Hálózati védelem macOS-hez
Érintett szolgáltatás:
- Microsoft Microsoft Defender XDR for Endpoint Plan 1
- Microsoft Microsoft Defender XDR for Endpoint Plan 2
- Microsoft Defender XDR
Áttekintés
A Microsoft Network Protection segít csökkenteni az eszközök támadási felületét az internetes eseményekből. Megakadályozza, hogy az alkalmazottak bármilyen alkalmazást használjanak a veszélyes tartományokhoz való hozzáféréshez, amelyek az alábbiakat üzemeltethetik:
- adathalászati csalások
- Tett
- egyéb kártékony tartalmak az interneten
A hálózatvédelem kibővíti a Microsoft Defender XDR SmartScreen hatókörét, hogy letiltsa az összes kimenő HTTP-forgalmat, amely alacsony hírnevű forrásokhoz próbál csatlakozni. A kimenő HTTP-forgalom blokkjainak alapja a tartomány vagy az állomásnév.
Elérhetőség
A macOS-hez készült Network Protection mostantól minden olyan Végponthoz készült Microsoft Defender előkészített macOS-eszközhöz elérhető, amely megfelel a minimális követelményeknek. Az összes jelenleg konfigurált hálózatvédelmi és webfenyegetettségi házirend kényszerítve van azokon a macOS-eszközökön, amelyeken a Hálózatvédelem blokk módra van konfigurálva.
A macOS-hez készült Hálózatvédelem bevezetéséhez a következő műveleteket javasoljuk:
- Létrehozás egy eszközcsoportot a Hálózatvédelem teszteléséhez használható eszközök kis csoportjához.
- Értékelje ki a Webes veszélyforrások elleni védelem, a biztonsági rések egyéni mutatói, a webes tartalomszűrés és a Microsoft Defender for Cloud Apps kényszerítési szabályzatok hatását, amelyek azokat a macOS-eszközöket célják, amelyeknél a Hálózatvédelem blokk módban van.
- Helyezzen üzembe egy naplózási vagy letiltási módú szabályzatot erre az eszközcsoportra, és ellenőrizze, hogy nincsenek-e problémák vagy hibás munkafolyamatok.
- Fokozatosan helyezze üzembe a Hálózatvédelmet egy nagyobb eszközkészleten, amíg el nem végzi a telepítést.
Jelenlegi képességek
- Egyéni biztonsági rések mutatói a tartományokon és IP-címeken.
- Webes tartalomszűrés támogatása:
- Letilthatja az eszközcsoportokra vonatkozó webhelykategóriákat a Microsoft Defender portálon létrehozott szabályzatokkal.
- A szabályzatok a böngészőkre vonatkoznak, beleértve a macOS-hez készült Microsoft Edge Chromium.
- Speciális veszélyforrás-keresés – A hálózati események megjelennek a gép idővonalán, és lekérdezhetők a speciális veszélyforrás-keresésben a biztonsági vizsgálatok elősegítése érdekében.
- Microsoft Defender for Cloud Apps:
- Árnyék-informatikai felderítés – Azonosíthatja, hogy mely alkalmazásokat használják a szervezetben.
- Alkalmazások letiltása – Letilthatja a teljes alkalmazások (például a Slack és a Facebook) használatát a szervezetben.
- Vállalati VPN párhuzamosan vagy párhuzamosan a Hálózatvédelemmel:
- Jelenleg nem azonosíthatók VPN-ütközések.
- Ha ütközéseket tapasztal, az oldal alján található visszajelzési csatornán keresztül küldhet visszajelzést.
Ismert problémák
- A Blokk/Figyelmeztetés felhasználói felület nem szabható testre, és más megjelenést és működést igényelhet. (A további tervezési fejlesztések érdekében gyűjtjük az ügyfelek visszajelzését)
- Van egy ismert alkalmazáskompatibilitási probléma a VMware "Alkalmazásonkénti alagút" funkciójával. (Ez az inkompatibilitás azt eredményezheti, hogy nem lehet blokkolni az alkalmazásonkénti alagúton áthaladó forgalmat.)
- Van egy ismert alkalmazáskompatibilitási probléma a Blue Coat Proxyval. (Ez az inkompatibilitás hálózati réteg összeomlását eredményezheti a nem kapcsolódó alkalmazásokban, ha a Kék kabát proxy és a Hálózatvédelem is engedélyezve van.)
Fontos megjegyzések
- Nem javasoljuk, hogy a Kapcsolat bontása gombbal vezérelje a hálózatvédelmet a Rendszerbeállítások között. Ehelyett használja az mdatp parancssori eszközt vagy a JAMF /Intune a macOS hálózati védelmének szabályozásához.
- A macOS webes veszélyforrások elleni védelem hatékonyságának értékeléséhez azt javasoljuk, hogy a macOS-hez készült Microsoft Edge-en kívül más böngészőkben (például Safari) próbálja ki. A MacOS-hez készült Microsoft Edge beépített webes veszélyforrások elleni védelemmel rendelkezik, amely engedélyezve van, függetlenül attól, hogy a kiértékelt Mac hálózatvédelmi funkció be van-e kapcsolva vagy sem.
Megjegyzés:
A MacOS-hez készült Microsoft Edge jelenleg nem támogatja a webes tartalomszűrést, az egyéni mutatókat és más vállalati funkciókat. A hálózatvédelem azonban biztosítja ezt a védelmet a macOS-hez készült Microsoft Edge-nek, ha a hálózatvédelem engedélyezve van.
Előfeltételek
- Licencelés: Microsoft Defender XDR az 1. végpontcsomaghoz vagy Microsoft Defender XDR a 2. végpontcsomaghoz (próbaverzió lehet)
- Előkészített gépek:
- Minimális macOS-verzió: 11
- Termékverzió: 101.94.13 vagy újabb
Üzembe helyezési utasítások
végpont Microsoft Defender XDR
Telepítse a legújabb termékverziót a Microsoft AutoUpdate szolgáltatással. A Microsoft AutoUpdate megnyitásához futtassa a következő parancsot a terminálról:
open /Library/Application\ Support/Microsoft/MAU2.0/Microsoft\ AutoUpdate.app
Konfigurálja a terméket a szervezeti adatokkal a nyilvános dokumentációban található utasítások alapján.
A hálózatvédelem alapértelmezés szerint le van tiltva, de konfigurálható úgy, hogy az alábbi módok (más néven kényszerítési szintek) egyikében fusson:
- Naplózás: hasznos annak ellenőrzéséhez, hogy ez nincs-e hatással az üzletági alkalmazásokra, vagy hogy képet kapjon arról, milyen gyakran fordulnak elő blokkok
- Letiltás: A hálózatvédelem megakadályozza a rosszindulatú webhelyekhez való csatlakozást
- Letiltva: a hálózatvédelemmel társított összes összetevő le van tiltva
Ezt a funkciót a következő módok egyikével helyezheti üzembe: manuálisan, a JAMF-ben vagy Intune keresztül. A következő szakaszok részletesen ismertetik ezeket a módszereket.
Kézi üzembe helyezés
A kényszerítési szint konfigurálásához futtassa a következő parancsot a terminálról:
mdatp config network-protection enforcement-level --value [enforcement-level]
Ha például úgy szeretné konfigurálni a hálózatvédelmet, hogy blokkolási módban fusson, hajtsa végre a következő parancsot:
mdatp config network-protection enforcement-level --value block
Annak ellenőrzéséhez, hogy a hálózatvédelem sikeresen elindult-e, futtassa a következő parancsot a terminálról, és ellenőrizze, hogy az "elindítva" szöveget nyomtatja-e:
mdatp health --field network_protection_status
JAMF üzembe helyezése
A JAMF sikeres üzembe helyezéséhez konfigurációs profil szükséges a hálózati védelem kényszerítési szintjének beállításához. A konfigurációs profil létrehozása után rendelje hozzá azokhoz az eszközökhöz, amelyeken engedélyezni szeretné a hálózatvédelmet.
A kényszerítési szint konfigurálása
Megjegyzés: Ha már konfigurálta a Microsoft Defender XDR végponthoz Mac gépen az itt felsorolt utasítások alapján, frissítse a korábban üzembe helyezett plist fájlt az alább felsorolt tartalommal, és helyezze újra üzembe a JAMF-ből.
- A Számítógépek>konfigurációs profiljai területen válassza a Beállítások>Alkalmazások & egyéni beállítások lehetőséget.
- Válassza a Fájl feltöltése (PLIST-fájl) lehetőséget
- Beállítási tartomány beállítása a következőre: com.microsoft.wdav
- Töltse fel a következő plist-fájlt
<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1.0">
<dict>
<key>networkProtection</key>
<dict>
<key>enforcementLevel</key>
<string>block</string>
</dict>
</dict>
</plist>
Intune üzembe helyezés
A sikeres Intune üzembe helyezéshez konfigurációs profil szükséges a hálózati védelem kényszerítési szintjének beállításához. A konfigurációs profil létrehozása után rendelje hozzá azokhoz az eszközökhöz, amelyeken engedélyezni szeretné a hálózatvédelmet.
Konfigurálja a kényszerítési szintet a Intune
Megjegyzés:
Ha már konfigurálta Végponthoz készült Microsoft Defender Mac gépen az előző utasítások (XML-fájllal) használatával, távolítsa el a korábbi egyéni konfigurációs szabályzatot, és cserélje le az alábbi utasításokra.
- Nyissa meg azEszközkonfigurációkezelése> lehetőséget. Válassza aProfilok>kezelése>Létrehozás Profil lehetőséget.
- Módosítsa a Platform beállítástmacOS-re , a Profiltípust pedig a Beállítások katalógusra. Válassza a Létrehozás lehetőséget.
- Adja meg a profil nevét.
- A Konfigurációs beállítások képernyőn válassza a Beállítások hozzáadása lehetőséget. Jelölje be Microsoft Defender>Hálózatvédelem lehetőséget, és jelölje be a Kényszerítési szint jelölőnégyzetet.
- Állítsa a kényszerítési szintet blokkolásra. Válassza a Tovább gombot
- Nyissa meg a konfigurációs profilt, és töltse fel a com.microsoft.wdav.xml fájlt. (Ez a fájl a 3. lépésben lett létrehozva.)
- Válassza az OK gombot
- Válassza aHozzárendelésekkezelése> lehetőséget. A Belefoglalás lapon válassza ki azokat az eszközöket, amelyekhez engedélyezni szeretné a hálózatvédelmet.
Mobilkonfigurálás üzembe helyezése
A konfiguráció .mobileconfig fájlon keresztül történő üzembe helyezése, amely nem Microsoft MDM-megoldásokkal használható, vagy közvetlenül az eszközökre terjeszthető:
Mentse a következő hasznos adatokat acom.microsoft.wdav.xml.mobileconfig fájlként
<?xml version="1.0" encoding="utf-8"?> <!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd"> <plist version="1"> <dict> <key>PayloadUUID</key> <string>C4E6A782-0C8D-44AB-A025-EB893987A295</string> <key>PayloadType</key> <string>Configuration</string> <key>PayloadOrganization</key> <string>Microsoft</string> <key>PayloadIdentifier</key> <string>com.microsoft.wdav</string> <key>PayloadDisplayName</key> <string>Microsoft Defender ATP settings</string> <key>PayloadDescription</key> <string>Microsoft Defender ATP configuration settings</string> <key>PayloadVersion</key> <integer>1</integer> <key>PayloadEnabled</key> <true/> <key>PayloadRemovalDisallowed</key> <true/> <key>PayloadScope</key> <string>System</string> <key>PayloadContent</key> <array> <dict> <key>PayloadUUID</key> <string>99DBC2BC-3B3A-46A2-A413-C8F9BB9A7295</string> <key>PayloadType</key> <string>com.microsoft.wdav</string> <key>PayloadOrganization</key> <string>Microsoft</string> <key>PayloadIdentifier</key> <string>com.microsoft.wdav</string> <key>PayloadDisplayName</key> <string>Microsoft Defender ATP configuration settings</string> <key>PayloadDescription</key> <string/> <key>PayloadVersion</key> <integer>1</integer> <key>PayloadEnabled</key> <true/> <key>networkProtection</key> <dict> <key>enforcementLevel</key> <string>block</string> </dict> </dict> </array> </dict> </plist>
Ellenőrizze, hogy a fenti fájl másolása megfelelően történt-e. Futtassa a terminálon a következő parancsot, és ellenőrizze, hogy az OK kimenetet adja-e:
plutil -lint com.microsoft.wdav.xml
A funkciók megismerése
Megtudhatja, hogyan védheti meg szervezetét a webes fenyegetésekkel szemben a webes veszélyforrások elleni védelemmel.
- A webes veszélyforrások elleni védelem a Végponthoz készült Microsoft Defender webvédelmének része. Hálózatvédelemmel védi az eszközöket a webes fenyegetések ellen.
Az egyéni mutatótípus blokkjainak lekéréséhez futtassa a biztonsági rések egyéni mutatóinak folyamatát.
A webes tartalomszűrés megismerése.
Megjegyzés:
Ha egy szabályzatot egyszerre távolít el vagy módosít eszközcsoportokat, az késleltetheti a szabályzat üzembe helyezését. Pro tipp: A szabályzatokat anélkül helyezheti üzembe, hogy egy eszközcsoporton kiválasztanak egy kategóriát. Ez a művelet létrehoz egy csak naplózási szabályzatot, amely segít megérteni a felhasználói viselkedést a blokkszabályzat létrehozása előtt.
Az eszközcsoport létrehozása a Végponthoz készült Defender 1. és 2. csomagjában támogatott.
Integrálja a Végponthoz készült Microsoft Defender a Defender for Cloud Apps szolgáltatással, és a hálózatvédelemmel kompatibilis macOS-eszközei végpontszabályzat-kényszerítési képességekkel rendelkeznek.
Megjegyzés:
A felderítési és egyéb funkciók jelenleg nem támogatottak ezeken a platformokon.
Forgatókönyvek
A következő forgatókönyvek támogatottak.
Webes veszélyforrások elleni védelem
A webes veszélyforrások elleni védelem a végpont Microsoft Defender XDR webvédelmének része. Hálózatvédelemmel védi az eszközöket a webes fenyegetések ellen. A macOS-hez készült Microsoft Edge-hez és a népszerű nem Microsoft-böngészőkhöz, például a Chrome-hoz és a Firefoxhoz való integrálásával a webes veszélyforrások elleni védelem webproxy nélkül leállítja a webes fenyegetéseket. A webes veszélyforrások elleni védelem megvédheti az eszközöket, amíg azok a helyszínen vagy távol vannak. A webes veszélyforrások elleni védelem leállítja a hozzáférést a következő típusú webhelyekhez:
- adathalász webhelyek
- kártevővektorok
- biztonsági rés kiaknázása
- nem megbízható vagy alacsony hírnevű webhelyek
- az egyéni mutatólistában letiltott webhelyek
További információ: A szervezet védelme a webes fenyegetésekkel szemben
Egyéni biztonsági rések mutatói
A biztonsági rések (IoC-k) egyeztetésének mutatója minden végpontvédelmi megoldás alapvető funkciója. Ez a képesség lehetővé teszi a SecOps számára, hogy beállítsa az észlelés és a blokkolás (megelőzés és reagálás) mutatóinak listáját.
Létrehozás az entitások észlelését, megelőzését és kizárását meghatározó mutatókat. Megadhatja a végrehajtandó műveletet, valamint a művelet alkalmazásának időtartamát, valamint annak az eszközcsoportnak a hatókörét, amelyre alkalmazni szeretné.
Jelenleg a végponthoz készült Defender felhőészlelési motorja, az automatizált vizsgálati és szervizelési motor, valamint a végpontmegelőző motor (Microsoft Defender víruskereső) támogatott források.
További információ: IP-címek és URL-címek/tartományok mutatóinak Létrehozás.
Webes tartalom szűrése
A webes tartalomszűrés a Végponthoz készült Microsoft Defender és Microsoft Defender Vállalati verzió webvédelmi funkcióinak része. A webes tartalomszűrés lehetővé teszi a szervezet számára a webhelyekhez való hozzáférés nyomon követését és szabályozását a tartalomkategóriák alapján. Ezen webhelyek nagy része (még akkor is, ha nem rosszindulatú) problémás lehet a megfelelőségi szabályok, a sávszélesség-használat vagy más problémák miatt.
Konfigurálja az eszközcsoportokra vonatkozó szabályzatokat bizonyos kategóriák letiltásához. A kategória letiltása megakadályozza, hogy a megadott eszközcsoportok felhasználói hozzáférjenek a kategóriához társított URL-címekhez. Minden olyan kategória esetében, amely nincs letiltva, a rendszer automatikusan naplózhatja az URL-címeket. A felhasználók megszakítás nélkül érhetik el az URL-címeket, ön pedig hozzáférési statisztikákat gyűjt, amelyek segítenek az egyénibb szabályzattal kapcsolatos döntések meghozatalában. A felhasználók blokkértesítést látnak, ha a megtekintett lap egyik eleme hívásokat kezdeményez egy blokkolt erőforráshoz.
A webes tartalomszűrés a fő webböngészőkben érhető el, a Network Protection által végrehajtott blokkokkal (Safari, Chrome, Firefox, Brave és Opera). További információ a böngészők támogatásáról: Előfeltételek.
További információ a jelentéskészítésről: Webes tartalomszűrés.
Microsoft Defender for Cloud Apps
A Microsoft Defender for Cloud Apps/Cloud App Catalog azonosítja azokat az alkalmazásokat, amelyeket figyelmeztetni szeretne a végfelhasználóknak, amikor a végponthoz Microsoft Defender XDR férnek hozzá, és figyeltként jelöli meg őket. A figyelt alkalmazások alatt felsorolt tartományok később szinkronizálva lesznek a végpont Microsoft Defender XDR:
10–15 percen belül ezek a tartományok Microsoft Defender XDR a Indicators > URLLs/Domains with Action=Warn területen találhatók. A kényszerítési SLA-n belül (lásd a cikk végén található részleteket) a végfelhasználók figyelmeztető üzeneteket kapnak, amikor megpróbálnak hozzáférni ezekhez a tartományokhoz:
Amikor a végfelhasználó megpróbál hozzáférni a figyelt tartományokhoz, a Végponthoz készült Defender figyelmezteti őket.
A felhasználó egy egyszerű blokkfelületet kap, amelyhez a következő bejelentési üzenet tartozik, amelyet az operációs rendszer jelenít meg, beleértve a letiltott alkalmazás nevét (például Blogger.com)
Ha a végfelhasználó blokkot észlel, két lehetséges megoldással rendelkezik:
Felhasználó megkerülése
- A bejelentési üzenet megjelenítéséhez nyomja le a Tiltás feloldása gombot. A weboldal újrabetöltésével a felhasználó folytathatja és használhatja a felhőalkalmazást. (Ez a művelet a következő 24 órára érvényes, amely után a felhasználónak újra fel kell oldania a tiltást)
Felhasználói oktatás
- A bejelentési üzenet élményéhez: Nyomja le magát a bejelentési üzenetet. A végfelhasználót a rendszer globálisan átirányítja egy egyéni átirányítási URL-címre Microsoft Defender for Cloud Apps (További információ a lap alján)
Megjegyzés:
Követési megkerülés alkalmazásonként** – Nyomon követheti, hogy hány felhasználó kerülhette meg a figyelmeztetést a Microsoft Defender for Cloud Apps Alkalmazás lapján.
Függelék
Végfelhasználói oktatási központ SharePoint-webhelysablon
Számos szervezet számára fontos, hogy a Microsoft Defender for Cloud Apps által biztosított felhőbeli vezérlőket vegye igénybe, és ne csak szükség esetén korlátozza a végfelhasználókat, hanem az alábbiakról is tájékoztassa és tájékoztassa őket:
- az adott incidens
- miért történt
- mi a döntés mögötti gondolkodás?
- hogyan csökkenthető a blokkwebhelyek észlelése
Ha váratlan viselkedéssel szembesül, a felhasználók zavarai a lehető legtöbb információval csökkenthetők, nemcsak azért, hogy elmagyarázzák, mi történt, hanem arra is, hogy a következő alkalommal, amikor kiválasztanak egy felhőalkalmazást, hogy befejezzék a feladatukat. Ezek az információk például a következők lehetnek:
- Szervezeti biztonsági és megfelelőségi szabályzatok és irányelvek az internet- és felhőhasználathoz
- Jóváhagyott/ajánlott felhőalkalmazások használata
- Korlátozott/letiltott felhőalkalmazások használata
Ehhez a laphoz azt javasoljuk, hogy szervezete egy alapszintű SharePoint-webhelyet használjon.
Fontos tudnivalók
- Az alkalmazástartományok propagálása és frissítése a végponteszközökben akár két órát is igénybe vehet (általában kevesebbet), miután a figyeltként van megjelölve.
- Alapértelmezés szerint a rendszer minden olyan alkalmazásra és tartományra vonatkozóan végrehajtja a műveletet, amely Microsoft Defender for Cloud Apps portálon figyeltként lett megjelölve a szervezet összes előkészített végpontja esetében.
- A teljes URL-címek jelenleg nem támogatottak, és nem lesznek elküldve az Microsoft Defender for Cloud Apps-ből a végpont Microsoft Defender XDR, ha a teljes URL-címek a Microsoft Defender for Cloud Apps figyelt alkalmazások, így a rendszer nem figyelmezteti a felhasználót a hozzáférési kísérletre (például google.com/drive nem támogatott, míg drive.google.com támogatott).
Nincs végfelhasználói értesítés harmadik féltől származó böngészőkben? Ellenőrizze a bejelentési üzenet beállításait.
Lásd még
- Microsoft Defender XDR végponthoz Mac gépen
- Microsoft Defender XDR végpontintegráció a Microsoft Microsoft Defender XDR for Cloud Apps szolgáltatással
- Ismerkedés a Microsoft Edge innovatív funkcióival
- A hálózat védelme
- A hálózatvédelem bekapcsolása
- Webes védelem
- Jelzők létrehozása
- Webes tartalom szűrése
Tipp
Szeretne többet megtudni? Engage a Microsoft biztonsági közösségével a technikai közösségünkben: Végponthoz készült Microsoft Defender Tech Community.
Visszajelzés
https://aka.ms/ContentUserFeedback.
Hamarosan elérhető: 2024-ben fokozatosan kivezetjük a GitHub-problémákat a tartalom visszajelzési mechanizmusaként, és lecseréljük egy új visszajelzési rendszerre. További információ:Visszajelzés küldése és megtekintése a következőhöz: