Azure使用自適應應用程序控制來減少計算機的攻擊面,azure網絡搭建

使用Azure adaptive application control來減少計算機的攻擊面。

了解Azure Security Center中自適應應用程序控制的優勢，以及如何使用這種數據驅動的智能來增強安全性。

什么是安全中心的自適應應用控制？

Adaptive application control是一個自動化的智能解決方案，用于定義包含計算機已知安全應用程序的允許列表。

通常，一個組織有一組定期運行相同進程的計算機。安全中心使用machine 學習來分析計算機上運行的應用程序，并創建已知安全軟件的列表。允許列表基于特定的Azure工作負載。您可以使用下面的說明進一步定制建議。

啟用自適應應用程序控制后，如果任何正在運行的應用程序不是您定義的安全應用程序，您將收到安全警報。

自適應應用控制的優勢是什么？

通過定義已知安全應用程序的列表，并在執行任何其他操作時生成警報，您可以實現許多增強目標:

識別潛在的惡意軟件，甚至是反惡意軟件解決方案可能遺漏的任何惡意軟件。

提高對規定只能使用授權軟件的本地安全策略的遵從性。

避免運行舊的或不支持的應用程序。

防止使用組織禁止的特定軟件。

加強對訪問敏感數據的應用程序的監管

目前沒有可用的強制選項。Adaptive application control旨在提供安全警報，前提是任何正在運行的應用程序都不是您定義為安全的應用程序。

可用性

在一組計算機上啟用應用程序控制。

如果安全中心識別出在您的訂閱中始終運行一組類似應用程序的計算機組，系統將提示以下建議:應在計算機中啟用自適應應用程序控制來定義安全應用程序。

選擇或打開“自適應應用程序控制”頁面，查看已知安全應用程序和計算機組的推薦列表。

打開Azure Defender儀表板，并從高級保護區域選擇自適應應用程序控制。

將打開“自適應應用程序控制”頁面，您的虛擬機被分組到以下選項卡中:

缺少日志分析代理

日志分析代理未發快遞事件。

這是一臺Windows計算機，通過GPO或本地安全策略啟用了預先存在的AppLocker策略。

組中的計算機數量

最近的警報

已配置已經定義了應用程序允許列表的計算機組。對于每個組,“已配置”選項卡顯示:

推薦始終運行相同應用程序且未配置允許列表的計算機組。我們建議您為這些組啟用自適應應用程序控制。

給個提示

如果您看到帶有前綴“REVIEWGROUP”的組名，則該組名包含具有部分一致的應用程序列表的計算機。安全中心不顯示特征碼，但建議您檢查該組，以查看是否可以手動定義一些自適應應用程序控制規則，如編輯組的自適應應用程序控制規則中所述。

您也可以將計算機從該組移動到其他組，如將計算機從一個組移動到另一個組中所述。

無推薦沒有定義應用程序允許列表且不支持此功能的計算機。您的計算機可能會出現在此選項卡中，原因如下:

給個提示

安全中心需要至少兩周的數據來為每個計算機組定義唯一的建議。在“無推薦”選項卡下，將顯示最近創建的計算機或屬于最近才啟用Azure Defender的訂閱的計算機。

打開“建議”選項卡。將顯示帶有建議允許列表的計算機組。

選擇一個組。

要配置新規則，請查看此“配置應用程序控制規則”頁面中特定于特定計算機組的部分和內容:

選擇計算機默認情況下，將選擇身份組中的所有計算機。如果您取消選擇任何計算機，它們將從此規則中刪除。

推薦的應用程序查看該組計算機的常用應用程序列表，并建議允許它們運行。

更多應用程序檢查該組計算機上不經常出現或已知受到攻擊的應用程序列表。警告圖標表示攻擊者可能使用特定的應用程序來繞過應用程序權限列表。建議仔細檢查這些應用程序。

給個提示

兩個應用程序列表都包含將特定應用程序限制給特定用戶的選項。盡可能使用最小特權原則。

應用程序由其發布者定義。如果應用程序沒有發布者信息(未簽名)，將為特定應用程序的完整路徑創建路徑規則。

要應用規則，請選擇審計。

編輯組的自適應應用程序控制規則。

由于組織中的已知變化，您可能決定編輯一組計算機的允許列表。

編輯計算機組的規則:

打開Azure Defender儀表板，并從高級保護區域選擇自適應應用程序控制。

從已配置選項卡中，選擇包含要編輯的規則的組。

查看“配置應用程序控制規則”頁面的各個部分，如在一組計算機上啟用自適應應用程序控制中所述。

(可選)添加一個或多個自定義規則:

在路徑末尾使用通配符來添加該文件夾及其子文件夾中的所有可執行文件。

通過在路徑中間使用通配符，您可以啟用文件夾名稱已更改的已知可執行文件的名稱(例如，包含已知可執行文件的個人用戶文件夾、自動生成的文件夾名稱等)。).

選擇“添加規則”。

如果要定義已知的安全路徑，請將規則類型更改為路徑，然后輸入單個路徑。您可以在路徑中包含通配符。

給個提示

在路徑中使用通配符可能有用的一些方案:

定義的用戶和受保護的文件類型。

定義規則后，選擇添加。

選擇“保存”以應用您的更改。

查看和編輯組設置。

要查看組的詳細信息和設置，請選擇組設置。

此窗格顯示組名(可修改)、操作系統類型、位置和其他相關詳細信息。

(可選)修改組名或文件類型保護模式。

選擇“應用”和“保存”。

回應建議“應更新自適應應用程序控制策略中的允許列表規則”

如果安全中心學習的機器識別出之前不允許的可能合法的行為，你會看到這個建議。該建議為現有定義提供了新的規則，以減少錯誤警報的數量。

解決問題:

從建議頁面中，選擇建議“應更新自適應應用程序控制策略中的允許列表規則”，以查看新識別的可能合法的行為組。

選擇包含要編輯的規則的組。

查看“配置應用程序控制規則”頁面的各個部分，如在一組計算機上啟用自適應應用程序控制中所述。

選擇“審核”以應用您的更改。

審計警報和沖突

打開Azure Defender儀表板，并從高級保護區域選擇自適應應用程序控制。

要查看最近發出警報的計算機組，請查看“已配置”選項卡中列出的組。

要進一步調查，請選擇一個組。

要查看更多詳細信息和受影響計算機的列表，請選擇一個警報。

“Alerts”頁面將顯示警報的更多詳細信息，并提供“take action”鏈接以及如何減輕威脅的建議。

評論

Adaptive application control每12小時計算一次事件數?！熬瘓蟆表撁嬷酗@示的“活動開始時間”是自適應應用程序控制創建警報的時間，而不是可疑流程處于活動狀態的時間。

將計算機從一個組移到另一個組。

當計算機從一個組移動到另一個組時，適用于該計算機的應用程序控制策略會更改為移動組的設置。您也可以將計算機從已配置的組移到未配置的組，這將刪除應用到該計算機的所有應用程序控制規則。

打開Azure Defender儀表板，并從高級保護區域選擇自適應應用程序控制。

在“自適應應用程序控制”頁面中，從“已配置”選項卡中選擇包含要移動的計算機的組。

打開已配置計算機的列表。

通過行尾的三個點打開電腦菜單，然后選擇“移動”。將打開“將計算機移動到另一個組”窗格。

選擇目標群組，然后選擇行動電腦。

選擇“保存”保存更改。

通過REST API管理應用程序控制

要以編程方式管理自適應應用程序控制，請使用我們的REST API。

安全中心API文檔的“自適應應用控制”部分提供了相關的API文檔。

REST API提供的一些函數:

List可以檢索所有組建議，并為JSON提供每個組的對象。

Get可以檢索帶有完整建議數據(即機器列表、發布者/路徑規則等)的JSON。).

Put可用于配置規則(使用Get檢索的JSON作為該請求的主體)。

重要的

Put函數比Get命令返回的JSON需要更少的參數。

在Put請求中使用JSON之前，請刪除以下屬性:recommendationStatus、configurationStatus、issues、location和sourceSystem。

常見問題自適應應用程序控制

是否有任何選項可以實施應用程序控制？

為什么我在推薦的app里看到了Qualys的app？

是否有任何選項可以實施應用程序控制？

目前沒有可用的強制選項。Adaptive application control旨在提供安全警報，前提是任何正在運行的應用程序都不是您定義為安全的應用程序。如本頁所示，它有一系列的優點(自適應應用控制的優點是什么？)并具有良好的可定制性。

為什么我在推薦的app里看到了Qualys的app？

Azure Defender for servers可以免費為您的計算機提供漏洞掃描服務。你還不需要Qualys許可證，甚至不需要Qualys帳戶——所有操作都在安全中心無縫執行。有關該掃描器的詳細信息以及如何部署它的說明，請參考Defender的集成漏洞評估解決方案。

為了確保安全中心在部署掃描器時不會生成警報，adaptive application control建議的允許列表應該包括所有計算機的掃描器。

特別聲明：以上文章內容僅代表作者本人觀點，不代表ESG跨境電商觀點或立場。如有關于作品內容、版權或其它問題請于作品發表后的30日內與ESG跨境電商聯系。