Azure使用自適應應用程序控制來減少計算機的攻擊面,azure 集成代碼檢查工具

Azure使用自適應應用程序控制來減少計算機的攻擊面

了解 Azure 安全中心自適應應用程序控制的優勢，以及可如何使用此數據驅動的智能功能增強安全性。

安全中心的自適應應用程序控制是什么？

自適應應用程序控制是一種自動化智能解決方案，用于為計算機定義包含已知安全應用程序的允許列表。

通常，組織擁有定期運行相同流程的計算機集合。 安全中心使用機器學習來分析計算機上運行的應用程序，并創建已知安全軟件列表。 允許列表基于特定 Azure 工作負載，你可以使用下面的說明進一步自定義建議。

啟用并配置自適應應用程序控制后，如果有任何運行的應用程序不是你定義為安全的應用程序，你將收到安全警報。

自適應應用程序控制有哪些優勢？

通過定義已知安全應用程序列表，并在執行任何其他內容時生成警報，可以實現多個強化目標：

識別潛在的惡意軟件，甚至是反惡意軟件解決方案可能遺漏的任何惡意軟件

改進對規定僅使用許可軟件的本地安全策略的遵從性

避免運行舊的或不受支持的應用程序

防止使用組織禁止的特定軟件

加強對訪問敏感數據的應用的監管

目前無強制選項可用。 自適應應用程序控制旨在提供安全警報，前提是運行的任何應用程序不是你定義為安全的應用程序。

可用性

在一組計算機上啟用應用程序控制

如果安全中心在你的訂閱中確定了始終運行一組相似應用程序的計算機組，則系統將提示以下建議：應在計算機中啟用自適應應用程序控制以定義安全應用程序。

選擇建議，或打開自適應應用程序控制頁面，查看建議的已知安全應用程序列表和計算機組。

打開 Azure Defender 儀表板，從高級保護區域選擇“自適應應用程序控制”。

“自適應應用程序控制”頁隨即打開，你的 VM 會分組到以下多個選項卡中：

缺少 Log Analytics 代理

Log Analytics 代理未發快遞事件

這是一臺 Windows 計算機，具有通過 GPO 或本地安全策略啟用的預先存在的AppLocker策略

組中的計算機數

最近的警報

已配置 已具有定義的應用程序允許列表的計算機組。 對于每個組，“已配置”選項卡會顯示：

推薦 始終運行相同應用程序且未配置允許列表的計算機組。 我們建議你為這些組啟用自適應應用程序控制。

提示

如果你看到一個帶有前綴“REVIEWGROUP”的組名，則該組名包含具有部分一致的應用程序列表的計算機。 安全中心不顯示模式，但建議你查看此組以了解是否可以按照編輯組的自適應應用程序控制規則中所述，手動定義一些自適應應用程序控制規則。

你還可以將計算機從該組移動到其他組，如將計算機從一個組移動到另一個組中所述。

無推薦 沒有已定義的應用程序允許列表且不支持此功能的計算機。 你的計算機出現在此選項卡中可能是因為以下原因：

提示

安全中心至少需要兩周的數據才能定義每個計算機組的唯一推薦。 “無推薦”選項卡下將顯示最近創建的計算機或屬于僅最近啟用了 Azure Defender 的訂閱的計算機。

打開“推薦”選項卡。此時將顯示帶有推薦允許列表的計算機組。

選擇組。

要配置新規則，請查看此“配置應用程序控制規則”頁的各個部分和內容，這些內容對于特定計算機組是唯一的：

選擇計算機 默認情況下，將選擇標識組中的所有計算機。 如果取消選擇任何計算機，則會此規則中刪除它們。

推薦應用程序 查看此組中計算機的常用應用程序列表，并建議允許其運行。

更多應用程序 查看此應用程序列表，這些應用程序在該組計算機上不常出現，或者已知可被攻擊。 一個警告圖標，表示攻擊者可能會利用特定應用程序繞過應用程序允許列表。 建議仔細檢查這些應用程序。

提示

兩個應用程序列表都包含將特定應用程序限制為某些用戶的選項。 盡可能采用最小特權原則。

應用程序由其發布者定義，如果應用程序沒有發布者信息（未簽名），則會為特定應用程序的完整路徑創建路徑規則。

要應用規則，請選擇“審核”。

編輯組的自適應應用程序控制規則

由于組織中的已知更改，你可能決定編輯一組計算機的允許列表。

編輯計算機組的規則：

打開 Azure Defender 儀表板，從高級保護區域選擇“自適應應用程序控制”。

從“已配置”選項卡中，選擇包含要編輯的規則的組。

查看“配置應用程序控制規則”頁的各個部分，如在一組計算機上啟用自適應應用程序控制中所述。

（可選）添加一個或多個自定義規則：

在路徑末尾使用通配符，可以添加該文件夾和子文件夾中的所有可執行文件。

在路徑中間使用通配符，可以啟用文件夾名稱發生更改的已知可執行文件名稱（例如，包含已知可執行文件的個人用戶文件夾、自動生成的文件夾名稱等）。

選擇“添加規則”。

如果要定義已知的安全路徑，請將“規則類型”更改為“路徑”，然后輸入單個路徑。 可以在路徑中包含通配符。

提示

在路徑中使用通配符可能有用的一些方案：

定義允許的用戶和受保護的文件類型。

定義完規則后，選擇“添加”。

選擇“保存”，應用所做的更改。

查看和編輯組設置

若要查看組詳細信息和設置，請選擇“組設置”

此窗格顯示組名稱（可修改）、OS 類型、位置和其他相關詳細信息。

（可選）修改組名稱或文件類型保護模式。

選擇“應用”和“保存” 。

響應“應更新自適應應用程序控制策略中的允許列表規則”建議

如果安全中心的機器學習識別出以前不允許的可能合法的行為，你將看到此建議。 該建議提供針對現有定義的新規則，用于減少誤報警報數量。

修正問題：

從建議頁中，選擇“應更新自適應應用程序控制策略中的允許列表規則”建議，查看新標識的、可能合法的行為組。

選擇包含要編輯的規則的組。

查看“配置應用程序控制規則”頁的各個部分，如在一組計算機上啟用自適應應用程序控制中所述。

選擇“審核”，應用所做的更改。

審核警報和沖突

打開 Azure Defender 儀表板，從高級保護區域選擇“自適應應用程序控制”。

要查看最近發出了警報的計算機組，請查看“已配置”選項卡中列出的組。

要進一步調查，請選擇一個組。

要查看更多詳細信息以及受影響的計算機列表，請選擇一個警報。

“警報”頁將顯示警報的更多詳細信息，并提供“執行操作”鏈接以及有關如何緩解威脅的建議。

備注

自適應應用程序控制每 12 小時計算一次事件數量。 “警報”頁中顯示的“活動開始時間”是自適應應用程序控制創建警報的時間，而不是可疑進程處于活動狀態的時間。

將計算機從一個組移動到另一個組

將計算機從一個組移動到另一個組時，適用于該計算機的應用程序控制策略會更改為移動到的組的設置。 也可將計算機從已配置的組移動到未配置的組，這樣做會刪除應用于該計算機的所有應用程序控制規則。

打開 Azure Defender 儀表板，從高級保護區域選擇“自適應應用程序控制”。

在“自適應應用程序控制”頁中，從“已配置”選項卡中選擇包含要移動的計算機的組 。

打開“已配置的計算機”列表。

通過行尾的三個點打開計算機菜單，然后選擇“移動”。 “將計算機移動到其他組”窗格隨即打開。

選擇目標組，然后選擇“移動計算機”。

選擇“保存”，以保存更改。

通過 REST API 管理應用程序控制

若要以編程方式管理自適應應用程序控制，請使用我們的 REST API。

安全中心 API 文檔的“自適應應用程序控制”部分提供了相關的 API 文檔。

REST API 提供的一些函數：

List可檢索所有組建議，并為每個組提供帶有對象的 JSON。

Get可檢索帶有完整建議數據（即機器列表、發布者/路徑規則等）的 JSON。

Put可用于配置規則（使用 Get 檢索到的 JSON 作為此請求的主體）。

重要

Put函數需要的參數比 Get 命令返回的 JSON 所含參數少。

在 Put 請求中使用 JSON 之前，請刪除以下屬性：recommendationStatus、configurationStatus、issues、location 和 sourceSystem。

常見問題解答 自適應應用程序控制

是否有任何強制執行應用程序控制的選項？

為什么我會在我的推薦應用程序中看到 Qualys 應用？

是否有任何強制執行應用程序控制的選項？

目前無強制選項可用。 自適應應用程序控制旨在提供安全警報，前提是運行的任何應用程序不是你定義為安全的應用程序。 如本頁所示，它具有一系列的優勢（自適應應用程序控制的優勢是什么？）并且具有良好的可定制性。

為什么我會在我的推薦應用程序中看到 Qualys 應用？

適用于服務器的 Azure Defender可為你的計算機提供漏洞掃描服務，無需額外付費。 你無需具備 Qualys 許可證，甚至還不需要 Qualys 帳戶 所有操作都在安全中心內無縫執行。 有關此掃描器的詳細信息以及如何部署它的說明，請參閱Defender 的集成漏洞評估解決方案。

若要確保安全中心部署掃描程序時不生成警報，自適應應用程序控制建議的允許列表應包括所有計算機的掃描程序。

特別聲明：以上文章內容僅代表作者本人觀點，不代表ESG跨境電商觀點或立場。如有關于作品內容、版權或其它問題請于作品發表后的30日內與ESG跨境電商聯系。