毛片在线播放a,无码夜色一区二区三区

Azure使用自適應(yīng)應(yīng)用程序控制來(lái)減少計(jì)算機(jī)的攻擊面,azure網(wǎng)絡(luò)搭建

2022-07-05

641

Azure使用自適應(yīng)應(yīng)用程序控制來(lái)減少計(jì)算機(jī)的攻擊面,azure網(wǎng)絡(luò)搭建使用Azure adaptive application control來(lái)減少計(jì)算機(jī)的攻擊面。了解Azure Security Center中自適應(yīng)應(yīng)用程序控制的優(yōu)勢(shì)，以及如何使用這種數(shù)據(jù)驅(qū)動(dòng)的智能來(lái)增強(qiáng)安全性。什么是安全中心的自適應(yīng)應(yīng)用控制？Ad......

Azure使用自適應(yīng)應(yīng)用程序控制來(lái)減少計(jì)算機(jī)的攻擊面,azure網(wǎng)絡(luò)搭建

使用Azure adaptive application control來(lái)減少計(jì)算機(jī)的攻擊面。

了解Azure Security Center中自適應(yīng)應(yīng)用程序控制的優(yōu)勢(shì)，以及如何使用這種數(shù)據(jù)驅(qū)動(dòng)的智能來(lái)增強(qiáng)安全性。

什么是安全中心的自適應(yīng)應(yīng)用控制？

Adaptive application control是一個(gè)自動(dòng)化的智能解決方案，用于定義包含計(jì)算機(jī)已知安全應(yīng)用程序的允許列表。

通常，一個(gè)組織有一組定期運(yùn)行相同進(jìn)程的計(jì)算機(jī)。安全中心使用machine 學(xué)習(xí)來(lái)分析計(jì)算機(jī)上運(yùn)行的應(yīng)用程序，并創(chuàng)建已知安全軟件的列表。允許列表基于特定的Azure工作負(fù)載。您可以使用下面的說(shuō)明進(jìn)一步定制建議。

啟用自適應(yīng)應(yīng)用程序控制后，如果任何正在運(yùn)行的應(yīng)用程序不是您定義的安全應(yīng)用程序，您將收到安全警報(bào)。

自適應(yīng)應(yīng)用控制的優(yōu)勢(shì)是什么？

通過(guò)定義已知安全應(yīng)用程序的列表，并在執(zhí)行任何其他操作時(shí)生成警報(bào)，您可以實(shí)現(xiàn)許多增強(qiáng)目標(biāo):

識(shí)別潛在的惡意軟件，甚至是反惡意軟件解決方案可能遺漏的任何惡意軟件。

提高對(duì)規(guī)定只能使用授權(quán)軟件的本地安全策略的遵從性。

避免運(yùn)行舊的或不支持的應(yīng)用程序。

防止使用組織禁止的特定軟件。

加強(qiáng)對(duì)訪問(wèn)敏感數(shù)據(jù)的應(yīng)用程序的監(jiān)管

目前沒(méi)有可用的強(qiáng)制選項(xiàng)。Adaptive application control旨在提供安全警報(bào)，前提是任何正在運(yùn)行的應(yīng)用程序都不是您定義為安全的應(yīng)用程序。

可用性

在一組計(jì)算機(jī)上啟用應(yīng)用程序控制。

如果安全中心識(shí)別出在您的訂閱中始終運(yùn)行一組類(lèi)似應(yīng)用程序的計(jì)算機(jī)組，系統(tǒng)將提示以下建議:應(yīng)在計(jì)算機(jī)中啟用自適應(yīng)應(yīng)用程序控制來(lái)定義安全應(yīng)用程序。

選擇或打開(kāi)“自適應(yīng)應(yīng)用程序控制”頁(yè)面，查看已知安全應(yīng)用程序和計(jì)算機(jī)組的推薦列表。

打開(kāi)Azure Defender儀表板，并從高級(jí)保護(hù)區(qū)域選擇自適應(yīng)應(yīng)用程序控制。

將打開(kāi)“自適應(yīng)應(yīng)用程序控制”頁(yè)面，您的虛擬機(jī)被分組到以下選項(xiàng)卡中:

缺少日志分析代理

日志分析代理未發(fā)快遞事件。

這是一臺(tái)Windows計(jì)算機(jī)，通過(guò)GPO或本地安全策略啟用了預(yù)先存在的AppLocker策略。

組中的計(jì)算機(jī)數(shù)量

最近的警報(bào)

已配置已經(jīng)定義了應(yīng)用程序允許列表的計(jì)算機(jī)組。對(duì)于每個(gè)組,“已配置”選項(xiàng)卡顯示:

推薦始終運(yùn)行相同應(yīng)用程序且未配置允許列表的計(jì)算機(jī)組。我們建議您為這些組啟用自適應(yīng)應(yīng)用程序控制。

給個(gè)提示

如果您看到帶有前綴“REVIEWGROUP”的組名，則該組名包含具有部分一致的應(yīng)用程序列表的計(jì)算機(jī)。安全中心不顯示特征碼，但建議您檢查該組，以查看是否可以手動(dòng)定義一些自適應(yīng)應(yīng)用程序控制規(guī)則，如編輯組的自適應(yīng)應(yīng)用程序控制規(guī)則中所述。

您也可以將計(jì)算機(jī)從該組移動(dòng)到其他組，如將計(jì)算機(jī)從一個(gè)組移動(dòng)到另一個(gè)組中所述。

無(wú)推薦沒(méi)有定義應(yīng)用程序允許列表且不支持此功能的計(jì)算機(jī)。您的計(jì)算機(jī)可能會(huì)出現(xiàn)在此選項(xiàng)卡中，原因如下:

給個(gè)提示

安全中心需要至少兩周的數(shù)據(jù)來(lái)為每個(gè)計(jì)算機(jī)組定義唯一的建議。在“無(wú)推薦”選項(xiàng)卡下，將顯示最近創(chuàng)建的計(jì)算機(jī)或?qū)儆谧罱艈⒂肁zure Defender的訂閱的計(jì)算機(jī)。

打開(kāi)“建議”選項(xiàng)卡。將顯示帶有建議允許列表的計(jì)算機(jī)組。

選擇一個(gè)組。

要配置新規(guī)則，請(qǐng)查看此“配置應(yīng)用程序控制規(guī)則”頁(yè)面中特定于特定計(jì)算機(jī)組的部分和內(nèi)容:

選擇計(jì)算機(jī)默認(rèn)情況下，將選擇身份組中的所有計(jì)算機(jī)。如果您取消選擇任何計(jì)算機(jī)，它們將從此規(guī)則中刪除。

推薦的應(yīng)用程序查看該組計(jì)算機(jī)的常用應(yīng)用程序列表，并建議允許它們運(yùn)行。

更多應(yīng)用程序檢查該組計(jì)算機(jī)上不經(jīng)常出現(xiàn)或已知受到攻擊的應(yīng)用程序列表。警告圖標(biāo)表示攻擊者可能使用特定的應(yīng)用程序來(lái)繞過(guò)應(yīng)用程序權(quán)限列表。建議仔細(xì)檢查這些應(yīng)用程序。

給個(gè)提示

兩個(gè)應(yīng)用程序列表都包含將特定應(yīng)用程序限制給特定用戶的選項(xiàng)。盡可能使用最小特權(quán)原則。

應(yīng)用程序由其發(fā)布者定義。如果應(yīng)用程序沒(méi)有發(fā)布者信息(未簽名)，將為特定應(yīng)用程序的完整路徑創(chuàng)建路徑規(guī)則。

要應(yīng)用規(guī)則，請(qǐng)選擇審計(jì)。

編輯組的自適應(yīng)應(yīng)用程序控制規(guī)則。

由于組織中的已知變化，您可能決定編輯一組計(jì)算機(jī)的允許列表。

編輯計(jì)算機(jī)組的規(guī)則:

打開(kāi)Azure Defender儀表板，并從高級(jí)保護(hù)區(qū)域選擇自適應(yīng)應(yīng)用程序控制。

從已配置選項(xiàng)卡中，選擇包含要編輯的規(guī)則的組。

查看“配置應(yīng)用程序控制規(guī)則”頁(yè)面的各個(gè)部分，如在一組計(jì)算機(jī)上啟用自適應(yīng)應(yīng)用程序控制中所述。

(可選)添加一個(gè)或多個(gè)自定義規(guī)則:

在路徑末尾使用通配符來(lái)添加該文件夾及其子文件夾中的所有可執(zhí)行文件。

通過(guò)在路徑中間使用通配符，您可以啟用文件夾名稱(chēng)已更改的已知可執(zhí)行文件的名稱(chēng)(例如，包含已知可執(zhí)行文件的個(gè)人用戶文件夾、自動(dòng)生成的文件夾名稱(chēng)等)。).

選擇“添加規(guī)則”。

如果要定義已知的安全路徑，請(qǐng)將規(guī)則類(lèi)型更改為路徑，然后輸入單個(gè)路徑。您可以在路徑中包含通配符。

給個(gè)提示

在路徑中使用通配符可能有用的一些方案:

定義的用戶和受保護(hù)的文件類(lèi)型。

定義規(guī)則后，選擇添加。

選擇“保存”以應(yīng)用您的更改。

查看和編輯組設(shè)置。

要查看組的詳細(xì)信息和設(shè)置，請(qǐng)選擇組設(shè)置。

此窗格顯示組名(可修改)、操作系統(tǒng)類(lèi)型、位置和其他相關(guān)詳細(xì)信息。

(可選)修改組名或文件類(lèi)型保護(hù)模式。

選擇“應(yīng)用”和“保存”。

回應(yīng)建議“應(yīng)更新自適應(yīng)應(yīng)用程序控制策略中的允許列表規(guī)則”

如果安全中心學(xué)習(xí)的機(jī)器識(shí)別出之前不允許的可能合法的行為，你會(huì)看到這個(gè)建議。該建議為現(xiàn)有定義提供了新的規(guī)則，以減少錯(cuò)誤警報(bào)的數(shù)量。

解決問(wèn)題:

從建議頁(yè)面中，選擇建議“應(yīng)更新自適應(yīng)應(yīng)用程序控制策略中的允許列表規(guī)則”，以查看新識(shí)別的可能合法的行為組。

選擇包含要編輯的規(guī)則的組。

查看“配置應(yīng)用程序控制規(guī)則”頁(yè)面的各個(gè)部分，如在一組計(jì)算機(jī)上啟用自適應(yīng)應(yīng)用程序控制中所述。

選擇“審核”以應(yīng)用您的更改。

審計(jì)警報(bào)和沖突

打開(kāi)Azure Defender儀表板，并從高級(jí)保護(hù)區(qū)域選擇自適應(yīng)應(yīng)用程序控制。

要查看最近發(fā)出警報(bào)的計(jì)算機(jī)組，請(qǐng)查看“已配置”選項(xiàng)卡中列出的組。

要進(jìn)一步調(diào)查，請(qǐng)選擇一個(gè)組。

要查看更多詳細(xì)信息和受影響計(jì)算機(jī)的列表，請(qǐng)選擇一個(gè)警報(bào)。

“Alerts”頁(yè)面將顯示警報(bào)的更多詳細(xì)信息，并提供“take action”鏈接以及如何減輕威脅的建議。

評(píng)論

Adaptive application control每12小時(shí)計(jì)算一次事件數(shù)?！熬瘓?bào)”頁(yè)面中顯示的“活動(dòng)開(kāi)始時(shí)間”是自適應(yīng)應(yīng)用程序控制創(chuàng)建警報(bào)的時(shí)間，而不是可疑流程處于活動(dòng)狀態(tài)的時(shí)間。

將計(jì)算機(jī)從一個(gè)組移到另一個(gè)組。

當(dāng)計(jì)算機(jī)從一個(gè)組移動(dòng)到另一個(gè)組時(shí)，適用于該計(jì)算機(jī)的應(yīng)用程序控制策略會(huì)更改為移動(dòng)組的設(shè)置。您也可以將計(jì)算機(jī)從已配置的組移到未配置的組，這將刪除應(yīng)用到該計(jì)算機(jī)的所有應(yīng)用程序控制規(guī)則。

打開(kāi)Azure Defender儀表板，并從高級(jí)保護(hù)區(qū)域選擇自適應(yīng)應(yīng)用程序控制。

在“自適應(yīng)應(yīng)用程序控制”頁(yè)面中，從“已配置”選項(xiàng)卡中選擇包含要移動(dòng)的計(jì)算機(jī)的組。

打開(kāi)已配置計(jì)算機(jī)的列表。

通過(guò)行尾的三個(gè)點(diǎn)打開(kāi)電腦菜單，然后選擇“移動(dòng)”。將打開(kāi)“將計(jì)算機(jī)移動(dòng)到另一個(gè)組”窗格。

選擇目標(biāo)群組，然后選擇行動(dòng)電腦。

選擇“保存”保存更改。

通過(guò)REST API管理應(yīng)用程序控制

要以編程方式管理自適應(yīng)應(yīng)用程序控制，請(qǐng)使用我們的REST API。

安全中心API文檔的“自適應(yīng)應(yīng)用控制”部分提供了相關(guān)的API文檔。

REST API提供的一些函數(shù):

List可以檢索所有組建議，并為JSON提供每個(gè)組的對(duì)象。

Get可以檢索帶有完整建議數(shù)據(jù)(即機(jī)器列表、發(fā)布者/路徑規(guī)則等)的JSON。).

Put可用于配置規(guī)則(使用Get檢索的JSON作為該請(qǐng)求的主體)。

重要的

Put函數(shù)比Get命令返回的JSON需要更少的參數(shù)。

在Put請(qǐng)求中使用JSON之前，請(qǐng)刪除以下屬性:recommendationStatus、configurationStatus、issues、location和sourceSystem。

常見(jiàn)問(wèn)題自適應(yīng)應(yīng)用程序控制

是否有任何選項(xiàng)可以實(shí)施應(yīng)用程序控制？

為什么我在推薦的app里看到了Qualys的app？

是否有任何選項(xiàng)可以實(shí)施應(yīng)用程序控制？

目前沒(méi)有可用的強(qiáng)制選項(xiàng)。Adaptive application control旨在提供安全警報(bào)，前提是任何正在運(yùn)行的應(yīng)用程序都不是您定義為安全的應(yīng)用程序。如本頁(yè)所示，它有一系列的優(yōu)點(diǎn)(自適應(yīng)應(yīng)用控制的優(yōu)點(diǎn)是什么？)并具有良好的可定制性。

為什么我在推薦的app里看到了Qualys的app？

Azure Defender for servers可以免費(fèi)為您的計(jì)算機(jī)提供漏洞掃描服務(wù)。你還不需要Qualys許可證，甚至不需要Qualys帳戶——所有操作都在安全中心無(wú)縫執(zhí)行。有關(guān)該掃描器的詳細(xì)信息以及如何部署它的說(shuō)明，請(qǐng)參考Defender的集成漏洞評(píng)估解決方案。

為了確保安全中心在部署掃描器時(shí)不會(huì)生成警報(bào)，adaptive application control建議的允許列表應(yīng)該包括所有計(jì)算機(jī)的掃描器。

文章推薦
HUAWEI Ads插屏廣告,華為手機(jī)彈窗廣告處理
Google谷歌海外競(jìng)價(jià)搜索廣告到底怎么做的呢,谷歌推廣網(wǎng)站效果怎么樣
波蘭二手示波器進(jìn)口報(bào)關(guān)操作,二手示波器進(jìn)口手續(xù)
App Store Connect 如何刪除輕 App 調(diào)用,app庫(kù)如何關(guān)閉

特別聲明：以上文章內(nèi)容僅代表作者本人觀點(diǎn)，不代表ESG跨境電商觀點(diǎn)或立場(chǎng)。如有關(guān)于作品內(nèi)容、版權(quán)或其它問(wèn)題請(qǐng)于作品發(fā)表后的30日內(nèi)與ESG跨境電商聯(lián)系。