Azure使用自適應(yīng)應(yīng)用程序控制來減少計(jì)算機(jī)的攻擊面

了解 Azure 安全中心自適應(yīng)應(yīng)用程序控制的優(yōu)勢，以及可如何使用此數(shù)據(jù)驅(qū)動的智能功能增強(qiáng)安全性。

安全中心的自適應(yīng)應(yīng)用程序控制是什么？

自適應(yīng)應(yīng)用程序控制是一種自動化智能解決方案，用于為計(jì)算機(jī)定義包含已知安全應(yīng)用程序的允許列表。

通常，組織擁有定期運(yùn)行相同流程的計(jì)算機(jī)集合。 安全中心使用機(jī)器學(xué)習(xí)來分析計(jì)算機(jī)上運(yùn)行的應(yīng)用程序，并創(chuàng)建已知安全軟件列表。 允許列表基于特定 Azure 工作負(fù)載，你可以使用下面的說明進(jìn)一步自定義建議。

啟用并配置自適應(yīng)應(yīng)用程序控制后，如果有任何運(yùn)行的應(yīng)用程序不是你定義為安全的應(yīng)用程序，你將收到安全警報(bào)。

自適應(yīng)應(yīng)用程序控制有哪些優(yōu)勢？

通過定義已知安全應(yīng)用程序列表，并在執(zhí)行任何其他內(nèi)容時(shí)生成警報(bào)，可以實(shí)現(xiàn)多個(gè)強(qiáng)化目標(biāo)：

• 識別潛在的惡意軟件，甚至是反惡意軟件解決方案可能遺漏的任何惡意軟件

• 改進(jìn)對規(guī)定僅使用許可軟件的本地安全策略的遵從性

• 避免運(yùn)行舊的或不受支持的應(yīng)用程序

• 防止使用組織禁止的特定軟件

• 加強(qiáng)對訪問敏感數(shù)據(jù)的應(yīng)用的監(jiān)管

目前無強(qiáng)制選項(xiàng)可用。 自適應(yīng)應(yīng)用程序控制旨在提供安全警報(bào)，前提是運(yùn)行的任何應(yīng)用程序不是你定義為安全的應(yīng)用程序。

可用性

在一組計(jì)算機(jī)上啟用應(yīng)用程序控制

如果安全中心在你的訂閱中確定了始終運(yùn)行一組相似應(yīng)用程序的計(jì)算機(jī)組，則系統(tǒng)將提示以下建議：應(yīng)在計(jì)算機(jī)中啟用自適應(yīng)應(yīng)用程序控制以定義安全應(yīng)用程序。

選擇建議，或打開自適應(yīng)應(yīng)用程序控制頁面，查看建議的已知安全應(yīng)用程序列表和計(jì)算機(jī)組。

1. 打開 Azure Defender 儀表板，從高級保護(hù)區(qū)域選擇“自適應(yīng)應(yīng)用程序控制”。

   

   “自適應(yīng)應(yīng)用程序控制”頁隨即打開，你的 VM 會分組到以下多個(gè)選項(xiàng)卡中：

• 缺少 Log Analytics 代理

• Log Analytics 代理未發(fā)送事件

• 這是一臺 Windows 計(jì)算機(jī)，具有通過 GPO 或本地安全策略啟用的預(yù)先存在的 AppLocker 策略

• 組中的計(jì)算機(jī)數(shù)

• 最近的警報(bào)

• 已配置 - 已具有定義的應(yīng)用程序允許列表的計(jì)算機(jī)組。 對于每個(gè)組，“已配置”選項(xiàng)卡會顯示：

• 推薦 - 始終運(yùn)行相同應(yīng)用程序且未配置允許列表的計(jì)算機(jī)組。 我們建議你為這些組啟用自適應(yīng)應(yīng)用程序控制。

   提示

  如果你看到一個(gè)帶有前綴“REVIEWGROUP”的組名，則該組名包含具有部分一致的應(yīng)用程序列表的計(jì)算機(jī)。 安全中心不顯示模式，但建議你查看此組以了解是否可以按照編輯組的自適應(yīng)應(yīng)用程序控制規(guī)則中所述，手動定義一些自適應(yīng)應(yīng)用程序控制規(guī)則。

  你還可以將計(jì)算機(jī)從該組移動到其他組，如將計(jì)算機(jī)從一個(gè)組移動到另一個(gè)組中所述。

• 無推薦 - 沒有已定義的應(yīng)用程序允許列表且不支持此功能的計(jì)算機(jī)。 你的計(jì)算機(jī)出現(xiàn)在此選項(xiàng)卡中可能是因?yàn)橐韵略颍?/p>

   提示

  安全中心至少需要兩周的數(shù)據(jù)才能定義每個(gè)計(jì)算機(jī)組的唯一推薦。 “無推薦”選項(xiàng)卡下將顯示最近創(chuàng)建的計(jì)算機(jī)或?qū)儆趦H最近啟用了 Azure Defender 的訂閱的計(jì)算機(jī)。

2. 打開“推薦”選項(xiàng)卡。此時(shí)將顯示帶有推薦允許列表的計(jì)算機(jī)組。

   

3. 選擇組。

4. 要配置新規(guī)則，請查看此“配置應(yīng)用程序控制規(guī)則”頁的各個(gè)部分和內(nèi)容，這些內(nèi)容對于特定計(jì)算機(jī)組是唯一的：

   

1. 選擇計(jì)算機(jī) - 默認(rèn)情況下，將選擇標(biāo)識組中的所有計(jì)算機(jī)。 如果取消選擇任何計(jì)算機(jī)，則會此規(guī)則中刪除它們。

2. 推薦應(yīng)用程序 - 查看此組中計(jì)算機(jī)的常用應(yīng)用程序列表，并建議允許其運(yùn)行。

3. 更多應(yīng)用程序 - 查看此應(yīng)用程序列表，這些應(yīng)用程序在該組計(jì)算機(jī)上不常出現(xiàn)，或者已知可被攻擊。 一個(gè)警告圖標(biāo)，表示攻擊者可能會利用特定應(yīng)用程序繞過應(yīng)用程序允許列表。 建議仔細(xì)檢查這些應(yīng)用程序。

    提示

   兩個(gè)應(yīng)用程序列表都包含將特定應(yīng)用程序限制為某些用戶的選項(xiàng)。 盡可能采用最小特權(quán)原則。

   應(yīng)用程序由其發(fā)布者定義，如果應(yīng)用程序沒有發(fā)布者信息（未簽名），則會為特定應(yīng)用程序的完整路徑創(chuàng)建路徑規(guī)則。

4. 要應(yīng)用規(guī)則，請選擇“審核”。

編輯組的自適應(yīng)應(yīng)用程序控制規(guī)則

由于組織中的已知更改，你可能決定編輯一組計(jì)算機(jī)的允許列表。

編輯計(jì)算機(jī)組的規(guī)則：

1. 打開 Azure Defender 儀表板，從高級保護(hù)區(qū)域選擇“自適應(yīng)應(yīng)用程序控制”。

2. 從“已配置”選項(xiàng)卡中，選擇包含要編輯的規(guī)則的組。

3. 查看“配置應(yīng)用程序控制規(guī)則”頁的各個(gè)部分，如在一組計(jì)算機(jī)上啟用自適應(yīng)應(yīng)用程序控制中所述。

4. （可選）添加一個(gè)或多個(gè)自定義規(guī)則：

• 在路徑末尾使用通配符，可以添加該文件夾和子文件夾中的所有可執(zhí)行文件。

• 在路徑中間使用通配符，可以啟用文件夾名稱發(fā)生更改的已知可執(zhí)行文件名稱（例如，包含已知可執(zhí)行文件的個(gè)人用戶文件夾、自動生成的文件夾名稱等）。

1. 選擇“添加規(guī)則”。

   

2. 如果要定義已知的安全路徑，請將“規(guī)則類型”更改為“路徑”，然后輸入單個(gè)路徑。 可以在路徑中包含通配符。

    提示

   在路徑中使用通配符可能有用的一些方案：

3. 定義允許的用戶和受保護(hù)的文件類型。

4. 定義完規(guī)則后，選擇“添加”。

5. 選擇“保存”，應(yīng)用所做的更改。

查看和編輯組設(shè)置

1. 若要查看組詳細(xì)信息和設(shè)置，請選擇“組設(shè)置”

   此窗格顯示組名稱（可修改）、OS 類型、位置和其他相關(guān)詳細(xì)信息。

   

2. （可選）修改組名稱或文件類型保護(hù)模式。

3. 選擇“應(yīng)用”和“保存” 。

響應(yīng)“應(yīng)更新自適應(yīng)應(yīng)用程序控制策略中的允許列表規(guī)則”建議

如果安全中心的機(jī)器學(xué)習(xí)識別出以前不允許的可能合法的行為，你將看到此建議。 該建議提供針對現(xiàn)有定義的新規(guī)則，用于減少誤報(bào)警報(bào)數(shù)量。

修正問題：

1. 從建議頁中，選擇“應(yīng)更新自適應(yīng)應(yīng)用程序控制策略中的允許列表規(guī)則”建議，查看新標(biāo)識的、可能合法的行為組。

2. 選擇包含要編輯的規(guī)則的組。

3. 查看“配置應(yīng)用程序控制規(guī)則”頁的各個(gè)部分，如在一組計(jì)算機(jī)上啟用自適應(yīng)應(yīng)用程序控制中所述。

4. 選擇“審核”，應(yīng)用所做的更改。

審核警報(bào)和沖突

1. 打開 Azure Defender 儀表板，從高級保護(hù)區(qū)域選擇“自適應(yīng)應(yīng)用程序控制”。

2. 要查看最近發(fā)出了警報(bào)的計(jì)算機(jī)組，請查看“已配置”選項(xiàng)卡中列出的組。

3. 要進(jìn)一步調(diào)查，請選擇一個(gè)組。

   

4. 要查看更多詳細(xì)信息以及受影響的計(jì)算機(jī)列表，請選擇一個(gè)警報(bào)。

   “警報(bào)”頁將顯示警報(bào)的更多詳細(xì)信息，并提供“執(zhí)行操作”鏈接以及有關(guān)如何緩解威脅的建議。

   

    備注

   自適應(yīng)應(yīng)用程序控制每 12 小時(shí)計(jì)算一次事件數(shù)量。 “警報(bào)”頁中顯示的“活動開始時(shí)間”是自適應(yīng)應(yīng)用程序控制創(chuàng)建警報(bào)的時(shí)間，而不是可疑進(jìn)程處于活動狀態(tài)的時(shí)間。

將計(jì)算機(jī)從一個(gè)組移動到另一個(gè)組

將計(jì)算機(jī)從一個(gè)組移動到另一個(gè)組時(shí)，適用于該計(jì)算機(jī)的應(yīng)用程序控制策略會更改為移動到的組的設(shè)置。 也可將計(jì)算機(jī)從已配置的組移動到未配置的組，這樣做會刪除應(yīng)用于該計(jì)算機(jī)的所有應(yīng)用程序控制規(guī)則。

1. 打開 Azure Defender 儀表板，從高級保護(hù)區(qū)域選擇“自適應(yīng)應(yīng)用程序控制”。

2. 在“自適應(yīng)應(yīng)用程序控制”頁中，從“已配置”選項(xiàng)卡中選擇包含要移動的計(jì)算機(jī)的組 。

3. 打開“已配置的計(jì)算機(jī)”列表。

4. 通過行尾的三個(gè)點(diǎn)打開計(jì)算機(jī)菜單，然后選擇“移動”。 “將計(jì)算機(jī)移動到其他組”窗格隨即打開。

5. 選擇目標(biāo)組，然后選擇“移動計(jì)算機(jī)”。

6. 選擇“保存”，以保存更改。

通過 REST API 管理應(yīng)用程序控制

若要以編程方式管理自適應(yīng)應(yīng)用程序控制，請使用我們的 REST API。

安全中心 API 文檔的“自適應(yīng)應(yīng)用程序控制”部分提供了相關(guān)的 API 文檔。

REST API 提供的一些函數(shù)：

• List 可檢索所有組建議，并為每個(gè)組提供帶有對象的 JSON。

• Get 可檢索帶有完整建議數(shù)據(jù)（即機(jī)器列表、發(fā)布者/路徑規(guī)則等）的 JSON。

• Put 可用于配置規(guī)則（使用 Get 檢索到的 JSON 作為此請求的主體）。

   重要

  Put 函數(shù)需要的參數(shù)比 Get 命令返回的 JSON 所含參數(shù)少。

  在 Put 請求中使用 JSON 之前，請刪除以下屬性：recommendationStatus、configurationStatus、issues、location 和 sourceSystem。

常見問題解答 - 自適應(yīng)應(yīng)用程序控制

• 是否有任何強(qiáng)制執(zhí)行應(yīng)用程序控制的選項(xiàng)？

• 為什么我會在我的推薦應(yīng)用程序中看到 Qualys 應(yīng)用？

是否有任何強(qiáng)制執(zhí)行應(yīng)用程序控制的選項(xiàng)？

目前無強(qiáng)制選項(xiàng)可用。 自適應(yīng)應(yīng)用程序控制旨在提供安全警報(bào)，前提是運(yùn)行的任何應(yīng)用程序不是你定義為安全的應(yīng)用程序。 如本頁所示，它具有一系列的優(yōu)勢（自適應(yīng)應(yīng)用程序控制的優(yōu)勢是什么？）并且具有良好的可定制性。

為什么我會在我的推薦應(yīng)用程序中看到 Qualys 應(yīng)用？

適用于服務(wù)器的 Azure Defender 可為你的計(jì)算機(jī)提供漏洞掃描服務(wù)，無需額外付費(fèi)。 你無需具備 Qualys 許可證，甚至還不需要 Qualys 帳戶 - 所有操作都在安全中心內(nèi)無縫執(zhí)行。 有關(guān)此掃描器的詳細(xì)信息以及如何部署它的說明，請參閱Defender 的集成漏洞評估解決方案。

若要確保安全中心部署掃描程序時(shí)不生成警報(bào)，自適應(yīng)應(yīng)用程序控制建議的允許列表應(yīng)包括所有計(jì)算機(jī)的掃描程序。