Ochrana sítě pro Linux (Preview)

  • Platí pro: Microsoft Defender for Endpoint Plan 1, Microsoft Defender for Endpoint Plan 2

Přehled

Ochrana sítě pomáhá omezit prostor pro útoky na vaše zařízení před internetovými událostmi. Brání zaměstnancům v používání jakékoli aplikace pro přístup k nebezpečným doménám, které mohou hostovat:

  • phishingové podvody
  • Využívá
  • jiný škodlivý obsah na internetu

Ochrana sítě rozšiřuje rozsah Microsoft Defender filtru SmartScreen tak, aby blokoval veškerý odchozí provoz HTTP, který se pokouší připojit ke zdrojům s nízkou reputací. Bloky odchozích přenosů HTTP jsou založené na doméně nebo názvu hostitele.

Důležité

Funkce ochrany sítě vyžaduje Microsoft Defender for Endpoint Linux verzi klienta: 101.78.13 nebo novější a podporuje se pouze v pomalých kanálech nebo rychlých kanálech insiderů. V produkčním kanálu se nepodporuje.

Filtrování webového obsahu pro Linux

Filtrování webového obsahu můžete použít k testování s ochranou sítě pro Linux. Viz Filtrování webového obsahu.

Známé problémy

  • Ochrana sítě se implementuje jako tunel virtuální privátní sítě (VPN). K dispozici jsou rozšířené možnosti směrování paketů pomocí vlastních skriptů nftables/iptables.
  • V současné době není prostředí koncového uživatele pro blokování nebo upozornění dostupné.

Poznámka

Většina serverových instalací Linux nemá grafické uživatelské rozhraní a webový prohlížeč. Pokud chcete vyhodnotit efektivitu ochrany před webovými hrozbami pomocí Linux, doporučujeme testování na neprodukčním serveru s grafickým uživatelským rozhraním a webovým prohlížečem.

Požadavky

  • Licencování: Musíte mít placené nebo zkušební předplatné tenanta Defenderu for Endpoint.
  • Požadavky: Požadavky pro Defender for Endpoint na Linux
  • Microsoft Defender for Endpoint Linux klienta verze 101.78.13 nebo novější na pomalých kanálech insiderů nebo rychlých kanálů insiderů.

Důležité

Pokud chcete vyhodnotit ochranu sítě pro Linux, pošlete e-mail na adresu xplatpreviewsupport@microsoft.com s ID vaší organizace. Tuto funkci ve vašem tenantovi povolíme na základě jednotlivých požadavků. Funkce Ochrana sítě je ve verzi Preview dostupná jenom pro servery Linux založené na procesoru AMD64.

Pokyny

Ruční nasazení Linux najdete v tématu Ruční nasazení Microsoft Defender for Endpoint na Linux.

Následující příklad ukazuje posloupnost příkazů potřebných pro balíček mdatp v ubuntu 20.04 pro kanál Insiders-Fast.

curl -o microsoft.list https://packages.microsoft.com/config/ubuntu/20.04/insiders-fast.list
sudo mv ./microsoft.list /etc/apt/sources.list.d/microsoft-insiders-fast.list
sudo apt-get install gpg
curl https://packages.microsoft.com/keys/microsoft.asc | sudo apt-key add -
sudo apt-get install apt-transport-https
sudo apt-get update
sudo apt install -y mdatp

Onboarding zařízení

Pokud chcete zařízení připojit, musíte stáhnout balíček pro onboarding Pythonu pro Linux server z portálu Microsoft Defender. Přejděte na Nastavení>Správa zařízení>Onboarding a spusťte následující příkaz:

sudo python3 MicrosoftDefenderATPOnboardingLinuxServer.py

Ověření

  1. Zkontrolujte, jestli má ochrana sítě vliv na vždy blokované weby:

  2. Kontrola diagnostických protokolů

    sudo mdatp log level set --level debug
sudo tail -f /var/log/microsoft/mdatp/microsoft_defender_np_ext.log

Ukončení režimu ověřování

Zakažte ochranu sítě a restartujte síťové připojení:

sudo mdatp config network-protection enforcement-level --value disabled

Pokročilá konfigurace

Ve výchozím nastavení je ve výchozí bráně aktivní Linux ochrana sítě a interně se konfiguruje směrování a tunelování. Pokud chcete přizpůsobit síťová rozhraní, změňte parametr networkSetupMode z konfiguračního souboru /opt/microsoft/mdatp/conf/ a restartujte službu:

sudo systemctl restart  mdatp

Konfigurační soubor také umožňuje uživateli přizpůsobit:

  • nastavení proxy serveru
  • Úložiště certifikátů SSL
  • název tunelového zařízení
  • IP adresa
  • a další

Výchozí hodnoty byly testovány pro všechna rozdělení, jak je popsáno v Microsoft Defender for Endpoint na Linux

Portál Microsoft Defender

Ujistěte se také, že je v Microsoft Defender>Nastavení> koncových bodův rozšířených funkcíchzapnutý přepínač Vlastníindikátory>sítě.

Důležité

Výše uvedený přepínač Vlastní indikátory sítě řídí povolení vlastních indikátorůpro VŠECHNY platformy s podporou ochrany sítě, včetně Windows. Připomínáme, že pro vynucování indikátorů ve Windows musíte mít také explicitně povolenou ochranu sítě.

Profil vytvoření MEM

Jak prozkoumat funkce

  1. Zjistěte, jak chránit organizaci před webovými hrozbami pomocí ochrany před webovými hrozbami .

    • Ochrana před webovými hrozbami je součástí webové ochrany v Microsoft Defender for Endpoint. K zabezpečení vašich zařízení před webovými hrozbami používá ochranu sítě.

  2. Projděte si tok Vlastních indikátorů ohrožení, abyste získali bloky typu vlastního ukazatele.

  3. Prozkoumejte filtrování webového obsahu.

    Poznámka

    Pokud současně odebíráte zásady nebo měníte skupiny zařízení, může to způsobit zpoždění nasazení zásad. Tip pro: Zásady můžete nasadit bez výběru kategorie ve skupině zařízení. Tato akce vytvoří zásadu jen pro audit, která vám pomůže pochopit chování uživatelů před vytvořením zásad blokování.

    Vytváření skupin zařízení je podporováno v defenderu for Endpoint Plan 1 a Plan 2.

  4. Integrujte Microsoft Defender for Endpoint s Defender for Cloud Apps a zařízení s macOS s povolenou ochranou sítě budou mít možnosti vynucování zásad koncových bodů.

    Poznámka

    Zjišťování a další funkce se v současné době na těchto platformách nepodporují.

Scénáře

Ve verzi Public Preview se podporují následující scénáře:

Ochrana před webovou hrozbou

Ochrana před webovými hrozbami je součástí webové ochrany v Microsoft Defender for Endpoint. K zabezpečení vašich zařízení před webovými hrozbami používá ochranu sítě. Díky integraci s Prohlížečem Microsoft Edge a oblíbenými prohlížeči třetích stran, jako je Chrome a Firefox, ochrana před webovými hrozbami zastaví webové hrozby bez webového proxy serveru. Ochrana před webovými hrozbami může chránit zařízení, když jsou místně nebo pryč. Ochrana před webovými hrozbami zastaví přístup k následujícím typům webů:

  • phishingové weby
  • vektory malwaru
  • zneužít weby
  • nedůvěryhodné weby nebo weby s nízkou reputací
  • weby, které jste zablokovali v seznamu vlastních ukazatelů

Webová ochrana hlásí detekce webových hrozeb.

Další informace najdete v tématu Ochrana organizace před webovými hrozbami.

Vlastní indikátory ohrožení zabezpečení

Indikátor shody ohrožení (IoC) je základní funkcí každého řešení ochrany koncových bodů. Tato funkce dává secOps možnost nastavit seznam indikátorů pro detekci a blokování (prevence a reakce).

Vytvořte indikátory, které definují detekci, prevenci a vyloučení entit. Můžete definovat akci, která se má provést, a také dobu trvání, kdy se má akce použít, a rozsah skupiny zařízení, na kterou se má použít.

Aktuálně podporované zdroje jsou cloudový detekční modul Defenderu for Endpoint, modul automatizovaného vyšetřování a nápravy a modul pro prevenci koncových bodů (Microsoft Defender Antivirus).

Zobrazuje indikátor přidání adresy URL nebo domény v ochraně sítě.

Další informace najdete v tématu Vytvoření indikátorů pro IP adresy a adresy URL/domény.

Filtrování webového obsahu

Filtrování webového obsahu je součástí funkcí webové ochrany v Microsoft Defender for Endpoint a Microsoft Defender pro firmy. Filtrování webového obsahu umožňuje vaší organizaci sledovat a regulovat přístup k webům na základě jejich kategorií obsahu. Mnohé z těchto webů (i když nejsou škodlivé) můžou být problematické kvůli předpisům dodržování předpisů, využití šířky pásma nebo jiným problémům.

Nakonfigurujte zásady napříč skupinami zařízení tak, aby blokovaly určité kategorie. Blokování kategorie brání uživatelům v určitých skupinách zařízení v přístupu k adresám URL přidruženým ke kategorii. U všech kategorií, které nejsou blokované, se adresy URL automaticky auditují. Vaši uživatelé mají přístup k adresám URL bez přerušení a vy shromáždíte statistiky přístupu, které vám pomůžou vytvořit vlastní rozhodnutí o zásadách. Pokud některý prvek na stránce, kterou si prohlížejí, volá blokovaný prostředek, zobrazí se uživatelům oznámení o blokování.

Filtrování webového obsahu je dostupné v hlavních webových prohlížečích, přičemž bloky provádí filtry SmartScreen v programu Windows Defender (Microsoft Edge) a Ochrana sítě (Chrome, Firefox, Brave a Opera). Další informace o podpoře prohlížeče najdete v tématu Požadavky.

Zobrazuje filtrování webového obsahu ochrany sítě a přidání zásad.

Další informace o vytváření sestav najdete v tématu Filtrování webového obsahu.

Microsoft Defender for Cloud Apps

Katalog Microsoft Defender for Cloud Apps / cloudových aplikací identifikuje aplikace, které chcete koncovým uživatelům upozornit při přístupu pomocí Microsoft Defender XDR pro koncový bod, a označí je jako monitorované. Domény uvedené v monitorovaných aplikacích se později synchronizují s Microsoft Defender XDR pro koncový bod:

Zobrazuje aplikace monitorované mcas pro ochranu sítě.

Během 10 až 15 minut se tyto domény zobrazí v Microsoft Defender XDR v části Adresy URL indikátorů > nebo domény s akcí Action=Warn. V rámci smlouvy SLA pro vynucení (podrobnosti najdete na konci tohoto článku).

Zobrazuje ochranu sítě mcas cloud app security.

Řešení problémů

Pokud se ochrana sítě nespustí nebo se zobrazí nepodporovaný okruh vydaných verzí, znamená to, že zařízení používá produkční kanál, který není pro ochranu sítě podporovaný. Ochrana sítě na Linux vyžaduje, aby zařízení bylo v pomalém nebo rychlém kanálu insider.

Pokud chcete tento problém vyřešit, přesuňte zařízení do jednoho z kanálů insider. Případně můžete zakázat ochranu sítě na zařízeních, která musí zůstat v produkčním kanálu.

Viz také

  • Last updated on