Azure使用自适应应用程序控制来减少计算机的攻击面,azure网络搭建-ESG跨境

Azure使用自适应应用程序控制来减少计算机的攻击面,azure网络搭建

使用Azure adaptive application control来减少计算机的攻击面。

了解Azure Security Center中自适应应用程序控制的优势，以及如何使用这种数据驱动的智能来增强安全性。

什么是安全中心的自适应应用控制？

Adaptive application control是一个自动化的智能解决方案，用于定义包含计算机已知安全应用程序的允许列表。

通常，一个组织有一组定期运行相同进程的计算机。安全中心使用machine 学习来分析计算机上运行的应用程序，并创建已知安全软件的列表。允许列表基于特定的Azure工作负载。您可以使用下面的说明进一步定制建议。

启用自适应应用程序控制后，如果任何正在运行的应用程序不是您定义的安全应用程序，您将收到安全警报。

自适应应用控制的优势是什么？

通过定义已知安全应用程序的列表，并在执行任何其他操作时生成警报，您可以实现许多增强目标:

识别潜在的恶意软件，甚至是反恶意软件解决方案可能遗漏的任何恶意软件。

提高对规定只能使用授权软件的本地安全策略的遵从性。

避免运行旧的或不支持的应用程序。

防止使用组织禁止的特定软件。

加强对访问敏感数据的应用程序的监管

目前没有可用的强制选项。Adaptive application control旨在提供安全警报，前提是任何正在运行的应用程序都不是您定义为安全的应用程序。

可用性

在一组计算机上启用应用程序控制。

如果安全中心识别出在您的订阅中始终运行一组类似应用程序的计算机组，系统将提示以下建议:应在计算机中启用自适应应用程序控制来定义安全应用程序。

选择或打开“自适应应用程序控制”页面，查看已知安全应用程序和计算机组的推荐列表。

打开Azure Defender仪表板，并从高级保护区域选择自适应应用程序控制。

将打开“自适应应用程序控制”页面，您的虚拟机被分组到以下选项卡中:

缺少日志分析代理

日志分析代理未发快递事件。

这是一台Windows计算机，通过GPO或本地安全策略启用了预先存在的AppLocker策略。

组中的计算机数量

最近的警报

已配置已经定义了应用程序允许列表的计算机组。对于每个组,“已配置”选项卡显示:

推荐始终运行相同应用程序且未配置允许列表的计算机组。我们建议您为这些组启用自适应应用程序控制。

给个提示

如果您看到带有前缀“REVIEWGROUP”的组名，则该组名包含具有部分一致的应用程序列表的计算机。安全中心不显示特征码，但建议您检查该组，以查看是否可以手动定义一些自适应应用程序控制规则，如编辑组的自适应应用程序控制规则中所述。

您也可以将计算机从该组移动到其他组，如将计算机从一个组移动到另一个组中所述。

无推荐没有定义应用程序允许列表且不支持此功能的计算机。您的计算机可能会出现在此选项卡中，原因如下:

给个提示

安全中心需要至少两周的数据来为每个计算机组定义唯一的建议。在“无推荐”选项卡下，将显示最近创建的计算机或属于最近才启用Azure Defender的订阅的计算机。

打开“建议”选项卡。将显示带有建议允许列表的计算机组。

选择一个组。

要配置新规则，请查看此“配置应用程序控制规则”页面中特定于特定计算机组的部分和内容:

选择计算机默认情况下，将选择身份组中的所有计算机。如果您取消选择任何计算机，它们将从此规则中删除。

推荐的应用程序查看该组计算机的常用应用程序列表，并建议允许它们运行。

更多应用程序检查该组计算机上不经常出现或已知受到攻击的应用程序列表。警告图标表示攻击者可能使用特定的应用程序来绕过应用程序权限列表。建议仔细检查这些应用程序。

给个提示

两个应用程序列表都包含将特定应用程序限制给特定用户的选项。尽可能使用最小特权原则。

应用程序由其发布者定义。如果应用程序没有发布者信息(未签名)，将为特定应用程序的完整路径创建路径规则。

要应用规则，请选择审计。

编辑组的自适应应用程序控制规则。

由于组织中的已知变化，您可能决定编辑一组计算机的允许列表。

编辑计算机组的规则:

打开Azure Defender仪表板，并从高级保护区域选择自适应应用程序控制。

从已配置选项卡中，选择包含要编辑的规则的组。

查看“配置应用程序控制规则”页面的各个部分，如在一组计算机上启用自适应应用程序控制中所述。

(可选)添加一个或多个自定义规则:

在路径末尾使用通配符来添加该文件夹及其子文件夹中的所有可执行文件。

通过在路径中间使用通配符，您可以启用文件夹名称已更改的已知可执行文件的名称(例如，包含已知可执行文件的个人用户文件夹、自动生成的文件夹名称等)。).

选择“添加规则”。

如果要定义已知的安全路径，请将规则类型更改为路径，然后输入单个路径。您可以在路径中包含通配符。

给个提示

在路径中使用通配符可能有用的一些方案:

定义的用户和受保护的文件类型。

定义规则后，选择添加。

选择“保存”以应用您的更改。

查看和编辑组设置。

要查看组的详细信息和设置，请选择组设置。

此窗格显示组名(可修改)、操作系统类型、位置和其他相关详细信息。

(可选)修改组名或文件类型保护模式。

选择“应用”和“保存”。

回应建议“应更新自适应应用程序控制策略中的允许列表规则”

如果安全中心学习的机器识别出之前不允许的可能合法的行为，你会看到这个建议。该建议为现有定义提供了新的规则，以减少错误警报的数量。

解决问题:

从建议页面中，选择建议“应更新自适应应用程序控制策略中的允许列表规则”，以查看新识别的可能合法的行为组。

选择包含要编辑的规则的组。

查看“配置应用程序控制规则”页面的各个部分，如在一组计算机上启用自适应应用程序控制中所述。

选择“审核”以应用您的更改。

审计警报和冲突

打开Azure Defender仪表板，并从高级保护区域选择自适应应用程序控制。

要查看最近发出警报的计算机组，请查看“已配置”选项卡中列出的组。

要进一步调查，请选择一个组。

要查看更多详细信息和受影响计算机的列表，请选择一个警报。

“Alerts”页面将显示警报的更多详细信息，并提供“take action”链接以及如何减轻威胁的建议。

评论

Adaptive application control每12小时计算一次事件数。“警报”页面中显示的“活动开始时间”是自适应应用程序控制创建警报的时间，而不是可疑流程处于活动状态的时间。

将计算机从一个组移到另一个组。

当计算机从一个组移动到另一个组时，适用于该计算机的应用程序控制策略会更改为移动组的设置。您也可以将计算机从已配置的组移到未配置的组，这将删除应用到该计算机的所有应用程序控制规则。

打开Azure Defender仪表板，并从高级保护区域选择自适应应用程序控制。

在“自适应应用程序控制”页面中，从“已配置”选项卡中选择包含要移动的计算机的组。

打开已配置计算机的列表。

通过行尾的三个点打开电脑菜单，然后选择“移动”。将打开“将计算机移动到另一个组”窗格。

选择目标群组，然后选择行动电脑。

选择“保存”保存更改。

通过REST API管理应用程序控制

要以编程方式管理自适应应用程序控制，请使用我们的REST API。

安全中心API文档的“自适应应用控制”部分提供了相关的API文档。

REST API提供的一些函数:

List可以检索所有组建议，并为JSON提供每个组的对象。

Get可以检索带有完整建议数据(即机器列表、发布者/路径规则等)的JSON。).

Put可用于配置规则(使用Get检索的JSON作为该请求的主体)。

重要的

Put函数比Get命令返回的JSON需要更少的参数。

在Put请求中使用JSON之前，请删除以下属性:recommendationStatus、configurationStatus、issues、location和sourceSystem。

常见问题自适应应用程序控制

是否有任何选项可以实施应用程序控制？

为什么我在推荐的app里看到了Qualys的app？

是否有任何选项可以实施应用程序控制？

目前没有可用的强制选项。Adaptive application control旨在提供安全警报，前提是任何正在运行的应用程序都不是您定义为安全的应用程序。如本页所示，它有一系列的优点(自适应应用控制的优点是什么？)并具有良好的可定制性。

为什么我在推荐的app里看到了Qualys的app？

Azure Defender for servers可以免费为您的计算机提供漏洞扫描服务。你还不需要Qualys许可证，甚至不需要Qualys帐户——所有操作都在安全中心无缝执行。有关该扫描器的详细信息以及如何部署它的说明，请参考Defender的集成漏洞评估解决方案。

为了确保安全中心在部署扫描器时不会生成警报，adaptive application control建议的允许列表应该包括所有计算机的扫描器。

特别声明：以上文章内容仅代表作者本人观点，不代表ESG跨境电商观点或立场。如有关于作品内容、版权或其它问题请于作品发表后的30日内与ESG跨境电商联系。