Azure使用自適應(yīng)應(yīng)用程序控制來減少計算機(jī)的攻擊面,azure網(wǎng)絡(luò)搭建-ESG跨境

Azure使用自適應(yīng)應(yīng)用程序控制來減少計算機(jī)的攻擊面,azure網(wǎng)絡(luò)搭建

使用Azure adaptive application control來減少計算機(jī)的攻擊面。

了解Azure Security Center中自適應(yīng)應(yīng)用程序控制的優(yōu)勢，以及如何使用這種數(shù)據(jù)驅(qū)動的智能來增強(qiáng)安全性。

什么是安全中心的自適應(yīng)應(yīng)用控制？

Adaptive application control是一個自動化的智能解決方案，用于定義包含計算機(jī)已知安全應(yīng)用程序的允許列表。

通常，一個組織有一組定期運(yùn)行相同進(jìn)程的計算機(jī)。安全中心使用machine 學(xué)習(xí)來分析計算機(jī)上運(yùn)行的應(yīng)用程序，并創(chuàng)建已知安全軟件的列表。允許列表基于特定的Azure工作負(fù)載。您可以使用下面的說明進(jìn)一步定制建議。

啟用自適應(yīng)應(yīng)用程序控制后，如果任何正在運(yùn)行的應(yīng)用程序不是您定義的安全應(yīng)用程序，您將收到安全警報。

自適應(yīng)應(yīng)用控制的優(yōu)勢是什么？

通過定義已知安全應(yīng)用程序的列表，并在執(zhí)行任何其他操作時生成警報，您可以實(shí)現(xiàn)許多增強(qiáng)目標(biāo):

識別潛在的惡意軟件，甚至是反惡意軟件解決方案可能遺漏的任何惡意軟件。

提高對規(guī)定只能使用授權(quán)軟件的本地安全策略的遵從性。

避免運(yùn)行舊的或不支持的應(yīng)用程序。

防止使用組織禁止的特定軟件。

加強(qiáng)對訪問敏感數(shù)據(jù)的應(yīng)用程序的監(jiān)管

目前沒有可用的強(qiáng)制選項。Adaptive application control旨在提供安全警報，前提是任何正在運(yùn)行的應(yīng)用程序都不是您定義為安全的應(yīng)用程序。

可用性

在一組計算機(jī)上啟用應(yīng)用程序控制。

如果安全中心識別出在您的訂閱中始終運(yùn)行一組類似應(yīng)用程序的計算機(jī)組，系統(tǒng)將提示以下建議:應(yīng)在計算機(jī)中啟用自適應(yīng)應(yīng)用程序控制來定義安全應(yīng)用程序。

選擇或打開“自適應(yīng)應(yīng)用程序控制”頁面，查看已知安全應(yīng)用程序和計算機(jī)組的推薦列表。

打開Azure Defender儀表板，并從高級保護(hù)區(qū)域選擇自適應(yīng)應(yīng)用程序控制。

將打開“自適應(yīng)應(yīng)用程序控制”頁面，您的虛擬機(jī)被分組到以下選項卡中:

缺少日志分析代理

日志分析代理未發(fā)快遞事件。

這是一臺Windows計算機(jī)，通過GPO或本地安全策略啟用了預(yù)先存在的AppLocker策略。

組中的計算機(jī)數(shù)量

最近的警報

已配置已經(jīng)定義了應(yīng)用程序允許列表的計算機(jī)組。對于每個組,“已配置”選項卡顯示:

推薦始終運(yùn)行相同應(yīng)用程序且未配置允許列表的計算機(jī)組。我們建議您為這些組啟用自適應(yīng)應(yīng)用程序控制。

給個提示

如果您看到帶有前綴“REVIEWGROUP”的組名，則該組名包含具有部分一致的應(yīng)用程序列表的計算機(jī)。安全中心不顯示特征碼，但建議您檢查該組，以查看是否可以手動定義一些自適應(yīng)應(yīng)用程序控制規(guī)則，如編輯組的自適應(yīng)應(yīng)用程序控制規(guī)則中所述。

您也可以將計算機(jī)從該組移動到其他組，如將計算機(jī)從一個組移動到另一個組中所述。

無推薦沒有定義應(yīng)用程序允許列表且不支持此功能的計算機(jī)。您的計算機(jī)可能會出現(xiàn)在此選項卡中，原因如下:

給個提示

安全中心需要至少兩周的數(shù)據(jù)來為每個計算機(jī)組定義唯一的建議。在“無推薦”選項卡下，將顯示最近創(chuàng)建的計算機(jī)或?qū)儆谧罱艈⒂肁zure Defender的訂閱的計算機(jī)。

打開“建議”選項卡。將顯示帶有建議允許列表的計算機(jī)組。

選擇一個組。

要配置新規(guī)則，請查看此“配置應(yīng)用程序控制規(guī)則”頁面中特定于特定計算機(jī)組的部分和內(nèi)容:

選擇計算機(jī)默認(rèn)情況下，將選擇身份組中的所有計算機(jī)。如果您取消選擇任何計算機(jī)，它們將從此規(guī)則中刪除。

推薦的應(yīng)用程序查看該組計算機(jī)的常用應(yīng)用程序列表，并建議允許它們運(yùn)行。

更多應(yīng)用程序檢查該組計算機(jī)上不經(jīng)常出現(xiàn)或已知受到攻擊的應(yīng)用程序列表。警告圖標(biāo)表示攻擊者可能使用特定的應(yīng)用程序來繞過應(yīng)用程序權(quán)限列表。建議仔細(xì)檢查這些應(yīng)用程序。

給個提示

兩個應(yīng)用程序列表都包含將特定應(yīng)用程序限制給特定用戶的選項。盡可能使用最小特權(quán)原則。

應(yīng)用程序由其發(fā)布者定義。如果應(yīng)用程序沒有發(fā)布者信息(未簽名)，將為特定應(yīng)用程序的完整路徑創(chuàng)建路徑規(guī)則。

要應(yīng)用規(guī)則，請選擇審計。

編輯組的自適應(yīng)應(yīng)用程序控制規(guī)則。

由于組織中的已知變化，您可能決定編輯一組計算機(jī)的允許列表。

編輯計算機(jī)組的規(guī)則:

打開Azure Defender儀表板，并從高級保護(hù)區(qū)域選擇自適應(yīng)應(yīng)用程序控制。

從已配置選項卡中，選擇包含要編輯的規(guī)則的組。

查看“配置應(yīng)用程序控制規(guī)則”頁面的各個部分，如在一組計算機(jī)上啟用自適應(yīng)應(yīng)用程序控制中所述。

(可選)添加一個或多個自定義規(guī)則:

在路徑末尾使用通配符來添加該文件夾及其子文件夾中的所有可執(zhí)行文件。

通過在路徑中間使用通配符，您可以啟用文件夾名稱已更改的已知可執(zhí)行文件的名稱(例如，包含已知可執(zhí)行文件的個人用戶文件夾、自動生成的文件夾名稱等)。).

選擇“添加規(guī)則”。

如果要定義已知的安全路徑，請將規(guī)則類型更改為路徑，然后輸入單個路徑。您可以在路徑中包含通配符。

給個提示

在路徑中使用通配符可能有用的一些方案:

定義的用戶和受保護(hù)的文件類型。

定義規(guī)則后，選擇添加。

選擇“保存”以應(yīng)用您的更改。

查看和編輯組設(shè)置。

要查看組的詳細(xì)信息和設(shè)置，請選擇組設(shè)置。

此窗格顯示組名(可修改)、操作系統(tǒng)類型、位置和其他相關(guān)詳細(xì)信息。

(可選)修改組名或文件類型保護(hù)模式。

選擇“應(yīng)用”和“保存”。

回應(yīng)建議“應(yīng)更新自適應(yīng)應(yīng)用程序控制策略中的允許列表規(guī)則”

如果安全中心學(xué)習(xí)的機(jī)器識別出之前不允許的可能合法的行為，你會看到這個建議。該建議為現(xiàn)有定義提供了新的規(guī)則，以減少錯誤警報的數(shù)量。

解決問題:

從建議頁面中，選擇建議“應(yīng)更新自適應(yīng)應(yīng)用程序控制策略中的允許列表規(guī)則”，以查看新識別的可能合法的行為組。

選擇包含要編輯的規(guī)則的組。

查看“配置應(yīng)用程序控制規(guī)則”頁面的各個部分，如在一組計算機(jī)上啟用自適應(yīng)應(yīng)用程序控制中所述。

選擇“審核”以應(yīng)用您的更改。

審計警報和沖突

打開Azure Defender儀表板，并從高級保護(hù)區(qū)域選擇自適應(yīng)應(yīng)用程序控制。

要查看最近發(fā)出警報的計算機(jī)組，請查看“已配置”選項卡中列出的組。

要進(jìn)一步調(diào)查，請選擇一個組。

要查看更多詳細(xì)信息和受影響計算機(jī)的列表，請選擇一個警報。

“Alerts”頁面將顯示警報的更多詳細(xì)信息，并提供“take action”鏈接以及如何減輕威脅的建議。

評論

Adaptive application control每12小時計算一次事件數(shù)?！熬瘓蟆表撁嬷酗@示的“活動開始時間”是自適應(yīng)應(yīng)用程序控制創(chuàng)建警報的時間，而不是可疑流程處于活動狀態(tài)的時間。

將計算機(jī)從一個組移到另一個組。

當(dāng)計算機(jī)從一個組移動到另一個組時，適用于該計算機(jī)的應(yīng)用程序控制策略會更改為移動組的設(shè)置。您也可以將計算機(jī)從已配置的組移到未配置的組，這將刪除應(yīng)用到該計算機(jī)的所有應(yīng)用程序控制規(guī)則。

打開Azure Defender儀表板，并從高級保護(hù)區(qū)域選擇自適應(yīng)應(yīng)用程序控制。

在“自適應(yīng)應(yīng)用程序控制”頁面中，從“已配置”選項卡中選擇包含要移動的計算機(jī)的組。

打開已配置計算機(jī)的列表。

通過行尾的三個點(diǎn)打開電腦菜單，然后選擇“移動”。將打開“將計算機(jī)移動到另一個組”窗格。

選擇目標(biāo)群組，然后選擇行動電腦。

選擇“保存”保存更改。

通過REST API管理應(yīng)用程序控制

要以編程方式管理自適應(yīng)應(yīng)用程序控制，請使用我們的REST API。

安全中心API文檔的“自適應(yīng)應(yīng)用控制”部分提供了相關(guān)的API文檔。

REST API提供的一些函數(shù):

List可以檢索所有組建議，并為JSON提供每個組的對象。

Get可以檢索帶有完整建議數(shù)據(jù)(即機(jī)器列表、發(fā)布者/路徑規(guī)則等)的JSON。).

Put可用于配置規(guī)則(使用Get檢索的JSON作為該請求的主體)。

重要的

Put函數(shù)比Get命令返回的JSON需要更少的參數(shù)。

在Put請求中使用JSON之前，請刪除以下屬性:recommendationStatus、configurationStatus、issues、location和sourceSystem。

常見問題自適應(yīng)應(yīng)用程序控制

是否有任何選項可以實(shí)施應(yīng)用程序控制？

為什么我在推薦的app里看到了Qualys的app？

是否有任何選項可以實(shí)施應(yīng)用程序控制？

目前沒有可用的強(qiáng)制選項。Adaptive application control旨在提供安全警報，前提是任何正在運(yùn)行的應(yīng)用程序都不是您定義為安全的應(yīng)用程序。如本頁所示，它有一系列的優(yōu)點(diǎn)(自適應(yīng)應(yīng)用控制的優(yōu)點(diǎn)是什么？)并具有良好的可定制性。

為什么我在推薦的app里看到了Qualys的app？

Azure Defender for servers可以免費(fèi)為您的計算機(jī)提供漏洞掃描服務(wù)。你還不需要Qualys許可證，甚至不需要Qualys帳戶——所有操作都在安全中心無縫執(zhí)行。有關(guān)該掃描器的詳細(xì)信息以及如何部署它的說明，請參考Defender的集成漏洞評估解決方案。

為了確保安全中心在部署掃描器時不會生成警報，adaptive application control建議的允許列表應(yīng)該包括所有計算機(jī)的掃描器。

特別聲明：以上文章內(nèi)容僅代表作者本人觀點(diǎn)，不代表ESG跨境電商觀點(diǎn)或立場。如有關(guān)于作品內(nèi)容、版權(quán)或其它問題請于作品發(fā)表后的30日內(nèi)與ESG跨境電商聯(lián)系。