Azure|通過自適應網(wǎng)絡強化，改進網(wǎng)絡安全狀況

自適應網(wǎng)絡強化是 Azure 安全中心的一項無代理功能 - 無需在計算機上安裝任何額外組件就能受益于這種網(wǎng)絡強化工具。

本頁介紹如何在安全中心配置和管理自適應網(wǎng)絡強化。

可用性

什么是自適應網(wǎng)絡強化？

應用網(wǎng)絡安全組 (NSG) 來篩選發(fā)往/來自資源的流量，可以改善網(wǎng)絡安全狀況。 但是，仍然可能存在一些這樣的情況：通過 NSG 流動的實際流量是所定義 NSG 規(guī)則的子集。 在這些情況下，可以根據(jù)實際流量模式強化 NSG 規(guī)則，從而進一步改善安全狀況。

自適應網(wǎng)絡強化為進一步強化 NSG 規(guī)則提供了建議。 它使用機器學習算法，這種算法會將實際流量、已知受信任的配置、威脅情報和其他泄露標志都考慮在內，然后提供僅允許來自特定 IP/端口元組的流量的建議。

例如，假設現(xiàn)有的 NSG 規(guī)則是在端口 22 上允許來自 140.20.30.10/24 流量。 根據(jù)流量分析，自適應網(wǎng)絡強化可能建議縮小范圍以允許來自 140.23.30.10/29 的流量，并拒絕所有其他流量流經(jīng)該端口。 有關受支持端口的完整列表，請參閱常見問題解答項支持哪些端口？。

查看強化警報和建議的規(guī)則

1. 從安全中心的菜單中，打開 Azure Defender 儀表板并選擇自適應網(wǎng)絡強化磁貼 (1)，或與自適應網(wǎng)絡強化相關的見解面板項 (2)。

   

    提示

   見解面板顯示你當前通過自適應網(wǎng)絡強化進行威脅防御的 VM 百分比。

2. “應在面向 Internet 的虛擬機上應用自適應網(wǎng)絡強化建議”建議的詳細信息頁面將打開，并且你的網(wǎng)絡 VM 將分組為三個選項卡：

   

• VM 是經(jīng)典 VM：只有 Azure 資源管理器 VM 受支持。

• 沒有足夠的數(shù)據(jù)可用：為了生成準確的流量強化建議，安全中心至少需要 30 天的流量數(shù)據(jù)。

• VM 不受 Azure Defender 保護：只有使用 適用于服務器的 Azure Defender 保護的 VM 才有資格使用此功能。

• 不正常的資源：當前具有通過運行自適應網(wǎng)絡強化算法觸發(fā)的建議和警報的 VM。

• 正常的資源：沒有警報和建議的 VM。

• 未掃描的資源：由于以下原因之一而無法運行自適應網(wǎng)絡強化算法的 VM：

3. 從“不正常的資源”選項卡中，選擇要查看其警報的 VM，并選擇要應用的建議強化規(guī)則。

• “規(guī)則”選項卡列出了自適應網(wǎng)絡強化建議添加的規(guī)則

• “警報”選項卡列出了由于流量（流向不在建議規(guī)則所允許的 IP 范圍內的資源）而生成的警報。

4. （可選）編輯規(guī)則：

• 修改規(guī)則

• 刪除規(guī)則

• 添加規(guī)則

5. 選擇要對 NSG 應用的規(guī)則，然后選擇“強制執(zhí)行”。

    提示

   如果允許的源 IP 范圍顯示為“無”，則意味著建議的規(guī)則是“拒絕”規(guī)則，否則，它是“允許”規(guī)則 。

   

    備注

   強制執(zhí)行的規(guī)則將添加到保護 VM 的 NSG。 （VM 可由關聯(lián)到其 NIC 的 NSG 和/或 VM 所在的子網(wǎng)保護）

修改規(guī)則

你可能想要修改已建議的規(guī)則的參數(shù)。 例如，你可能想要更改建議的 IP 范圍。

有關修改自適應網(wǎng)絡強化規(guī)則的一些重要準則：

• 不能將“允許”規(guī)則更改為“拒絕”規(guī)則 。

• 只能修改“允許”規(guī)則的參數(shù)。

  創(chuàng)建和修改“拒絕”規(guī)則是直接在 NSG 上執(zhí)行的。 有關詳細信息，請參閱創(chuàng)建、更改或刪除網(wǎng)絡安全組。

• 拒絕所有流量 規(guī)則是此處列出的唯一“拒絕”規(guī)則類型，并且該規(guī)則不能修改。 不過，你可以刪除它（請參閱刪除規(guī)則）。 若要了解此類規(guī)則，請參閱常見問題解答項何時應使用“拒絕所有流量”規(guī)則？。

修改自適應網(wǎng)絡強化規(guī)則：

1. 若要修改規(guī)則的某些參數(shù)，請在“規(guī)則”選項卡中選擇規(guī)則行末尾的省略號圖標 (...)，然后選擇“編輯” 。

   

2. 在“編輯規(guī)則”窗口中，更新你要更改的詳細信息，然后選擇“保存” 。

    備注

   選擇“保存”后，即已成功更改規(guī)則。 但尚未將其應用到 NSG。 若要應用該規(guī)則，必須在列表中選擇該規(guī)則，然后選擇“強制執(zhí)行”（如下一步所述）。

   
   

3. 若要應用已更新的規(guī)則，請從列表中選擇該規(guī)則，然后選擇“強制執(zhí)行”。

   

添加新規(guī)則

可以添加安全中心未建議的“允許”規(guī)則。

 備注

在這里只能添加“允許”規(guī)則。 如果要添加“拒絕”規(guī)則，可以直接在 NSG 上執(zhí)行此操作。 有關詳細信息，請參閱創(chuàng)建、更改或刪除網(wǎng)絡安全組。

添加自適應網(wǎng)絡強化規(guī)則：

1. 在頂部工具欄中，選擇“添加規(guī)則”。

   

2. 在“新建規(guī)則”窗口中輸入詳細信息，然后選擇“添加” 。

    備注

   選擇“添加”后，會成功添加該規(guī)則，它將連同其他建議的規(guī)則一起列出。 但是，該規(guī)則尚未應用到 NSG。 若要激活該規(guī)則，必須在列表中選擇該規(guī)則，然后選擇“強制執(zhí)行”（如下一步驟所述）。

3. 若要應用新規(guī)則，請從列表中選擇該規(guī)則，然后選擇“強制執(zhí)行”。

   

刪除規(guī)則

必要時，可以刪除當前會話的建議規(guī)則。 例如，你可能會確定應用建議的規(guī)則會阻止合法的流量。

刪除當前會話的自適應網(wǎng)絡強化規(guī)則：

• 在“規(guī)則”選項卡中，選擇規(guī)則行末尾的省略號圖標 (...)，然后選擇“刪除” 。

  

常見問題解答 - 自適應網(wǎng)絡強化

• 支持哪些端口？

• 自適應網(wǎng)絡強化是否要求滿足任何先決條件或安裝 VM 擴展？

支持哪些端口？

自適應網(wǎng)絡強化建議僅在以下特定端口上受支持（適用于 UDP 和 TCP）：

13、17、19、22、23、53、69、81、111、119、123、135、137、138、139、161、162、389、445、512、514、593、636、873、1433、1434、1900、2049、2301、2323、2381、3268、3306、3389、4333、5353、5432、5555、5800、5900、5900、5985、5986、6379、6379、7000、7001、7199、8081、8089、8545、9042、9160、9300、11211、16379、26379、27017、37215

自適應網(wǎng)絡強化是否要求滿足任何先決條件或安裝 VM 擴展？

自適應網(wǎng)絡強化是 Azure 安全中心的一項無代理功能 - 無需在計算機上安裝任何額外組件就能受益于這種網(wǎng)絡強化工具。

何時應使用“拒絕所有流量”規(guī)則？

在運行算法后，如果安全中心根據(jù)現(xiàn)有的 NSG 配置未識別出應允許的流量，則會建議執(zhí)行 拒絕所有流量 規(guī)則。 因此，建議的規(guī)則是拒絕發(fā)往指定端口的所有流量。 此類型規(guī)則的名稱顯示為“系統(tǒng)生成”。 強制執(zhí)行此規(guī)則后，此規(guī)則在 NSG 中的實際名稱將是包含協(xié)議、流量方向、“DENY”和隨機數(shù)字的字符串。