自適應(yīng)網(wǎng)絡(luò)強化是 Azure 安全中心的一項無代理功能 - 無需在計算機上安裝任何額外組件就能受益于這種網(wǎng)絡(luò)強化工具。本頁介紹如何在安全中心配置和管理自適應(yīng)網(wǎng)絡(luò)強化���。
自適應(yīng)網(wǎng)絡(luò)強化是 Azure 安全中心的一項無代理功能 - 無需在計算機上安裝任何額外組件就能受益于這種網(wǎng)絡(luò)強化工具����。
本頁介紹如何在安全中心配置和管理自適應(yīng)網(wǎng)絡(luò)強化。
可用性
什么是自適應(yīng)網(wǎng)絡(luò)強化���?
應(yīng)用網(wǎng)絡(luò)安全組 (NSG) 來篩選發(fā)往/來自資源的流量,可以改善網(wǎng)絡(luò)安全狀況�。 但是,仍然可能存在一些這樣的情況:通過 NSG 流動的實際流量是所定義 NSG 規(guī)則的子集��。 在這些情況下����,可以根據(jù)實際流量模式強化 NSG 規(guī)則,從而進(jìn)一步改善安全狀況����。
自適應(yīng)網(wǎng)絡(luò)強化為進(jìn)一步強化 NSG 規(guī)則提供了建議。 它使用機器學(xué)習(xí)算法��,這種算法會將實際流量�����、已知受信任的配置��、威脅情報和其他泄露標(biāo)志都考慮在內(nèi),然后提供僅允許來自特定 IP/端口元組的流量的建議��。
例如���,假設(shè)現(xiàn)有的 NSG 規(guī)則是在端口 22 上允許來自 140.20.30.10/24 流量�。 根據(jù)流量分析���,自適應(yīng)網(wǎng)絡(luò)強化可能建議縮小范圍以允許來自 140.23.30.10/29 的流量���,并拒絕所有其他流量流經(jīng)該端口。 有關(guān)受支持端口的完整列表��,請參閱常見問題解答項支持哪些端口���?�����。
查看強化警報和建議的規(guī)則
從安全中心的菜單中����,打開 Azure Defender 儀表板并選擇自適應(yīng)網(wǎng)絡(luò)強化磁貼 (1),或與自適應(yīng)網(wǎng)絡(luò)強化相關(guān)的見解面板項 (2)�。
提示
見解面板顯示你當(dāng)前通過自適應(yīng)網(wǎng)絡(luò)強化進(jìn)行威脅防御的 VM 百分比��。
“應(yīng)在面向 Internet 的虛擬機上應(yīng)用自適應(yīng)網(wǎng)絡(luò)強化建議”建議的詳細(xì)信息頁面將打開��,并且你的網(wǎng)絡(luò) VM 將分組為三個選項卡:
VM 是經(jīng)典 VM:只有 Azure 資源管理器 VM 受支持。
沒有足夠的數(shù)據(jù)可用:為了生成準(zhǔn)確的流量強化建議���,安全中心至少需要 30 天的流量數(shù)據(jù)。
VM 不受 Azure Defender 保護(hù):只有使用 適用于服務(wù)器的 Azure Defender 保護(hù)的 VM 才有資格使用此功能��。
從“不正常的資源”選項卡中��,選擇要查看其警報的 VM�,并選擇要應(yīng)用的建議強化規(guī)則。
(可選)編輯規(guī)則:
修改規(guī)則
刪除規(guī)則
添加規(guī)則
選擇要對 NSG 應(yīng)用的規(guī)則����,然后選擇“強制執(zhí)行”。
提示
如果允許的源 IP 范圍顯示為“無”�����,則意味著建議的規(guī)則是“拒絕”規(guī)則�,否則,它是“允許”規(guī)則 �����。
備注
強制執(zhí)行的規(guī)則將添加到保護(hù) VM 的 NSG�����。 (VM 可由關(guān)聯(lián)到其 NIC 的 NSG 和/或 VM 所在的子網(wǎng)保護(hù))
修改規(guī)則
你可能想要修改已建議的規(guī)則的參數(shù)��。 例如���,你可能想要更改建議的 IP 范圍。
有關(guān)修改自適應(yīng)網(wǎng)絡(luò)強化規(guī)則的一些重要準(zhǔn)則:
不能將“允許”規(guī)則更改為“拒絕”規(guī)則 ���。
只能修改“允許”規(guī)則的參數(shù)���。
創(chuàng)建和修改“拒絕”規(guī)則是直接在 NSG 上執(zhí)行的�����。 有關(guān)詳細(xì)信息�����,請參閱創(chuàng)建��、更改或刪除網(wǎng)絡(luò)安全組�����。
拒絕所有流量 規(guī)則是此處列出的唯一“拒絕”規(guī)則類型,并且該規(guī)則不能修改���。 不過�,你可以刪除它(請參閱刪除規(guī)則)��。 若要了解此類規(guī)則����,請參閱常見問題解答項何時應(yīng)使用“拒絕所有流量”規(guī)則����?����。
修改自適應(yīng)網(wǎng)絡(luò)強化規(guī)則:
若要修改規(guī)則的某些參數(shù),請在“規(guī)則”選項卡中選擇規(guī)則行末尾的省略號圖標(biāo) (...)���,然后選擇“編輯” ��。
在“編輯規(guī)則”窗口中,更新你要更改的詳細(xì)信息�����,然后選擇“保存” ����。
備注
選擇“保存”后,即已成功更改規(guī)則���。 但尚未將其應(yīng)用到 NSG�。 若要應(yīng)用該規(guī)則,必須在列表中選擇該規(guī)則�����,然后選擇“強制執(zhí)行”(如下一步所述)�����。
若要應(yīng)用已更新的規(guī)則���,請從列表中選擇該規(guī)則��,然后選擇“強制執(zhí)行”����。
添加新規(guī)則
可以添加安全中心未建議的“允許”規(guī)則�����。
備注
在這里只能添加“允許”規(guī)則����。 如果要添加“拒絕”規(guī)則,可以直接在 NSG 上執(zhí)行此操作���。 有關(guān)詳細(xì)信息����,請參閱創(chuàng)建����、更改或刪除網(wǎng)絡(luò)安全組。
添加自適應(yīng)網(wǎng)絡(luò)強化規(guī)則:
在頂部工具欄中�,選擇“添加規(guī)則”。
在“新建規(guī)則”窗口中輸入詳細(xì)信息���,然后選擇“添加” �。
備注
選擇“添加”后�����,會成功添加該規(guī)則,它將連同其他建議的規(guī)則一起列出�����。 但是���,該規(guī)則尚未應(yīng)用到 NSG�����。 若要激活該規(guī)則����,必須在列表中選擇該規(guī)則��,然后選擇“強制執(zhí)行”(如下一步驟所述)���。
若要應(yīng)用新規(guī)則���,請從列表中選擇該規(guī)則,然后選擇“強制執(zhí)行”�。
刪除規(guī)則
必要時,可以刪除當(dāng)前會話的建議規(guī)則�。 例如,你可能會確定應(yīng)用建議的規(guī)則會阻止合法的流量�。
刪除當(dāng)前會話的自適應(yīng)網(wǎng)絡(luò)強化規(guī)則:
常見問題解答 - 自適應(yīng)網(wǎng)絡(luò)強化
支持哪些端口�?
自適應(yīng)網(wǎng)絡(luò)強化建議僅在以下特定端口上受支持(適用于 UDP 和 TCP):
13、17��、19����、22、23�����、53、69�、81、111����、119、123����、135、137��、138����、139、161���、162�、389�、445、512、514���、593、636���、873����、1433����、1434、1900���、2049����、2301��、2323���、2381�、3268、3306����、3389、4333�、5353、5432�����、5555��、5800�、5900、5900�����、5985����、5986、6379����、6379����、7000���、7001��、7199、8081���、8089�����、8545��、9042�����、9160���、9300、11211��、16379、26379�����、27017��、37215
自適應(yīng)網(wǎng)絡(luò)強化是否要求滿足任何先決條件或安裝 VM 擴展�����?
自適應(yīng)網(wǎng)絡(luò)強化是 Azure 安全中心的一項無代理功能 - 無需在計算機上安裝任何額外組件就能受益于這種網(wǎng)絡(luò)強化工具�����。
何時應(yīng)使用“拒絕所有流量”規(guī)則��?
在運行算法后�,如果安全中心根據(jù)現(xiàn)有的 NSG 配置未識別出應(yīng)允許的流量,則會建議執(zhí)行 拒絕所有流量 規(guī)則�。 因此,建議的規(guī)則是拒絕發(fā)往指定端口的所有流量��。 此類型規(guī)則的名稱顯示為“系統(tǒng)生成”�����。 強制執(zhí)行此規(guī)則后,此規(guī)則在 NSG 中的實際名稱將是包含協(xié)議����、流量方向、“DENY”和隨機數(shù)字的字符串�����。
立即登錄�,閱讀全文
閩公網(wǎng)安備 35010202001226號
