Azure|通過(guò)自適應(yīng)網(wǎng)絡(luò)強(qiáng)化，改進(jìn)網(wǎng)絡(luò)安全狀況

自適應(yīng)網(wǎng)絡(luò)強(qiáng)化是 Azure 安全中心的一項(xiàng)無(wú)代理功能 - 無(wú)需在計(jì)算機(jī)上安裝任何額外組件就能受益于這種網(wǎng)絡(luò)強(qiáng)化工具。

本頁(yè)介紹如何在安全中心配置和管理自適應(yīng)網(wǎng)絡(luò)強(qiáng)化。

可用性

什么是自適應(yīng)網(wǎng)絡(luò)強(qiáng)化？

應(yīng)用網(wǎng)絡(luò)安全組 (NSG) 來(lái)篩選發(fā)往/來(lái)自資源的流量，可以改善網(wǎng)絡(luò)安全狀況。 但是，仍然可能存在一些這樣的情況：通過(guò) NSG 流動(dòng)的實(shí)際流量是所定義 NSG 規(guī)則的子集。 在這些情況下，可以根據(jù)實(shí)際流量模式強(qiáng)化 NSG 規(guī)則，從而進(jìn)一步改善安全狀況。

自適應(yīng)網(wǎng)絡(luò)強(qiáng)化為進(jìn)一步強(qiáng)化 NSG 規(guī)則提供了建議。 它使用機(jī)器學(xué)習(xí)算法，這種算法會(huì)將實(shí)際流量、已知受信任的配置、威脅情報(bào)和其他泄露標(biāo)志都考慮在內(nèi)，然后提供僅允許來(lái)自特定 IP/端口元組的流量的建議。

例如，假設(shè)現(xiàn)有的 NSG 規(guī)則是在端口 22 上允許來(lái)自 140.20.30.10/24 流量。 根據(jù)流量分析，自適應(yīng)網(wǎng)絡(luò)強(qiáng)化可能建議縮小范圍以允許來(lái)自 140.23.30.10/29 的流量，并拒絕所有其他流量流經(jīng)該端口。 有關(guān)受支持端口的完整列表，請(qǐng)參閱常見(jiàn)問(wèn)題解答項(xiàng)支持哪些端口？。

查看強(qiáng)化警報(bào)和建議的規(guī)則

1. 從安全中心的菜單中，打開(kāi) Azure Defender 儀表板并選擇自適應(yīng)網(wǎng)絡(luò)強(qiáng)化磁貼 (1)，或與自適應(yīng)網(wǎng)絡(luò)強(qiáng)化相關(guān)的見(jiàn)解面板項(xiàng) (2)。

   

    提示

   見(jiàn)解面板顯示你當(dāng)前通過(guò)自適應(yīng)網(wǎng)絡(luò)強(qiáng)化進(jìn)行威脅防御的 VM 百分比。

2. “應(yīng)在面向 Internet 的虛擬機(jī)上應(yīng)用自適應(yīng)網(wǎng)絡(luò)強(qiáng)化建議”建議的詳細(xì)信息頁(yè)面將打開(kāi)，并且你的網(wǎng)絡(luò) VM 將分組為三個(gè)選項(xiàng)卡：

   

• VM 是經(jīng)典 VM：只有 Azure 資源管理器 VM 受支持。

• 沒(méi)有足夠的數(shù)據(jù)可用：為了生成準(zhǔn)確的流量強(qiáng)化建議，安全中心至少需要 30 天的流量數(shù)據(jù)。

• VM 不受 Azure Defender 保護(hù)：只有使用 適用于服務(wù)器的 Azure Defender 保護(hù)的 VM 才有資格使用此功能。

• 不正常的資源：當(dāng)前具有通過(guò)運(yùn)行自適應(yīng)網(wǎng)絡(luò)強(qiáng)化算法觸發(fā)的建議和警報(bào)的 VM。

• 正常的資源：沒(méi)有警報(bào)和建議的 VM。

• 未掃描的資源：由于以下原因之一而無(wú)法運(yùn)行自適應(yīng)網(wǎng)絡(luò)強(qiáng)化算法的 VM：

3. 從“不正常的資源”選項(xiàng)卡中，選擇要查看其警報(bào)的 VM，并選擇要應(yīng)用的建議強(qiáng)化規(guī)則。

• “規(guī)則”選項(xiàng)卡列出了自適應(yīng)網(wǎng)絡(luò)強(qiáng)化建議添加的規(guī)則

• “警報(bào)”選項(xiàng)卡列出了由于流量（流向不在建議規(guī)則所允許的 IP 范圍內(nèi)的資源）而生成的警報(bào)。

4. （可選）編輯規(guī)則：

• 修改規(guī)則

• 刪除規(guī)則

• 添加規(guī)則

5. 選擇要對(duì) NSG 應(yīng)用的規(guī)則，然后選擇“強(qiáng)制執(zhí)行”。

    提示

   如果允許的源 IP 范圍顯示為“無(wú)”，則意味著建議的規(guī)則是“拒絕”規(guī)則，否則，它是“允許”規(guī)則 。

   

    備注

   強(qiáng)制執(zhí)行的規(guī)則將添加到保護(hù) VM 的 NSG。 （VM 可由關(guān)聯(lián)到其 NIC 的 NSG 和/或 VM 所在的子網(wǎng)保護(hù)）

修改規(guī)則

你可能想要修改已建議的規(guī)則的參數(shù)。 例如，你可能想要更改建議的 IP 范圍。

有關(guān)修改自適應(yīng)網(wǎng)絡(luò)強(qiáng)化規(guī)則的一些重要準(zhǔn)則：

• 不能將“允許”規(guī)則更改為“拒絕”規(guī)則 。

• 只能修改“允許”規(guī)則的參數(shù)。

  創(chuàng)建和修改“拒絕”規(guī)則是直接在 NSG 上執(zhí)行的。 有關(guān)詳細(xì)信息，請(qǐng)參閱創(chuàng)建、更改或刪除網(wǎng)絡(luò)安全組。

• 拒絕所有流量 規(guī)則是此處列出的唯一“拒絕”規(guī)則類型，并且該規(guī)則不能修改。 不過(guò)，你可以刪除它（請(qǐng)參閱刪除規(guī)則）。 若要了解此類規(guī)則，請(qǐng)參閱常見(jiàn)問(wèn)題解答項(xiàng)何時(shí)應(yīng)使用“拒絕所有流量”規(guī)則？。

修改自適應(yīng)網(wǎng)絡(luò)強(qiáng)化規(guī)則：

1. 若要修改規(guī)則的某些參數(shù)，請(qǐng)?jiān)凇耙?guī)則”選項(xiàng)卡中選擇規(guī)則行末尾的省略號(hào)圖標(biāo) (...)，然后選擇“編輯” 。

   

2. 在“編輯規(guī)則”窗口中，更新你要更改的詳細(xì)信息，然后選擇“保存” 。

    備注

   選擇“保存”后，即已成功更改規(guī)則。 但尚未將其應(yīng)用到 NSG。 若要應(yīng)用該規(guī)則，必須在列表中選擇該規(guī)則，然后選擇“強(qiáng)制執(zhí)行”（如下一步所述）。

   
   

3. 若要應(yīng)用已更新的規(guī)則，請(qǐng)從列表中選擇該規(guī)則，然后選擇“強(qiáng)制執(zhí)行”。

   

添加新規(guī)則

可以添加安全中心未建議的“允許”規(guī)則。

 備注

在這里只能添加“允許”規(guī)則。 如果要添加“拒絕”規(guī)則，可以直接在 NSG 上執(zhí)行此操作。 有關(guān)詳細(xì)信息，請(qǐng)參閱創(chuàng)建、更改或刪除網(wǎng)絡(luò)安全組。

添加自適應(yīng)網(wǎng)絡(luò)強(qiáng)化規(guī)則：

1. 在頂部工具欄中，選擇“添加規(guī)則”。

   

2. 在“新建規(guī)則”窗口中輸入詳細(xì)信息，然后選擇“添加” 。

    備注

   選擇“添加”后，會(huì)成功添加該規(guī)則，它將連同其他建議的規(guī)則一起列出。 但是，該規(guī)則尚未應(yīng)用到 NSG。 若要激活該規(guī)則，必須在列表中選擇該規(guī)則，然后選擇“強(qiáng)制執(zhí)行”（如下一步驟所述）。

3. 若要應(yīng)用新規(guī)則，請(qǐng)從列表中選擇該規(guī)則，然后選擇“強(qiáng)制執(zhí)行”。

   

刪除規(guī)則

必要時(shí)，可以刪除當(dāng)前會(huì)話的建議規(guī)則。 例如，你可能會(huì)確定應(yīng)用建議的規(guī)則會(huì)阻止合法的流量。

刪除當(dāng)前會(huì)話的自適應(yīng)網(wǎng)絡(luò)強(qiáng)化規(guī)則：

• 在“規(guī)則”選項(xiàng)卡中，選擇規(guī)則行末尾的省略號(hào)圖標(biāo) (...)，然后選擇“刪除” 。

  

常見(jiàn)問(wèn)題解答 - 自適應(yīng)網(wǎng)絡(luò)強(qiáng)化

• 支持哪些端口？

• 自適應(yīng)網(wǎng)絡(luò)強(qiáng)化是否要求滿足任何先決條件或安裝 VM 擴(kuò)展？

支持哪些端口？

自適應(yīng)網(wǎng)絡(luò)強(qiáng)化建議僅在以下特定端口上受支持（適用于 UDP 和 TCP）：

13、17、19、22、23、53、69、81、111、119、123、135、137、138、139、161、162、389、445、512、514、593、636、873、1433、1434、1900、2049、2301、2323、2381、3268、3306、3389、4333、5353、5432、5555、5800、5900、5900、5985、5986、6379、6379、7000、7001、7199、8081、8089、8545、9042、9160、9300、11211、16379、26379、27017、37215

自適應(yīng)網(wǎng)絡(luò)強(qiáng)化是否要求滿足任何先決條件或安裝 VM 擴(kuò)展？

自適應(yīng)網(wǎng)絡(luò)強(qiáng)化是 Azure 安全中心的一項(xiàng)無(wú)代理功能 - 無(wú)需在計(jì)算機(jī)上安裝任何額外組件就能受益于這種網(wǎng)絡(luò)強(qiáng)化工具。

何時(shí)應(yīng)使用“拒絕所有流量”規(guī)則？

在運(yùn)行算法后，如果安全中心根據(jù)現(xiàn)有的 NSG 配置未識(shí)別出應(yīng)允許的流量，則會(huì)建議執(zhí)行 拒絕所有流量 規(guī)則。 因此，建議的規(guī)則是拒絕發(fā)往指定端口的所有流量。 此類型規(guī)則的名稱顯示為“系統(tǒng)生成”。 強(qiáng)制執(zhí)行此規(guī)則后，此規(guī)則在 NSG 中的實(shí)際名稱將是包含協(xié)議、流量方向、“DENY”和隨機(jī)數(shù)字的字符串。