負載保護] 儀錶板。
選取自適性網路強化圖格 (1),或與調適型網路強化相關的深入解析面板專案 (2)。
提示
深入解析面板會顯示目前使用自適性網路強化防禦的 VM 百分比。
自適性網路強化建議的詳細數據頁面 應該套用在因特網對向虛擬機 建議上,隨即開啟,並將您的網路 VM 分組為三個索引卷標:
- 狀況不良的資源:目前有建議和警示的 VM,這些 VM 是由執行自適性網路強化演算法所觸發。
- 狀況良好的資源:沒有警示和建議的 VM。
- 未掃描的資源:因為下列其中一個原因,無法執行調適型網路強化演算法的 VM:
- VM 是傳統 VM:僅支援 Azure Resource Manager VM。
- 數據不足:為了產生精確的流量強化建議,適用於雲端的 Defender 至少需要 30 天的流量數據。
- VM 不受適用於伺服器的 Microsoft Defender 保護:只有受適用於伺服器的 Microsoft Defender 保護的 VM 才有資格使用此功能。
從 [ 狀況不良的資源 ] 索引卷標中,選取要檢視其警示的 VM,以及要套用的建議強化規則。
- [規則] 索引標籤會列出自適性網路強化建議新增的規則
- [警示] 索引標籤會列出因流量而產生的警示,並流向資源,這不在建議規則中允許的IP範圍內。
選擇性地編輯規則:
選取您想要在 NSG 上套用的規則,然後選取 [ 強制執行]。
提示
如果允許的來源IP範圍顯示為「無」,表示建議的規則是 拒絕 規則,否則為 允許 規則。
注意
強制執行的規則會新增至保護 VM 的 NSG。 (VM 可由與其 NIC 相關聯的 NSG 或 VM 所在的子網或兩者所保護)
修改規則
您可能想要修改建議之規則的參數。 例如,您可能想要變更建議的IP範圍。
修改自適性網路強化規則的一些重要指導方針:
您無法變更 允許 規則成為 拒絕 規則。
您只能修改允許規則的參數。
直接在 NSG 上建立和修改「拒絕」規則。 如需詳細資訊,請參閱 建立、變更或刪除網路安全組。
拒絕所有流量規則是這裡唯一列出的「拒絕」規則類型,而且無法修改。 不過,您可以刪除它(請參閱 刪除規則)。 若要瞭解這種類型的規則,請參閱常見問題專案 何時應該使用「拒絕所有流量」規則?。
若要修改自適性網路強化規則:
若要修改規則的某些參數,請在 [規則 ] 索引標籤中,選取規則數據列結尾的三個點 (...),然後選取 [ 編輯]。
在 [ 編輯規則] 視窗中,更新您要變更的詳細數據,然後選取 [ 儲存]。
注意
選取 [ 儲存] 之後,您已成功變更規則。 不過,您尚未將它套用至 NSG。 若要套用它,您必須選取清單中的規則,然後選取 [ 強制執行 ] (如下一個步驟所述)。
若要套用更新的規則,請從清單中選取更新的規則,然後選取 [ 強制執行]。
新增規則
您可以新增 適用於雲端的 Defender 不建議的「允許」規則。
注意
這裡只能新增「允許」規則。 如果您想要新增「拒絕」規則,可以直接在 NSG 上執行此動作。 如需詳細資訊,請參閱 建立、變更或刪除網路安全組。
若要新增自適性網路強化規則:
從頂端工具列中,選取 [ 新增規則]。
在 [ 新增規則] 視窗中,輸入詳細數據,然後選取 [ 新增]。
注意
選取 [ 新增] 之後,您已成功新增規則,並列出其他建議的規則。 不過,您尚未 在 NSG 上套用 它。 若要啟用它,您必須選取清單中的規則,然後選取 [ 強制執行 ] (如下一個步驟所述)。
若要套用新規則,請從清單中選取新規則,然後選取 [ 強制執行]。
刪除規則
必要時,您可以刪除目前會話的建議規則。 例如,您可能會判斷套用建議的規則可能會封鎖合法的流量。
若要刪除目前會話的自適性網路強化規則:
在 [ 規則] 索引標籤中,選取規則數據列結尾的三個點 (...),然後選取 [ 刪除]。
後續步驟
- 檢視有關自適性網路強化的 常見問題
意見反映
https://aka.ms/ContentUserFeedback。
即將推出:我們會在 2024 年淘汰 GitHub 問題,並以全新的意見反應系統取代並作為內容意見反應的渠道。 如需更多資訊,請參閱:提交及檢視以下的意見反映: