Adaptive network hardening é um recurso sem agente do Microsoft Defender for Cloud, você não precisa instalar nenhum componente adicional no seu computador para se beneficiar dessa ferramenta de network hardening.
A aplicação de network security groups (NSG) para filtrar o tráfego de e para recursos, melhora sua postura de segurança de rede. No entanto, ainda pode haver alguns casos em que o tráfego real que flui através do NSG é um subconjunto das regras do NSG definidas. Nesses casos, melhorar ainda mais a postura de segurança pode ser alcançado com o hardening das regras do NSG, com base nos padrões reais de tráfego.
O Adaptive network hardening fornece recomendações para restringir ainda mais as regras do NSG. Ele usa um algoritmo de machine learning, configuração confiável conhecida, inteligência de ameaças e outros indicadores de compromisso, e, em seguida, fornece recomendações para permitir o tráfego apenas a partir de tuplas IP/porta específicas.
Por exemplo, digamos que a regra NSG existente é permitir o tráfego a partir de 140.20.30.10/24 na porta 22. Com base na análise de tráfego, o Adaptive network hardening pode recomendar o estreitamento do alcance para permitir o tráfego de 140.23.30.10/29, e negar todo o tráfego para aquela porta.
Disponibilidade
Aspecto | Detalhes |
---|---|
Estado da versão: | Disponibilidade Geral (GA) |
Preço: | Necessita do Microsoft Defender para servidores |
Funções e permissões necessárias: | Permissões de gravação nos NSGs do computador |
Nuvens: | Nuvens comerciais Nacional (Azure Governamental, Azure China 21Vianet) Contas da AWS conectadas |
Passo a passo
01 – Faça login no portal do Azure.
02 – No portal do Azure pesquise por Microsoft Defender for Cloud.
03 – Na tela Microsoft Defender for Cloud | Overview em Cloud Security clique em Workload protections.
04 – Na tela Microsoft Defender for Cloud | Workload protections clique em Adaptive network hardening.
05 – Na tela Adaptive network hardening recommendations should be applied on internet facing virtual machines na parte superior temos a gravidade e intervalo de atualizações, abaixo temos a descrição da recomendação.
Basicamento o que a recomendação está nos dizendo na descrição é que as regras existentes nos NSGs associados a elas são excessivamente permissivas, resultando em uma superfície de ataque potencial.
5.1 – Abaixo temos a opção Remediation steps que basicamente nos dá recomendações para resolver o problema.
5.2 – Abaixo temos os recursos afetados que estão divididos em três categorias, Unhealthy resources, Healthy resources, Not applicable resources, selecionando a máquina virtual que deseja, também podemos executar um logic app para automatizar as correções dos recursos que não estão saldáveis.
06 – Ainda na tela Adaptive network hardening recommendations should be applied on internet facing virtual machines em Affected resources selecione a máquina virtual “cliente-02”.
07 – A tela Manage adaptive network hardening recommendations será aberta, na parte superior temos o total de regras de recomendação, total de alertas e novos alertas.
7.2 – Abaixo temos Rules e Alerts, clique em Alerts em seguida selecione um dos alertas de segurança.
7.3 – Após selecionar o alerta a tela Security alert será aberta, aqui temos a gravidade do alerta, descrição do alerta, recursos afetados e o tipo de ataque com base no MITRE ATT&CK.
7.4 – Em Alert details temos as etapas de investigação, porta de destino, protocolo e IP de origem do possível ataque, temos também a quantidade de tentativas de conexão.
7.5 – Em entidades relacionadas temos o Azure resource, Host, IP de origem e Network connection, clique em Next: Take Action.
7.6 – Na tela Take action temos as opções Mitigate the threat, Prevent future attacks, Trigger automated response e Suspress similiar alerts.
08 – De volta a tela Manage adaptive network hardening recommendations clique em Rules, podemos adicionar uma regra de acordo com a necessidade, clique em + Add rule.
09 – De volta a tela Manage adaptive network hardening recommendations clique em Rules selecione as regras sugeridas e clique em Enforce.
Observação: Se os ranges de IPs de Allowed Sources IP Ranges aparecerem como ‘None’, significa que a regra recomendada é uma regra de negação, caso contrário, é uma regra de permissão.
10 – De volta a tela Adaptive network hardening recommendations should be applied on internet facing virtual machines selecione a vm cliente-02.
11 – De volta a tela Manage adaptive network hardening recommendations não temos mais regras para serem aplicadas.
12 – Após selecionar as regras no Manage adaptive network hardening recommendations foi criada uma regra no nsg negando o acesso a porta 3389 e 22 ao servidor Cliente-02 (192.168.0.6).
Uma regra Deny all traffic é recomendada quando, como resultado da execução do algoritmo, o Defender for Cloud não identifica o tráfego que deve ser permitido, com base na configuração de NSG existente. Portanto, a regra recomendada é negar todo o tráfego para a porta especificada. O nome desse tipo de regra é exibido como “System Generated”. Após aplicar essa regra, o nome real no NSG será uma cadeia de caracteres composta por protocolo, direção do tráfego, “DENY” e um número aleatório.
13 – Criei uma regra liberando acesso ao RDP (3389) e SSH (22) ao servidor Cliente-02 (192.168.0.6) apenas para o meu IP público, conforme imagem abaixo.
14 – No Microsot Defender for Cloud em Adaptive network hardening percebam que não temos mais máquinas virtuais em Unhealthy resources, a máquina virtual cliente-02 agora faz parte de Health resources.
Comente suas sugestões e observações!
Forte abraço, obrigado e até o próximo post.
Carreira desenvolvida na área de tecnologia da informação, com ampla experiência em Cloud
Computing e Cloud Security.
Forte atuação em projetos de Cloud Security no Microsoft Azure e com tecnologias de
segurança do Microsoft 365.
Tenho Experiência em Microsoft Azure, Microsoft 365, AWS e Windows Server.
Sou Microsoft MVP na categoria Microsoft Azure, AWS Communit Builder Security & Identity e
MCT.