Microsoft Defender for Cloud – Adaptive application control

Os controles de aplicativos adaptáveis são uma solução inteligente e automatizada usada para definir as listas de aplicativos permitidos conhecidos e seguros para seus computadores.

Muitas vezes, as organizações têm coleções de computadores que executam rotineiramente os mesmos processos. O Microsoft Defender for cloud usa o aprendizado de máquina para analisar os aplicativos em execução nos computadores e criar uma lista de softwares conhecidos e seguros. As listas de permissões são baseadas em cargas de trabalho específicas do Azure, e você pode personalizar ainda mais as recomendações usando as instruções abaixo.

Quando você habilitar e configurar os controles de aplicativo adaptáveis, obterá alertas de segurança se qualquer aplicativo for executado além daqueles que você definiu como seguros.

Quais são os benefícios do Adaptive Application control

Definindo listas de aplicativos conhecidos e seguros e gerando alertas quando qualquer outro aplicativo é executado, você pode atingir várias metas de supervisão e conformidade:

  • Identificar possíveis malwares, até mesmo aqueles que possam não ser detectados por soluções de antimalware
  • Aprimorar a conformidade com as políticas de segurança locais que determinam o uso somente de software licenciado
  • Identificar versões desatualizadas ou sem suporte de aplicativos
  • Identificar o software que é proibido pela sua organização, mas que, no entanto, está em execução em seus computadores
  • Aumentar a supervisão de aplicativos que acessam dados confidenciais

Não há opções de imposição disponíveis no momento. Os controles de aplicativos adaptáveis se destinam a fornecer alertas de segurança se algum aplicativo é executado, além daqueles que você definiu como seguros.

Disponibilidade

DISPONIBILIDADE
AspectoDetalhes
Estado da versão:Disponibilidade Geral (GA)
Preço:Necessita do Microsoft Defender para servidores
Computadores compatíveis: Computadores que são do Azure ou não e que executam o Windows e o Linux
Computadores do Azure Arc
Funções e permissões necessárias:As funções Leitor de Segurança e Leitor podem ver os grupos e as listas de aplicativos conhecidos e seguros
As funções Colaborador e Administrador da Segurança podem editar os grupos e as listas de aplicativos conhecidos e seguros
Nuvens: Nuvens comerciais
 Nacional (Azure Governamental, Azure China 21Vianet)

Habilite o Adaptive application control

01 – Faça login no portal do Azure.

02 – No portal pesquise por Microsoft Defender for Cloud.

03 – Na tela Microsoft Defender for Cloud | Overview clique em Workload protections.

04 – Na tela Microsoft Defender for Cloud | Workload protections clique em Adaptive application control.

05 – Na tela Adaptive aaplication controls temos as seguintes opções:

    • Configured: grupos de computadores que já têm uma lista de permitidos definida de aplicativos. Para cada grupo, a guia Configurados mostra:
      • o número de computadores no grupo.
      • alertas recentes.
    • Recommended: grupos de computadores que executam consistentemente os mesmos aplicativos e não têm uma lista de permitidos configurada. Recomendamos que você habilite controles de aplicativos adaptáveis para esses grupos.
    • No recommendation: computadores sem uma lista de permitidos definida de aplicativos e que não dão suporte ao recurso. O computador pode estar nessa guia pelos seguintes motivos:
    • Ele não tem um agente do Log Analytics.
    • O agente do Log Analytics não está enviando eventos.
    • É um computador Windows com uma política AppLocker já existente habilitada por um GPO ou uma política de segurança local.

06 – Na tela Adaptive application controls clique em Recommended.

Na guia ‘Recommeded‘, você terá vários grupos que são uma agregação que na verdade contém servidores com padrões semelhantes de aplicativos, comportamento e execução.

07 – Se você abrir um desses grupos, você terá mais informações sobre as ‘VMs/server‘ que pertencem a esse grupo, o estado atual desse servidor e a gravidade, o que significa que a política de controle de aplicativos adaptativos não foi aplicada, selecione o grupo REVIEWGROUP2.

08 – Na tela Configure application control rules em Recommended applications contém uma lista de todos os aplicativos que são frequentemente usados e identificados por essas VMs, e é altamente recomendável que você adicione a sua whitelist primeiro.

09 – A opão More applications contém uma lista de aplicativos que são menos usados dentro deste grupo. Mas você também pode adicionar a whitelist se quiser. Esta é a configuração inicial, onde você basicamente precisa rever algumas dessas opções e, em seguida, clicar no botão ‘Audit‘.

10 – Repitas os passos nas etapas anteriores para os grupos REVIEWREGROUP1 e REVIEWREGROUP1.

11 – Ao clicar em Audit o Defender for Cloud cria automaticamente as regras apropriadas em cima do aplicativo embutido que levará alguns minutos para ser concluído. A solução de lista de permissão disponível no Windows Server é utilizando o recurso AppLocker em segundo plano. Agora que a regra está configurada, você verá que o grupo será exibido na guia ‘Configured‘, conforme mostrado na figura abaixo.

12 – Na tela Adaptive aplication controls selecione o grupo REVIEWGROUP6.

13 – Na tela Edit application control policy clique em Group settings a tela Group settings será aberta, em Group name vamos alterar o nome de grupo para GROUPSERVERWINDOWS, vamos adicionar todos os servidores Windows Server a esse grupo, na opção File type protection mode em SCRIPT selecione AUDIT, deixe as demais configurações como padrão e clique em Apply e Save.

14 – Após alterar o nome do grupo ele será movido para Recommended e o status estará como In progress, aguarde alguns minutos e o grupo será movido para Configured.

15 – Após alguns minutos já podemos visualizar o grupo em Configured.

16 – Vamos mover as máquinas virtuais Windows Server que estão no grupo “REVIEWGROUP7” para o Grupo “GROUPSERVERWINDOWS”, clique no grupo REVIEWGROUP7.

17 – Na tela Edit application control policy expanda Configure machines selecione a VM “wg-log-analytics” e clique em Move.

18 – Na tela Move machine to different group selecione o grupo “GROUPSERVERWINDOWS” e clique em Move machine.

19 – Como podemos observar a máquina virtual “wg-log-analytics” foi movida para o grupo “GROUPSERVERWINDOWS”, clique em Deleted.

20 – Como podemos observar o grupo “REVIEWGROUP7” foi deletado.

21 – Selecione o grupo “GROUPSERVERWINDOWS” na tela Edit application control policy clique em Group settings, na tela Group settings em Add machines to group em Unconfigured machines selecione wg-log-analytics e clique em Apply.

22 – Na tela Edit application control policy clique em Save.

23 – De volta a tela Adaptive application controls clique em GROUPSERVERWINDOWS.

24 – Na tela Edit application control policy expanda Configured machines e como podemos observar a máquina virtual “wg-log-analytics’ foi adicionada ao grupo.

25 – Na tela Adaptive application controls selecione o grupo REVIEWGROUP1.

26 – Na tela Edit application control policy clique em Group settins, a tela Group settings será aberta em Group name altere o nome do grupo para GROUPSERVERLINUX, em seguida clique em Apply.

27 – Na tela Edit application control policy expanda Configured machines observe que temos a máquina virtual Linux “cliente-01” em seguida clique em Save.

28 – Como podemos observar o nome dos grupos foram alterados.

Criar regra para o application control policy

29 – No portal do Azure pesquise por Microsoft Defender for Cloud, na tela Microsoft Defender for Cloud | Overview clique em Workload protections, na tela Microsoft Defender for Cloud | Workload protections clique em Adaptive application control, na tela Adaptibe application controls selecione o grupo “GROUPSERVERWINDOWS”.

30 – Na tela Edit application control policy clique em + Add rule.

31 – A tela Add rule será aberta, em Rule type temos as opções Publisher e Path, também podemos criar a regra para todos os usuários ou usuários específicos em Protected file types podemos escolher All, EXE, MSI e SCRIPT.

Gerando incidente

Para simular um alerta no Adaptive application control vamos instalar o Windows Admin Center Certificate Selector, como esse software não faz parte da whitelist será gerado uma alerta de violação.

O Windows Admin Center (WAC) é uma ferramenta poderosa que permite monitorar e manter seus sistemas Windows através de uma interface HTML 5 conveniente. Ele usa um certificado PKI para criptografar sua conexão à sua interface web. Infelizmente, falta uma interface intuitiva e simples para selecionar qual certificado apresentar. Você deve perfurar os certificados instalados para encontrar o que deseja, copiar o valor da impressão digital em uma ferramenta de texto simples para limpar caracteres inválidos, iniciar o instalador WAC e colar na impressão digital

32 – Faça o downloado do Windows Admin Center no link abaixo.

Try Windows Admin Center on Microsoft Evaluation Center

33 – Na tela Windows Server products & resources clique em Continue.

34 – Para a opção Get started for free preencha as informações solicitadas e clique em Continue.

35 – A tela de download será aberta, clique em Save.

36 – Execute o aplicativo WindowsAdminCenter2110.msi.

37 – Na tela Windows Admin Center Setup marque I accept these terms e clique em Next.

38 – Na tela Configure Gateway Endpoint deixe selecionado Required diagnostic data e clique em Next.

39 – Na tela Use Microsoft Update to help keep your compute secure and up-to-date selecione User Microsoft Update when I check for updates e clique em Next.

40 – Na tela Install Windows Admin Center on Windows Server clique em Next.

41 – Na tela Installing Windows Admin Center deixe as opções padrão e clique em Next.

42 – Na tela Installing Windows Admin Center deixe as oções padrão e clique em Install.

43 – Aguarde o processo de instalação do Windows Admin Center ser finalizado.

44 – Na tela Ready to connect from a PC clique em Finish.

45 – Baixe a versão desejada do Windows Admin Center Certificate Selector no link abaixo:

Releases · ejsiron/CertWAC (github.com)

46 – Após efetuar o download do Windows Admin Center Certificate Selector execute o aplicativo CertWAC.exe

47 – Na tela Windows protected your PC selecione More info e clique em Run anyway.

48 – Na tela Windows Admin Center Certificate Selector em Certificate selecione Windows Admin Center e clique em OK.

49 – Aguarde o procedimento de configuração ser finalizado.

50 – Após a configuração ser finalizada a tela Windows Admin Center Certificate Selector será fechada automaticamente.

Security alert

51 – No portal do Azure pesquiser por Microsoft Defender for Cloud.

52 – Na tela Microsoft Defender for Cloud | Overview em Cloud Security clique em Workload protections.

53 – Na tela Microsoft Defender for Cloud | Workload protections clique em Adaptive application control.

54 – Na tela Adaptive application controls em Configured selecione o grupo “GROUPSERVERWINDOWS”.

55 – Na tela Edit application control policy expanda Recent Alerts, como podemos observar temos dois alertas de segurança o Violations audited e Script/MSI violations audited e quantidade de máquinas afetadas, selecione o alerta “Violations audited”.

56 – A tela Security alerts será aberta, temos um total de 5 alertas para Adaptive application control policy violation was audited com gravidade média, o recurso afetado, o tipo de ataque com base no MITRE ATT&CK e status, selecione um dos alertas e clique em View full details.

57 – Na tela Security alert no canto esquerdo temos a gravidade do alerta, status, descrição do alerta, recursos afetados e tipo de tática utilizada.

58 – No canto direito em Alert details temos o File onde podemos visualizar qual aplicativo foi executado e qual usuário executou.

58.1 – Em Related entities temos as opções Account com a conta do usuário que executou o aplicativo, File com o nome e caminho do aplicativo executado, File hash e o Host afeado que foi a máquina virtual “cliente-02”, clique em Next: Take Action.

59 – Para a opção Take action em Migrate the threat temos as recomendações de como mitigar a ameaça.

59.1 – Ainda na tela Take action temos a opção Prevent future attacks com recomendações para evitar novos ataques, também temos as opções Trigger automated respose e Suspress similar alerts.

60 – Anote a informação File -> Path, vamos criar uma regra adicionado esse aplicativo a whitelist.

Adicionando aplicativo a whitelist

61 – Na tela Edit application control policy clique em + Add rule.

62 – A tela Add rule será aberta em Rule type selecione Path, digite a informação em File -> Path no alerta conforme a imagem abaixo, para a opção Allowed users digite o valor padrão e clique em Add.

63 – Como podemos observar a regra foi adicionada e o aplicativo CERTWAC.EXE agora está permitido.

Comente suas sugestões e observações! 

Forte abraço, obrigado e até o próximo post.

Deixe um comentário

O seu endereço de e-mail não será publicado.