Azure使用自適應(yīng)應(yīng)用程序控制來(lái)減少計(jì)算機(jī)的攻擊面,azure 集成代碼檢查工具

Azure使用自適應(yīng)應(yīng)用程序控制來(lái)減少計(jì)算機(jī)的攻擊面

了解 Azure 安全中心自適應(yīng)應(yīng)用程序控制的優(yōu)勢(shì)，以及可如何使用此數(shù)據(jù)驅(qū)動(dòng)的智能功能增強(qiáng)安全性。

安全中心的自適應(yīng)應(yīng)用程序控制是什么？

自適應(yīng)應(yīng)用程序控制是一種自動(dòng)化智能解決方案，用于為計(jì)算機(jī)定義包含已知安全應(yīng)用程序的允許列表。

通常，組織擁有定期運(yùn)行相同流程的計(jì)算機(jī)集合。 安全中心使用機(jī)器學(xué)習(xí)來(lái)分析計(jì)算機(jī)上運(yùn)行的應(yīng)用程序，并創(chuàng)建已知安全軟件列表。 允許列表基于特定 Azure 工作負(fù)載，你可以使用下面的說(shuō)明進(jìn)一步自定義建議。

啟用并配置自適應(yīng)應(yīng)用程序控制后，如果有任何運(yùn)行的應(yīng)用程序不是你定義為安全的應(yīng)用程序，你將收到安全警報(bào)。

自適應(yīng)應(yīng)用程序控制有哪些優(yōu)勢(shì)？

通過(guò)定義已知安全應(yīng)用程序列表，并在執(zhí)行任何其他內(nèi)容時(shí)生成警報(bào)，可以實(shí)現(xiàn)多個(gè)強(qiáng)化目標(biāo)：

識(shí)別潛在的惡意軟件，甚至是反惡意軟件解決方案可能遺漏的任何惡意軟件

改進(jìn)對(duì)規(guī)定僅使用許可軟件的本地安全策略的遵從性

避免運(yùn)行舊的或不受支持的應(yīng)用程序

防止使用組織禁止的特定軟件

加強(qiáng)對(duì)訪問(wèn)敏感數(shù)據(jù)的應(yīng)用的監(jiān)管

目前無(wú)強(qiáng)制選項(xiàng)可用。 自適應(yīng)應(yīng)用程序控制旨在提供安全警報(bào)，前提是運(yùn)行的任何應(yīng)用程序不是你定義為安全的應(yīng)用程序。

可用性

在一組計(jì)算機(jī)上啟用應(yīng)用程序控制

如果安全中心在你的訂閱中確定了始終運(yùn)行一組相似應(yīng)用程序的計(jì)算機(jī)組，則系統(tǒng)將提示以下建議：應(yīng)在計(jì)算機(jī)中啟用自適應(yīng)應(yīng)用程序控制以定義安全應(yīng)用程序。

選擇建議，或打開(kāi)自適應(yīng)應(yīng)用程序控制頁(yè)面，查看建議的已知安全應(yīng)用程序列表和計(jì)算機(jī)組。

打開(kāi) Azure Defender 儀表板，從高級(jí)保護(hù)區(qū)域選擇“自適應(yīng)應(yīng)用程序控制”。

“自適應(yīng)應(yīng)用程序控制”頁(yè)隨即打開(kāi)，你的 VM 會(huì)分組到以下多個(gè)選項(xiàng)卡中：

缺少 Log Analytics 代理

Log Analytics 代理未發(fā)快遞事件

這是一臺(tái) Windows 計(jì)算機(jī)，具有通過(guò) GPO 或本地安全策略啟用的預(yù)先存在的AppLocker策略

組中的計(jì)算機(jī)數(shù)

最近的警報(bào)

已配置 已具有定義的應(yīng)用程序允許列表的計(jì)算機(jī)組。 對(duì)于每個(gè)組，“已配置”選項(xiàng)卡會(huì)顯示：

推薦 始終運(yùn)行相同應(yīng)用程序且未配置允許列表的計(jì)算機(jī)組。 我們建議你為這些組啟用自適應(yīng)應(yīng)用程序控制。

提示

如果你看到一個(gè)帶有前綴“REVIEWGROUP”的組名，則該組名包含具有部分一致的應(yīng)用程序列表的計(jì)算機(jī)。 安全中心不顯示模式，但建議你查看此組以了解是否可以按照編輯組的自適應(yīng)應(yīng)用程序控制規(guī)則中所述，手動(dòng)定義一些自適應(yīng)應(yīng)用程序控制規(guī)則。

你還可以將計(jì)算機(jī)從該組移動(dòng)到其他組，如將計(jì)算機(jī)從一個(gè)組移動(dòng)到另一個(gè)組中所述。

無(wú)推薦 沒(méi)有已定義的應(yīng)用程序允許列表且不支持此功能的計(jì)算機(jī)。 你的計(jì)算機(jī)出現(xiàn)在此選項(xiàng)卡中可能是因?yàn)橐韵略颍?/p>

提示

安全中心至少需要兩周的數(shù)據(jù)才能定義每個(gè)計(jì)算機(jī)組的唯一推薦。 “無(wú)推薦”選項(xiàng)卡下將顯示最近創(chuàng)建的計(jì)算機(jī)或?qū)儆趦H最近啟用了 Azure Defender 的訂閱的計(jì)算機(jī)。

打開(kāi)“推薦”選項(xiàng)卡。此時(shí)將顯示帶有推薦允許列表的計(jì)算機(jī)組。

選擇組。

要配置新規(guī)則，請(qǐng)查看此“配置應(yīng)用程序控制規(guī)則”頁(yè)的各個(gè)部分和內(nèi)容，這些內(nèi)容對(duì)于特定計(jì)算機(jī)組是唯一的：

選擇計(jì)算機(jī) 默認(rèn)情況下，將選擇標(biāo)識(shí)組中的所有計(jì)算機(jī)。 如果取消選擇任何計(jì)算機(jī)，則會(huì)此規(guī)則中刪除它們。

推薦應(yīng)用程序 查看此組中計(jì)算機(jī)的常用應(yīng)用程序列表，并建議允許其運(yùn)行。

更多應(yīng)用程序 查看此應(yīng)用程序列表，這些應(yīng)用程序在該組計(jì)算機(jī)上不常出現(xiàn)，或者已知可被攻擊。 一個(gè)警告圖標(biāo)，表示攻擊者可能會(huì)利用特定應(yīng)用程序繞過(guò)應(yīng)用程序允許列表。 建議仔細(xì)檢查這些應(yīng)用程序。

提示

兩個(gè)應(yīng)用程序列表都包含將特定應(yīng)用程序限制為某些用戶的選項(xiàng)。 盡可能采用最小特權(quán)原則。

應(yīng)用程序由其發(fā)布者定義，如果應(yīng)用程序沒(méi)有發(fā)布者信息（未簽名），則會(huì)為特定應(yīng)用程序的完整路徑創(chuàng)建路徑規(guī)則。

要應(yīng)用規(guī)則，請(qǐng)選擇“審核”。

編輯組的自適應(yīng)應(yīng)用程序控制規(guī)則

由于組織中的已知更改，你可能決定編輯一組計(jì)算機(jī)的允許列表。

編輯計(jì)算機(jī)組的規(guī)則：

打開(kāi) Azure Defender 儀表板，從高級(jí)保護(hù)區(qū)域選擇“自適應(yīng)應(yīng)用程序控制”。

從“已配置”選項(xiàng)卡中，選擇包含要編輯的規(guī)則的組。

查看“配置應(yīng)用程序控制規(guī)則”頁(yè)的各個(gè)部分，如在一組計(jì)算機(jī)上啟用自適應(yīng)應(yīng)用程序控制中所述。

（可選）添加一個(gè)或多個(gè)自定義規(guī)則：

在路徑末尾使用通配符，可以添加該文件夾和子文件夾中的所有可執(zhí)行文件。

在路徑中間使用通配符，可以啟用文件夾名稱發(fā)生更改的已知可執(zhí)行文件名稱（例如，包含已知可執(zhí)行文件的個(gè)人用戶文件夾、自動(dòng)生成的文件夾名稱等）。

選擇“添加規(guī)則”。

如果要定義已知的安全路徑，請(qǐng)將“規(guī)則類型”更改為“路徑”，然后輸入單個(gè)路徑。 可以在路徑中包含通配符。

提示

在路徑中使用通配符可能有用的一些方案：

定義允許的用戶和受保護(hù)的文件類型。

定義完規(guī)則后，選擇“添加”。

選擇“保存”，應(yīng)用所做的更改。

查看和編輯組設(shè)置

若要查看組詳細(xì)信息和設(shè)置，請(qǐng)選擇“組設(shè)置”

此窗格顯示組名稱（可修改）、OS 類型、位置和其他相關(guān)詳細(xì)信息。

（可選）修改組名稱或文件類型保護(hù)模式。

選擇“應(yīng)用”和“保存” 。

響應(yīng)“應(yīng)更新自適應(yīng)應(yīng)用程序控制策略中的允許列表規(guī)則”建議

如果安全中心的機(jī)器學(xué)習(xí)識(shí)別出以前不允許的可能合法的行為，你將看到此建議。 該建議提供針對(duì)現(xiàn)有定義的新規(guī)則，用于減少誤報(bào)警報(bào)數(shù)量。

修正問(wèn)題：

從建議頁(yè)中，選擇“應(yīng)更新自適應(yīng)應(yīng)用程序控制策略中的允許列表規(guī)則”建議，查看新標(biāo)識(shí)的、可能合法的行為組。

選擇包含要編輯的規(guī)則的組。

查看“配置應(yīng)用程序控制規(guī)則”頁(yè)的各個(gè)部分，如在一組計(jì)算機(jī)上啟用自適應(yīng)應(yīng)用程序控制中所述。

選擇“審核”，應(yīng)用所做的更改。

審核警報(bào)和沖突

打開(kāi) Azure Defender 儀表板，從高級(jí)保護(hù)區(qū)域選擇“自適應(yīng)應(yīng)用程序控制”。

要查看最近發(fā)出了警報(bào)的計(jì)算機(jī)組，請(qǐng)查看“已配置”選項(xiàng)卡中列出的組。

要進(jìn)一步調(diào)查，請(qǐng)選擇一個(gè)組。

要查看更多詳細(xì)信息以及受影響的計(jì)算機(jī)列表，請(qǐng)選擇一個(gè)警報(bào)。

“警報(bào)”頁(yè)將顯示警報(bào)的更多詳細(xì)信息，并提供“執(zhí)行操作”鏈接以及有關(guān)如何緩解威脅的建議。

備注

自適應(yīng)應(yīng)用程序控制每 12 小時(shí)計(jì)算一次事件數(shù)量。 “警報(bào)”頁(yè)中顯示的“活動(dòng)開(kāi)始時(shí)間”是自適應(yīng)應(yīng)用程序控制創(chuàng)建警報(bào)的時(shí)間，而不是可疑進(jìn)程處于活動(dòng)狀態(tài)的時(shí)間。

將計(jì)算機(jī)從一個(gè)組移動(dòng)到另一個(gè)組

將計(jì)算機(jī)從一個(gè)組移動(dòng)到另一個(gè)組時(shí)，適用于該計(jì)算機(jī)的應(yīng)用程序控制策略會(huì)更改為移動(dòng)到的組的設(shè)置。 也可將計(jì)算機(jī)從已配置的組移動(dòng)到未配置的組，這樣做會(huì)刪除應(yīng)用于該計(jì)算機(jī)的所有應(yīng)用程序控制規(guī)則。

打開(kāi) Azure Defender 儀表板，從高級(jí)保護(hù)區(qū)域選擇“自適應(yīng)應(yīng)用程序控制”。

在“自適應(yīng)應(yīng)用程序控制”頁(yè)中，從“已配置”選項(xiàng)卡中選擇包含要移動(dòng)的計(jì)算機(jī)的組 。

打開(kāi)“已配置的計(jì)算機(jī)”列表。

通過(guò)行尾的三個(gè)點(diǎn)打開(kāi)計(jì)算機(jī)菜單，然后選擇“移動(dòng)”。 “將計(jì)算機(jī)移動(dòng)到其他組”窗格隨即打開(kāi)。

選擇目標(biāo)組，然后選擇“移動(dòng)計(jì)算機(jī)”。

選擇“保存”，以保存更改。

通過(guò) REST API 管理應(yīng)用程序控制

若要以編程方式管理自適應(yīng)應(yīng)用程序控制，請(qǐng)使用我們的 REST API。

安全中心 API 文檔的“自適應(yīng)應(yīng)用程序控制”部分提供了相關(guān)的 API 文檔。

REST API 提供的一些函數(shù)：

List可檢索所有組建議，并為每個(gè)組提供帶有對(duì)象的 JSON。

Get可檢索帶有完整建議數(shù)據(jù)（即機(jī)器列表、發(fā)布者/路徑規(guī)則等）的 JSON。

Put可用于配置規(guī)則（使用 Get 檢索到的 JSON 作為此請(qǐng)求的主體）。

重要

Put函數(shù)需要的參數(shù)比 Get 命令返回的 JSON 所含參數(shù)少。

在 Put 請(qǐng)求中使用 JSON 之前，請(qǐng)刪除以下屬性：recommendationStatus、configurationStatus、issues、location 和 sourceSystem。

常見(jiàn)問(wèn)題解答 自適應(yīng)應(yīng)用程序控制

是否有任何強(qiáng)制執(zhí)行應(yīng)用程序控制的選項(xiàng)？

為什么我會(huì)在我的推薦應(yīng)用程序中看到 Qualys 應(yīng)用？

是否有任何強(qiáng)制執(zhí)行應(yīng)用程序控制的選項(xiàng)？

目前無(wú)強(qiáng)制選項(xiàng)可用。 自適應(yīng)應(yīng)用程序控制旨在提供安全警報(bào)，前提是運(yùn)行的任何應(yīng)用程序不是你定義為安全的應(yīng)用程序。 如本頁(yè)所示，它具有一系列的優(yōu)勢(shì)（自適應(yīng)應(yīng)用程序控制的優(yōu)勢(shì)是什么？）并且具有良好的可定制性。

為什么我會(huì)在我的推薦應(yīng)用程序中看到 Qualys 應(yīng)用？

適用于服務(wù)器的 Azure Defender可為你的計(jì)算機(jī)提供漏洞掃描服務(wù)，無(wú)需額外付費(fèi)。 你無(wú)需具備 Qualys 許可證，甚至還不需要 Qualys 帳戶 所有操作都在安全中心內(nèi)無(wú)縫執(zhí)行。 有關(guān)此掃描器的詳細(xì)信息以及如何部署它的說(shuō)明，請(qǐng)參閱Defender 的集成漏洞評(píng)估解決方案。

若要確保安全中心部署掃描程序時(shí)不生成警報(bào)，自適應(yīng)應(yīng)用程序控制建議的允許列表應(yīng)包括所有計(jì)算機(jī)的掃描程序。

特別聲明：以上文章內(nèi)容僅代表作者本人觀點(diǎn)，不代表ESG跨境電商觀點(diǎn)或立場(chǎng)。如有關(guān)于作品內(nèi)容、版權(quán)或其它問(wèn)題請(qǐng)于作品發(fā)表后的30日內(nèi)與ESG跨境電商聯(lián)系。