Azure使用自適應(yīng)應(yīng)用程序控制來減少計算機的攻擊面

了解 Azure 安全中心自適應(yīng)應(yīng)用程序控制的優(yōu)勢，以及可如何使用此數(shù)據(jù)驅(qū)動的智能功能增強安全性。

安全中心的自適應(yīng)應(yīng)用程序控制是什么？

自適應(yīng)應(yīng)用程序控制是一種自動化智能解決方案，用于為計算機定義包含已知安全應(yīng)用程序的允許列表。

通常，組織擁有定期運行相同流程的計算機集合。 安全中心使用機器學(xué)習(xí)來分析計算機上運行的應(yīng)用程序，并創(chuàng)建已知安全軟件列表。 允許列表基于特定 Azure 工作負載，你可以使用下面的說明進一步自定義建議。

啟用并配置自適應(yīng)應(yīng)用程序控制后，如果有任何運行的應(yīng)用程序不是你定義為安全的應(yīng)用程序，你將收到安全警報。

自適應(yīng)應(yīng)用程序控制有哪些優(yōu)勢？

通過定義已知安全應(yīng)用程序列表，并在執(zhí)行任何其他內(nèi)容時生成警報，可以實現(xiàn)多個強化目標(biāo)：

• 識別潛在的惡意軟件，甚至是反惡意軟件解決方案可能遺漏的任何惡意軟件

• 改進對規(guī)定僅使用許可軟件的本地安全策略的遵從性

• 避免運行舊的或不受支持的應(yīng)用程序

• 防止使用組織禁止的特定軟件

• 加強對訪問敏感數(shù)據(jù)的應(yīng)用的監(jiān)管

目前無強制選項可用。 自適應(yīng)應(yīng)用程序控制旨在提供安全警報，前提是運行的任何應(yīng)用程序不是你定義為安全的應(yīng)用程序。

可用性

在一組計算機上啟用應(yīng)用程序控制

如果安全中心在你的訂閱中確定了始終運行一組相似應(yīng)用程序的計算機組，則系統(tǒng)將提示以下建議：應(yīng)在計算機中啟用自適應(yīng)應(yīng)用程序控制以定義安全應(yīng)用程序。

選擇建議，或打開自適應(yīng)應(yīng)用程序控制頁面，查看建議的已知安全應(yīng)用程序列表和計算機組。

1. 打開 Azure Defender 儀表板，從高級保護區(qū)域選擇“自適應(yīng)應(yīng)用程序控制”。

   

   “自適應(yīng)應(yīng)用程序控制”頁隨即打開，你的 VM 會分組到以下多個選項卡中：

• 缺少 Log Analytics 代理

• Log Analytics 代理未發(fā)送事件

• 這是一臺 Windows 計算機，具有通過 GPO 或本地安全策略啟用的預(yù)先存在的 AppLocker 策略

• 組中的計算機數(shù)

• 最近的警報

• 已配置 - 已具有定義的應(yīng)用程序允許列表的計算機組。 對于每個組，“已配置”選項卡會顯示：

• 推薦 - 始終運行相同應(yīng)用程序且未配置允許列表的計算機組。 我們建議你為這些組啟用自適應(yīng)應(yīng)用程序控制。

   提示

  如果你看到一個帶有前綴“REVIEWGROUP”的組名，則該組名包含具有部分一致的應(yīng)用程序列表的計算機。 安全中心不顯示模式，但建議你查看此組以了解是否可以按照編輯組的自適應(yīng)應(yīng)用程序控制規(guī)則中所述，手動定義一些自適應(yīng)應(yīng)用程序控制規(guī)則。

  你還可以將計算機從該組移動到其他組，如將計算機從一個組移動到另一個組中所述。

• 無推薦 - 沒有已定義的應(yīng)用程序允許列表且不支持此功能的計算機。 你的計算機出現(xiàn)在此選項卡中可能是因為以下原因：

   提示

  安全中心至少需要兩周的數(shù)據(jù)才能定義每個計算機組的唯一推薦。 “無推薦”選項卡下將顯示最近創(chuàng)建的計算機或?qū)儆趦H最近啟用了 Azure Defender 的訂閱的計算機。

2. 打開“推薦”選項卡。此時將顯示帶有推薦允許列表的計算機組。

   

3. 選擇組。

4. 要配置新規(guī)則，請查看此“配置應(yīng)用程序控制規(guī)則”頁的各個部分和內(nèi)容，這些內(nèi)容對于特定計算機組是唯一的：

   

1. 選擇計算機 - 默認情況下，將選擇標(biāo)識組中的所有計算機。 如果取消選擇任何計算機，則會此規(guī)則中刪除它們。

2. 推薦應(yīng)用程序 - 查看此組中計算機的常用應(yīng)用程序列表，并建議允許其運行。

3. 更多應(yīng)用程序 - 查看此應(yīng)用程序列表，這些應(yīng)用程序在該組計算機上不常出現(xiàn)，或者已知可被攻擊。 一個警告圖標(biāo)，表示攻擊者可能會利用特定應(yīng)用程序繞過應(yīng)用程序允許列表。 建議仔細檢查這些應(yīng)用程序。

    提示

   兩個應(yīng)用程序列表都包含將特定應(yīng)用程序限制為某些用戶的選項。 盡可能采用最小特權(quán)原則。

   應(yīng)用程序由其發(fā)布者定義，如果應(yīng)用程序沒有發(fā)布者信息（未簽名），則會為特定應(yīng)用程序的完整路徑創(chuàng)建路徑規(guī)則。

4. 要應(yīng)用規(guī)則，請選擇“審核”。

編輯組的自適應(yīng)應(yīng)用程序控制規(guī)則

由于組織中的已知更改，你可能決定編輯一組計算機的允許列表。

編輯計算機組的規(guī)則：

1. 打開 Azure Defender 儀表板，從高級保護區(qū)域選擇“自適應(yīng)應(yīng)用程序控制”。

2. 從“已配置”選項卡中，選擇包含要編輯的規(guī)則的組。

3. 查看“配置應(yīng)用程序控制規(guī)則”頁的各個部分，如在一組計算機上啟用自適應(yīng)應(yīng)用程序控制中所述。

4. （可選）添加一個或多個自定義規(guī)則：

• 在路徑末尾使用通配符，可以添加該文件夾和子文件夾中的所有可執(zhí)行文件。

• 在路徑中間使用通配符，可以啟用文件夾名稱發(fā)生更改的已知可執(zhí)行文件名稱（例如，包含已知可執(zhí)行文件的個人用戶文件夾、自動生成的文件夾名稱等）。

1. 選擇“添加規(guī)則”。

   

2. 如果要定義已知的安全路徑，請將“規(guī)則類型”更改為“路徑”，然后輸入單個路徑。 可以在路徑中包含通配符。

    提示

   在路徑中使用通配符可能有用的一些方案：

3. 定義允許的用戶和受保護的文件類型。

4. 定義完規(guī)則后，選擇“添加”。

5. 選擇“保存”，應(yīng)用所做的更改。

查看和編輯組設(shè)置

1. 若要查看組詳細信息和設(shè)置，請選擇“組設(shè)置”

   此窗格顯示組名稱（可修改）、OS 類型、位置和其他相關(guān)詳細信息。

   

2. （可選）修改組名稱或文件類型保護模式。

3. 選擇“應(yīng)用”和“保存” 。

響應(yīng)“應(yīng)更新自適應(yīng)應(yīng)用程序控制策略中的允許列表規(guī)則”建議

如果安全中心的機器學(xué)習(xí)識別出以前不允許的可能合法的行為，你將看到此建議。 該建議提供針對現(xiàn)有定義的新規(guī)則，用于減少誤報警報數(shù)量。

修正問題：

1. 從建議頁中，選擇“應(yīng)更新自適應(yīng)應(yīng)用程序控制策略中的允許列表規(guī)則”建議，查看新標(biāo)識的、可能合法的行為組。

2. 選擇包含要編輯的規(guī)則的組。

3. 查看“配置應(yīng)用程序控制規(guī)則”頁的各個部分，如在一組計算機上啟用自適應(yīng)應(yīng)用程序控制中所述。

4. 選擇“審核”，應(yīng)用所做的更改。

審核警報和沖突

1. 打開 Azure Defender 儀表板，從高級保護區(qū)域選擇“自適應(yīng)應(yīng)用程序控制”。

2. 要查看最近發(fā)出了警報的計算機組，請查看“已配置”選項卡中列出的組。

3. 要進一步調(diào)查，請選擇一個組。

   

4. 要查看更多詳細信息以及受影響的計算機列表，請選擇一個警報。

   “警報”頁將顯示警報的更多詳細信息，并提供“執(zhí)行操作”鏈接以及有關(guān)如何緩解威脅的建議。

   

    備注

   自適應(yīng)應(yīng)用程序控制每 12 小時計算一次事件數(shù)量。 “警報”頁中顯示的“活動開始時間”是自適應(yīng)應(yīng)用程序控制創(chuàng)建警報的時間，而不是可疑進程處于活動狀態(tài)的時間。

將計算機從一個組移動到另一個組

將計算機從一個組移動到另一個組時，適用于該計算機的應(yīng)用程序控制策略會更改為移動到的組的設(shè)置。 也可將計算機從已配置的組移動到未配置的組，這樣做會刪除應(yīng)用于該計算機的所有應(yīng)用程序控制規(guī)則。

1. 打開 Azure Defender 儀表板，從高級保護區(qū)域選擇“自適應(yīng)應(yīng)用程序控制”。

2. 在“自適應(yīng)應(yīng)用程序控制”頁中，從“已配置”選項卡中選擇包含要移動的計算機的組 。

3. 打開“已配置的計算機”列表。

4. 通過行尾的三個點打開計算機菜單，然后選擇“移動”。 “將計算機移動到其他組”窗格隨即打開。

5. 選擇目標(biāo)組，然后選擇“移動計算機”。

6. 選擇“保存”，以保存更改。

通過 REST API 管理應(yīng)用程序控制

若要以編程方式管理自適應(yīng)應(yīng)用程序控制，請使用我們的 REST API。

安全中心 API 文檔的“自適應(yīng)應(yīng)用程序控制”部分提供了相關(guān)的 API 文檔。

REST API 提供的一些函數(shù)：

• List 可檢索所有組建議，并為每個組提供帶有對象的 JSON。

• Get 可檢索帶有完整建議數(shù)據(jù)（即機器列表、發(fā)布者/路徑規(guī)則等）的 JSON。

• Put 可用于配置規(guī)則（使用 Get 檢索到的 JSON 作為此請求的主體）。

   重要

  Put 函數(shù)需要的參數(shù)比 Get 命令返回的 JSON 所含參數(shù)少。

  在 Put 請求中使用 JSON 之前，請刪除以下屬性：recommendationStatus、configurationStatus、issues、location 和 sourceSystem。

常見問題解答 - 自適應(yīng)應(yīng)用程序控制

• 是否有任何強制執(zhí)行應(yīng)用程序控制的選項？

• 為什么我會在我的推薦應(yīng)用程序中看到 Qualys 應(yīng)用？

是否有任何強制執(zhí)行應(yīng)用程序控制的選項？

目前無強制選項可用。 自適應(yīng)應(yīng)用程序控制旨在提供安全警報，前提是運行的任何應(yīng)用程序不是你定義為安全的應(yīng)用程序。 如本頁所示，它具有一系列的優(yōu)勢（自適應(yīng)應(yīng)用程序控制的優(yōu)勢是什么？）并且具有良好的可定制性。

為什么我會在我的推薦應(yīng)用程序中看到 Qualys 應(yīng)用？

適用于服務(wù)器的 Azure Defender 可為你的計算機提供漏洞掃描服務(wù)，無需額外付費。 你無需具備 Qualys 許可證，甚至還不需要 Qualys 帳戶 - 所有操作都在安全中心內(nèi)無縫執(zhí)行。 有關(guān)此掃描器的詳細信息以及如何部署它的說明，請參閱Defender 的集成漏洞評估解決方案。

若要確保安全中心部署掃描程序時不生成警報，自適應(yīng)應(yīng)用程序控制建議的允許列表應(yīng)包括所有計算機的掃描程序。