Linuxin verkkosuojaus

Koskee seuraavia:

• Microsoft Defender for Endpoint Plan 1
• Microsoft Defender for Endpoint Plan 2
• Microsoft Defender XDR

Tärkeää

Jotkin tiedot liittyvät tuotteen ennakkoon, jota voidaan muuttaa huomattavasti ennen kaupallista julkaisua. Microsoft ei anna nimenomaisia eikä oletettuja takuita tässä annetuista tiedoista.

Yleiskatsaus

Microsoft tuo Verkkosuojaus-toiminnon Linuxiin.

Verkon suojaus auttaa vähentämään laitteiden hyökkäyspintaa Internet-pohjaisista tapahtumista. Se estää työntekijöitä käyttämästä mitään sovellusta vaarallisten toimialueiden käyttämiseen, jotka voivat isännöidä:

• tietojenkalasteluhuijaukset
• Hyödyntää
• muu haitallinen sisältö Internetissä

Verkon suojaus laajentaa Microsoft Defender SmartScreenin laajuutta estääksesi kaiken lähtevän HTTP-liikenteen, joka yrittää muodostaa yhteyden alhaisen maineen lähteisiin. Lähtevän HTTP-liikenteen estot perustuvat toimialueeseen tai isäntänimeen.

Verkkosisällön suodattaminen Linuxissa

Voit käyttää verkkosisällön suodatusta testaukseen Linuxin verkon suojauksella. Katso VERKKOsisällön suodattaminen.

Tunnetut ongelmat

• Verkkosuojaus toteutetaan näennäisenä yksityisverkon (VPN) tunnelina. Pakettireitityksen lisäasetukset mukautettujen nftables/iptables-komentosarjojen avulla ovat käytettävissä.
• Block/Warn UX ei ole käytettävissä
  • Asiakaspalautetta kerätään suunnittelun lisäparannuksien aikaansaamiseksi

Huomautus

Linux Web Threat Protectionin tehokkuuden arvioimiseksi suosittelemme käyttämään Firefox-selainta, joka on oletusarvo kaikille jakaumille.

Ennakkovaatimukset

• Käyttöoikeudet: Microsoft Defender for Endpoint vuokraajaa (voidaan kokeilla) ja käyttöympäristökohtaisia vaatimuksia, jotka löytyvät Microsoft Defender for Endpoint muista kuin Windows-ympäristöistä
• Käyttöönotetut koneet:
  • Linux-vähimmäisversio: Luettelo tuetuista jakeluista on kohdassa Microsoft Defender for Endpoint Linuxissa.
  • Microsoft Defender for Endpoint Linux -asiakasversio: 101.78.13 tai uudempi Insiders-Slow tai insider-fast-kanavalla.

Tärkeää

Jos haluat arvioida Linuxin verkkosuojausta, lähetä sähköpostia osoitteeseen (xplatpreviewsupport@microsoft.com" organisaatiotunnuksellasi. Ominaisuus otetaan käyttöön vuokraajassa pyyntökohtaisesti.

Ohjeet

Ota Linux käyttöön manuaalisesti, katso Microsoft Defender for Endpoint käyttöönotto Linuxissa manuaalisesti

Seuraavassa esimerkissä näytetään mdatp-paketin edellyttämä komentosarja ubuntu 20.04:ssä insiders-Fast-kanavalle.

curl -o microsoft.list https://packages.microsoft.com/config/ubuntu/20.04/insiders-fast.list
sudo mv ./microsoft.list /etc/apt/sources.list.d/microsoft-insiders-fast.list
sudo apt-get install gpg
curl https://packages.microsoft.com/keys/microsoft.asc | sudo apt-key add -
sudo apt-get install apt-transport-https
sudo apt-get update
sudo apt install -y mdatp

Laitteen perehdytys

Jos haluat ottaa laitteen käyttöön, sinun on ladattava Linux-palvelimen Python-perehdytyspaketti Microsoft Defender XDR –> Asetukset -> Laitteiden hallinta –> Perehdytys ja suorittaminen:

sudo python3 MicrosoftDefenderATPOnboardingLinuxServer.py

Validation

1. Tarkista, että verkon suojaus vaikuttaa aina estettyihin sivustoihin:

   • http://smartscreentestratings2.net
   • https://smartscreentestratings2.net

2. Tarkista vianmäärityslokit

   sudo mdatp log level set --level debug
   sudo tail -f /var/log/microsoft/mdatp/microsoft_defender_np_ext.log
   

Vahvistustilasta poistuminen

Poista verkkosuojaus käytöstä ja käynnistä verkkoyhteys uudelleen:

sudo mdatp config network-protection enforcement-level --value disabled

Lisämääritykset

Oletusarvoisesti Linux-verkkosuojaus on aktiivinen oletusyhdyskäytävässä. reititys ja tunnelointi on määritetty sisäisesti. Jos haluat mukauttaa verkkoliittymiä, muuta networkSetupMode-parametria/opt/microsoft/mdatp/conf/ configuration-tiedostosta ja käynnistä palvelu uudelleen:

sudo systemctl restart  mdatp

Määritystiedoston avulla käyttäjä voi myös mukauttaa:

• välityspalvelimen asetus
• SSL-varmennesäilöt
• tunnelointilaitteen nimi
• IP
• ja paljon muuta

Oletusarvot testattiin kaikkien jakelujen osalta kohdassa Microsoft Defender for Endpoint Linuxissa kuvatulla tavalla

Microsoft Defender -portaali

Varmista myös, että Microsoft Defender>Asetukset-päätepisteissä>Lisäominaisuudet>, joiden Mukautettujen verkkoilmaisimien vaihtopainike on käytössä.

Tärkeää

Yllä oleva Mukautetun verkon ilmaisimet - valitsin ohjaa mukautettujen ilmaisimien käyttöönottotoimintoa kaikissa ympäristöissä , joissa on verkonsuojaustuki, windows mukaan lukien. Muistutus siitä, että jotta ilmaisimet voidaan pakottaa Windowsissa, verkon suojaus on myös otettava nimenomaisesti käyttöön.

Ominaisuuksien tutkiminen

1. Lue, miten voit suojata organisaatiosi verkkouhkia vastaan käyttämällä verkon uhkien suojausta.

   • Verkkouhkien suojaus on osa Microsoft Defender for Endpoint verkkosuojausta. Se suojaa laitteesi verkkouhkia vastaan verkon suojauksen avulla.

2. Suorita Kompromissi-työnkulun mukautetut ilmaisimet , niin saat mukautetun ilmaisimen tyypin lohkot.

3. Tutustu verkkosisällön suodatukseen.

   Huomautus

   Jos poistat käytännön tai muutat laiteryhmiä samanaikaisesti, tämä voi aiheuttaa viiveen käytännön käyttöönotossa. Pro-vinkki: Voit ottaa käytännön käyttöön valitsematta mitään luokkaa laiteryhmästä. Tämä toiminto luo vain valvonta -käytännön, joka auttaa ymmärtämään käyttäjän toimintaa ennen estokäytännön luomista.

   Laiteryhmän luontia tuetaan Defender for Endpoint -palvelupaketti 1:ssä ja palvelupakettissa 2.

4. Integroi Microsoft Defender for Endpoint Defender for Cloud Appsin ja verkon suojausta käyttävien macOS-laitteiden kanssa sisältää päätepistekäytännön pakotusominaisuudet.

   Huomautus

   Etsintää ja muita ominaisuuksia ei tällä hetkellä tueta näissä ympäristöissä.

Skenaarioita

Julkisen esikatselun aikana tuetaan seuraavia skenaarioita:

Verkkouhilta suojautuminen

Verkkouhkien suojaus on osa Microsoft Defender for Endpoint verkkosuojausta. Se suojaa laitteesi verkkouhkia vastaan verkon suojauksen avulla. Integroimalla Microsoft Edgeen ja suosittuihin kolmannen osapuolen selaimiin, kuten Chromeen ja Firefoxiin, verkkouhkien suojaus lopettaa verkkouhat ilman verkkovälityspalvelinta. Verkkouhkien suojaus voi suojata laitteita, kun ne ovat paikallisia tai poissa. Verkkouhkien suojaus estää pääsyn seuraavantyyppisiin sivustoihin:

• tietojenkalastelusivustot
• haittaohjelmavektorit
• hyödynnä sivustoja
• ei-luotetut tai alhaisen maineen sivustot
• sivustot, jotka olet estänyt mukautetussa ilmaisinluettelossa

Lisätietoja on artikkelissa Organisaation suojaaminen verkkouhkia vastaan

Kompromissien mukautetut ilmaisimet

Kompromissivastaavuuden ilmaisin on olennainen ominaisuus jokaisessa päätepisteen suojausratkaisussa. Tämä ominaisuus antaa SecOpsille mahdollisuuden määrittää luettelo ilmaisimista havaitsemiseksi ja estämiseksi (ennaltaehkäisy ja reagointi).

Create entiteettien tunnistamisen, estämisen ja poissulkemisen määrittäviä ilmaisimia. Voit määrittää suoritettavan toiminnon sekä toiminnon käyttöönoton keston ja sen laiteryhmän laajuuden, jossa sitä käytetään.

Tällä hetkellä tuettuja lähteitä ovat Defender for Endpointin pilvitunnistusmoduuli, automatisoitu tutkimus- ja korjausmoduuli sekä päätepisteiden estomoduuli (Microsoft Defender virustentorjunta).

Lisätietoja on ohjeaiheessa: Create URL-osoitteiden ja URL-osoitteiden/toimialueiden ilmaisimet.

Verkkosisällön suodatus

Verkkosisällön suodatus on osa Microsoft Defender for Endpoint ja Microsoft Defender for Business www-suojausominaisuuksia. Verkkosisällön suodattamisen avulla organisaatiosi voi seurata ja säännellä verkkosivustojen käyttöä sisältöluokkiensa perusteella. Monet näistä verkkosivustoista (vaikka ne eivät olisi haitallisia) voivat olla ongelmallisia vaatimustenmukaisuusmääräysten, kaistanleveyden käytön tai muiden huolenaiheiden vuoksi.

Määritä laiteryhmien käytännöt estämään tietyt luokat. Luokan estäminen estää määritettyjen laiteryhmien käyttäjiä käyttämästä luokkaan liittyviä URL-osoitteita. Url-osoitteet valvotaan automaattisesti kaikissa luokissa, joita ei ole estetty. Käyttäjät voivat käyttää URL-osoitteita häiriöittä. Keräät käyttöoikeustilastoja mukautetumman käytäntöpäätöksen luomiseksi. Käyttäjät näkevät estoilmoituksen, jos heidän tarkastelemansa sivun elementti kutsuu estettyä resurssia.

Verkkosisällön suodatus on käytettävissä tärkeimmissä verkkoselaimissa, ja sen lohkot suorittavat Windows Defender SmartScreen (Microsoft Edge) ja Verkon suojaus (Chrome, Firefox, Brave ja Opera). Lisätietoja selaimen tuesta on kohdassa Edellytykset.

Lisätietoja raportoinnista on kohdassa Verkkosisällön suodattaminen.

Microsoft Defender for Cloud Apps

Microsoft Defender for Cloud Apps /Cloud App Catalog tunnistaa sovellukset, joista haluat loppukäyttäjiä varoitettavan, kun he käyttävät päätepisteen Microsoft Defender XDR, ja merkitsee heidät valvotuiksi. Valvotuissa sovelluksissa luetellut toimialueet synkronoidaan myöhemmin päätepisteen Microsoft Defender XDR:

10–15 minuutin kuluessa nämä toimialueet luetellaan Microsoft Defender XDR kohdassa Ilmaisimien > URL-osoitteet/toimialueet, joissa on action=Warn. Ulosotto-SLA:ssa (katso lisätietoja tämän artikkelin lopusta).

Tutustu myös seuraaviin ohjeartikkeleihin:

• Verkon suojaaminen
• Ota verkon suojaus käyttöön
• Verkkosuojaus
• Ilmaisimien luominen
• Verkkosisällön suodatus
• Microsoft Defender for Endpoint Linuxissa

Vihje

Haluatko tietää lisää? Engage Microsoft security -yhteisön kanssa teknologiayhteisössämme: Microsoft Defender for Endpoint Tech Community.