Ochrana sítě pro Linux

Důležité

Některé informace se týkají předprodeje produktu, který může být před komerčním vydáním podstatně změněn. Společnost Microsoft neposkytuje v souvislosti se zde uvedenými informacemi žádné výslovné ani předpokládané záruky.

Přehled

Microsoft přináší funkce ochrany sítě do Linuxu.

Ochrana sítě pomáhá omezit prostor pro útoky na vaše zařízení před internetovými událostmi. Brání zaměstnancům v používání jakékoli aplikace pro přístup k nebezpečným doménám, které mohou hostovat:

• phishingové podvody
• využívá
• jiný škodlivý obsah na internetu

Ochrana sítě rozšiřuje rozsah Microsoft Defender filtru SmartScreen tak, aby blokoval veškerý odchozí provoz HTTP, který se pokouší připojit ke zdrojům s nízkou reputací. Bloky odchozích přenosů HTTP jsou založené na doméně nebo názvu hostitele.

Filtrování webového obsahu pro Linux

Filtrování webového obsahu můžete použít k testování s ochranou sítě pro Linux. Viz Filtrování webového obsahu.

Známé problémy

• Ochrana sítě se implementuje jako tunel virtuální privátní sítě (VPN). K dispozici jsou rozšířené možnosti směrování paketů pomocí vlastních skriptů nftables/iptables.
• Není k dispozici blokování nebo upozornění na uživatelské prostředí (shromažďuje se zpětná vazba od zákazníků, aby bylo možné zlepšit další návrh).

Poznámka

Většina serverových instalací Linuxu nemá grafické uživatelské rozhraní a webový prohlížeč. Pokud chcete vyhodnotit efektivitu ochrany před webovými hrozbami v Linuxu, doporučujeme testování na neprodukčním serveru s grafickým uživatelským rozhraním a webovým prohlížečem.

Požadavky

• Licencování: požadavky na Microsoft Defender for Endpoint tenanta (můžou být zkušební verze) a požadavky specifické pro platformu, které najdete v Microsoft Defender for Endpoint pro jiné platformy než Windows.
• Nasazené počítače:
  • Minimální verze Linuxu: Seznam podporovaných distribucí najdete v tématu Microsoft Defender for Endpoint v Linuxu.
  • Microsoft Defender for Endpoint verze klienta pro Linux: 101.78.13 nebo novější v kanálu Insiders-Slow nebo insiders-Fast.

Důležité

Pokud chcete vyhodnotit ochranu sítě pro Linux, pošlete e-mail na adresu sxplatpreviewsupport@microsoft.com ID vaší organizace. Tuto funkci ve vašem tenantovi povolíme na základě žádosti.

Instrukce

Ruční nasazení Linuxu najdete v tématu Ruční nasazení Microsoft Defender for Endpoint v Linuxu.

Následující příklad ukazuje posloupnost příkazů potřebných pro balíček mdatp v ubuntu 20.04 pro kanál Insiders-Fast.

curl -o microsoft.list https://packages.microsoft.com/config/ubuntu/20.04/insiders-fast.list
sudo mv ./microsoft.list /etc/apt/sources.list.d/microsoft-insiders-fast.list
sudo apt-get install gpg
curl https://packages.microsoft.com/keys/microsoft.asc | sudo apt-key add -
sudo apt-get install apt-transport-https
sudo apt-get update
sudo apt install -y mdatp

Onboarding zařízení

Pokud chcete zařízení připojit, musíte stáhnout balíček pro onboarding Pythonu pro linuxový server z Microsoft Defender XDR –> Nastavení –> Správa zařízení –> Onboarding a spustit:

sudo python3 MicrosoftDefenderATPOnboardingLinuxServer.py

Validace

1. Zkontrolujte, jestli má ochrana sítě vliv na vždy blokované weby:

   • http://smartscreentestratings2.net
   • https://smartscreentestratings2.net

2. Kontrola diagnostických protokolů

   sudo mdatp log level set --level debug
   sudo tail -f /var/log/microsoft/mdatp/microsoft_defender_np_ext.log
   

Ukončení režimu ověřování

Zakažte ochranu sítě a restartujte síťové připojení:

sudo mdatp config network-protection enforcement-level --value disabled

Pokročilá konfigurace

Ve výchozím nastavení je ochrana sítě s Linuxem aktivní na výchozí bráně. směrování a tunelování se konfigurují interně. Pokud chcete přizpůsobit síťová rozhraní, změňte parametr networkSetupMode z konfiguračního souboru /opt/microsoft/mdatp/conf/ a restartujte službu:

sudo systemctl restart  mdatp

Konfigurační soubor také umožňuje uživateli přizpůsobit:

• nastavení proxy serveru
• Úložiště certifikátů SSL
• název tunelového zařízení
• IP adresa
• a další

Výchozí hodnoty byly testovány pro všechny distribuce, jak je popsáno v tématu Microsoft Defender for Endpoint v Linuxu.

Portál Microsoft Defender

Ujistěte se také, že je v Microsoft Defender>Nastavení> koncových bodův rozšířených funkcíchzapnutý přepínač Vlastníindikátory>sítě.

Důležité

Výše uvedený přepínač Vlastní indikátory sítě řídí povolení vlastních indikátorůpro VŠECHNY platformy s podporou ochrany sítě, včetně Windows. Připomínáme, že pro vynucování indikátorů ve Windows musíte mít také explicitně povolenou ochranu sítě.

Jak prozkoumat funkce

1. Zjistěte, jak chránit organizaci před webovými hrozbami pomocí ochrany před webovými hrozbami .

   • Ochrana před webovými hrozbami je součástí webové ochrany v Microsoft Defender for Endpoint. K zabezpečení vašich zařízení před webovými hrozbami používá ochranu sítě.

2. Projděte si tok Vlastních indikátorů ohrožení, abyste získali bloky typu vlastního ukazatele.

3. Prozkoumejte filtrování webového obsahu.

   Poznámka

   Pokud odebíráte zásady nebo současně měníte skupiny zařízení, může to způsobit zpoždění nasazení zásad. Tip pro: Zásady můžete nasadit bez výběru kategorie ve skupině zařízení. Tato akce vytvoří zásadu jen pro audit, která vám pomůže pochopit chování uživatelů před vytvořením zásad blokování.

   Vytváření skupin zařízení je podporováno v defenderu for Endpoint Plan 1 a Plan 2.

4. Integrujte Microsoft Defender for Endpoint s Defender for Cloud Apps a zařízení s macOS s povolenou ochranou sítě budou mít možnosti vynucování zásad koncových bodů.

   Poznámka

   Zjišťování a další funkce se v současné době na těchto platformách nepodporují.

Scénáře

Ve verzi Public Preview se podporují následující scénáře:

Ochrana před webovou hrozbou

Ochrana před webovými hrozbami je součástí webové ochrany v Microsoft Defender for Endpoint. K zabezpečení vašich zařízení před webovými hrozbami používá ochranu sítě. Díky integraci s Prohlížečem Microsoft Edge a oblíbenými prohlížeči třetích stran, jako je Chrome a Firefox, ochrana před webovými hrozbami zastaví webové hrozby bez webového proxy serveru. Ochrana před webovými hrozbami může chránit zařízení, když jsou místně nebo pryč. Ochrana před webovými hrozbami zastaví přístup k následujícím typům webů:

• phishingové weby
• vektory malwaru
• zneužít weby
• nedůvěryhodné weby nebo weby s nízkou reputací
• weby, které jste zablokovali v seznamu vlastních ukazatelů

Další informace najdete v tématu Ochrana organizace před webovými hrozbami.

Vlastní indikátory ohrožení zabezpečení

Indikátor shody ohrožení (IoC) je základní funkcí každého řešení ochrany koncových bodů. Tato funkce dává secOps možnost nastavit seznam indikátorů pro detekci a blokování (prevence a reakce).

Vytvořte indikátory, které definují detekci, prevenci a vyloučení entit. Můžete definovat akci, která se má provést, a také dobu trvání, kdy se má akce použít, a rozsah skupiny zařízení, na kterou se má použít.

Aktuálně podporované zdroje jsou cloudový detekční modul Defenderu for Endpoint, modul automatizovaného vyšetřování a nápravy a modul pro prevenci koncových bodů (Microsoft Defender Antivirus).

Další informace najdete v tématu Vytvoření indikátorů pro IP adresy a adresy URL/domény.

Filtrování webového obsahu

Filtrování webového obsahu je součástí funkcí webové ochrany v Microsoft Defender for Endpoint a Microsoft Defender pro firmy. Filtrování webového obsahu umožňuje vaší organizaci sledovat a regulovat přístup k webům na základě jejich kategorií obsahu. Mnohé z těchto webů (i když nejsou škodlivé) můžou být problematické kvůli předpisům dodržování předpisů, využití šířky pásma nebo jiným problémům.

Nakonfigurujte zásady napříč skupinami zařízení tak, aby blokovaly určité kategorie. Blokování kategorie brání uživatelům v určitých skupinách zařízení v přístupu k adresám URL přidruženým ke kategorii. U všech kategorií, které nejsou blokované, se adresy URL automaticky auditují. Vaši uživatelé mají přístup k adresám URL bez přerušení a vy shromáždíte statistiky přístupu, které vám pomůžou vytvořit vlastní rozhodnutí o zásadách. Pokud některý prvek na stránce, kterou si prohlížejí, volá blokovaný prostředek, zobrazí se uživatelům oznámení o blokování.

Filtrování webového obsahu je dostupné v hlavních webových prohlížečích, přičemž bloky provádí filtry SmartScreen v programu Windows Defender (Microsoft Edge) a Ochrana sítě (Chrome, Firefox, Brave a Opera). Další informace o podpoře prohlížeče najdete v tématu Požadavky.

Další informace o vytváření sestav najdete v tématu Filtrování webového obsahu.

Microsoft Defender for Cloud Apps

Katalog Microsoft Defender for Cloud Apps / cloudových aplikací identifikuje aplikace, které chcete koncovým uživatelům upozornit při přístupu pomocí Microsoft Defender XDR pro koncový bod, a označí je jako monitorované. Domény uvedené v monitorovaných aplikacích se později synchronizují s Microsoft Defender XDR pro koncový bod:

Během 10 až 15 minut se tyto domény zobrazí v Microsoft Defender XDR v části Adresy URL indikátorů > nebo domény s akcí Action=Warn. V rámci smlouvy SLA pro vynucení (podrobnosti najdete na konci tohoto článku).

Viz také

• Chraňte svou síť
• Zapnutí ochrany sítě
• Webová ochrana
• Vytváření indikátorů
• Filtrování webového obsahu
• Microsoft Defender for Endpoint v systému Linux

Tip

Chcete se dozvědět více? Engage s komunitou Microsoft Security v naší technické komunitě: Microsoft Defender for Endpoint Tech Community.