Megosztás a következőn keresztül:

Hálózati védelem macOS-hez

  • Cikk

Érintett szolgáltatás:

Áttekintés

A Microsoft Network Protection segít csökkenteni az eszközök támadási felületét az internetes eseményekből. Megakadályozza, hogy az alkalmazottak bármilyen alkalmazást használjanak a veszélyes tartományokhoz való hozzáféréshez, amelyek az alábbiakat üzemeltethetik:

  • adathalászati csalások
  • Tett
  • egyéb kártékony tartalmak az interneten

A hálózatvédelem kibővíti a Microsoft Defender XDR SmartScreen hatókörét, hogy letiltsa az összes kimenő HTTP-forgalmat, amely alacsony hírnevű forrásokhoz próbál csatlakozni. A kimenő HTTP-forgalom blokkjainak alapja a tartomány vagy az állomásnév.

Elérhetőség

A macOS-hez készült Network Protection mostantól minden olyan Végponthoz készült Microsoft Defender előkészített macOS-eszközhöz elérhető, amely megfelel a minimális követelményeknek. Az összes jelenleg konfigurált hálózatvédelmi és webfenyegetettségi házirend kényszerítve van azokon a macOS-eszközökön, amelyeken a Hálózatvédelem blokk módra van konfigurálva.

A macOS-hez készült Hálózatvédelem bevezetéséhez a következő műveleteket javasoljuk:

  • Létrehozás egy eszközcsoportot a Hálózatvédelem teszteléséhez használható eszközök kis csoportjához.
  • Értékelje ki a Webes veszélyforrások elleni védelem, a biztonsági rések egyéni mutatói, a webes tartalomszűrés és a Microsoft Defender for Cloud Apps kényszerítési szabályzatok hatását, amelyek azokat a macOS-eszközöket célják, amelyeknél a Hálózatvédelem blokk módban van.
  • Helyezzen üzembe egy naplózási vagy letiltási módú szabályzatot erre az eszközcsoportra, és ellenőrizze, hogy nincsenek-e problémák vagy hibás munkafolyamatok.
  • Fokozatosan helyezze üzembe a Hálózatvédelmet egy nagyobb eszközkészleten, amíg el nem végzi a telepítést.

Jelenlegi képességek

  • Egyéni biztonsági rések mutatói a tartományokon és IP-címeken.
  • Webes tartalomszűrés támogatása:
    • Letilthatja az eszközcsoportokra vonatkozó webhelykategóriákat a Microsoft Defender portálon létrehozott szabályzatokkal.
    • A szabályzatok a böngészőkre vonatkoznak, beleértve a macOS-hez készült Microsoft Edge Chromium.
  • Speciális veszélyforrás-keresés – A hálózati események megjelennek a gép idővonalán, és lekérdezhetők a speciális veszélyforrás-keresésben a biztonsági vizsgálatok elősegítése érdekében.
  • Microsoft Defender for Cloud Apps:
    • Árnyék-informatikai felderítés – Azonosíthatja, hogy mely alkalmazásokat használják a szervezetben.
    • Alkalmazások letiltása – Letilthatja a teljes alkalmazások (például a Slack és a Facebook) használatát a szervezetben.
  • Vállalati VPN párhuzamosan vagy párhuzamosan a Hálózatvédelemmel:
    • Jelenleg nem azonosíthatók VPN-ütközések.
    • Ha ütközéseket tapasztal, az oldal alján található visszajelzési csatornán keresztül küldhet visszajelzést.

Ismert problémák

  • A Blokk/Figyelmeztetés felhasználói felület nem szabható testre, és más megjelenést és működést igényelhet. (A további tervezési fejlesztések érdekében gyűjtjük az ügyfelek visszajelzését)
  • Van egy ismert alkalmazáskompatibilitási probléma a VMware "Alkalmazásonkénti alagút" funkciójával. (Ez az inkompatibilitás azt eredményezheti, hogy nem lehet blokkolni az alkalmazásonkénti alagúton áthaladó forgalmat.)
  • Van egy ismert alkalmazáskompatibilitási probléma a Blue Coat Proxyval. (Ez az inkompatibilitás hálózati réteg összeomlását eredményezheti a nem kapcsolódó alkalmazásokban, ha a Kék kabát proxy és a Hálózatvédelem is engedélyezve van.)

Fontos megjegyzések

  • Nem javasoljuk, hogy a Kapcsolat bontása gombbal vezérelje a hálózatvédelmet a Rendszerbeállítások között. Ehelyett használja az mdatp parancssori eszközt vagy a JAMF /Intune a macOS hálózati védelmének szabályozásához.
  • A macOS webes veszélyforrások elleni védelem hatékonyságának értékeléséhez azt javasoljuk, hogy a macOS-hez készült Microsoft Edge-en kívül más böngészőkben (például Safari) próbálja ki. A MacOS-hez készült Microsoft Edge beépített webes veszélyforrások elleni védelemmel rendelkezik, amely engedélyezve van, függetlenül attól, hogy a kiértékelt Mac hálózatvédelmi funkció be van-e kapcsolva vagy sem.

Megjegyzés:

A MacOS-hez készült Microsoft Edge jelenleg nem támogatja a webes tartalomszűrést, az egyéni mutatókat és más vállalati funkciókat. A hálózatvédelem azonban biztosítja ezt a védelmet a macOS-hez készült Microsoft Edge-nek, ha a hálózatvédelem engedélyezve van.

Előfeltételek

  • Licencelés: Microsoft Defender XDR az 1. végpontcsomaghoz vagy Microsoft Defender XDR a 2. végpontcsomaghoz (próbaverzió lehet)
  • Előkészített gépek:
    • Minimális macOS-verzió: 11
    • Termékverzió: 101.94.13 vagy újabb

Üzembe helyezési utasítások

végpont Microsoft Defender XDR

Telepítse a legújabb termékverziót a Microsoft AutoUpdate szolgáltatással. A Microsoft AutoUpdate megnyitásához futtassa a következő parancsot a terminálról:

open /Library/Application\ Support/Microsoft/MAU2.0/Microsoft\ AutoUpdate.app

Konfigurálja a terméket a szervezeti adatokkal a nyilvános dokumentációban található utasítások alapján.

A hálózatvédelem alapértelmezés szerint le van tiltva, de konfigurálható úgy, hogy az alábbi módok (más néven kényszerítési szintek) egyikében fusson:

  • Naplózás: hasznos annak ellenőrzéséhez, hogy ez nincs-e hatással az üzletági alkalmazásokra, vagy hogy képet kapjon arról, milyen gyakran fordulnak elő blokkok
  • Letiltás: A hálózatvédelem megakadályozza a rosszindulatú webhelyekhez való csatlakozást
  • Letiltva: a hálózatvédelemmel társított összes összetevő le van tiltva

Ezt a funkciót a következő módok egyikével helyezheti üzembe: manuálisan, a JAMF-ben vagy Intune keresztül. A következő szakaszok részletesen ismertetik ezeket a módszereket.

Kézi üzembe helyezés

A kényszerítési szint konfigurálásához futtassa a következő parancsot a terminálról:

mdatp config network-protection enforcement-level --value [enforcement-level]

Ha például úgy szeretné konfigurálni a hálózatvédelmet, hogy blokkolási módban fusson, hajtsa végre a következő parancsot:

mdatp config network-protection enforcement-level --value block

Annak ellenőrzéséhez, hogy a hálózatvédelem sikeresen elindult-e, futtassa a következő parancsot a terminálról, és ellenőrizze, hogy az "elindítva" szöveget nyomtatja-e:

mdatp health --field network_protection_status

JAMF üzembe helyezése

A JAMF sikeres üzembe helyezéséhez konfigurációs profil szükséges a hálózati védelem kényszerítési szintjének beállításához. A konfigurációs profil létrehozása után rendelje hozzá azokhoz az eszközökhöz, amelyeken engedélyezni szeretné a hálózatvédelmet.

A kényszerítési szint konfigurálása

Megjegyzés: Ha már konfigurálta a Microsoft Defender XDR végponthoz Mac gépen az itt felsorolt utasítások alapján, frissítse a korábban üzembe helyezett plist fájlt az alább felsorolt tartalommal, és helyezze újra üzembe a JAMF-ből.

  1. A Számítógépek>konfigurációs profiljai területen válassza a Beállítások>Alkalmazások & egyéni beállítások lehetőséget.
  2. Válassza a Fájl feltöltése (PLIST-fájl) lehetőséget
  3. Beállítási tartomány beállítása a következőre: com.microsoft.wdav
  4. Töltse fel a következő plist-fájlt
<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1.0">
<dict>
    <key>networkProtection</key>
    <dict>
        <key>enforcementLevel</key>
        <string>block</string>
    </dict>
</dict>
</plist>

Intune üzembe helyezés

A sikeres Intune üzembe helyezéshez konfigurációs profil szükséges a hálózati védelem kényszerítési szintjének beállításához. A konfigurációs profil létrehozása után rendelje hozzá azokhoz az eszközökhöz, amelyeken engedélyezni szeretné a hálózatvédelmet.

Konfigurálja a kényszerítési szintet a Intune

Megjegyzés:

Ha már konfigurálta Végponthoz készült Microsoft Defender Mac gépen az előző utasítások (XML-fájllal) használatával, távolítsa el a korábbi egyéni konfigurációs szabályzatot, és cserélje le az alábbi utasításokra.

  1. Nyissa meg azEszközkonfigurációkezelése> lehetőséget. Válassza aProfilok>kezelése>Létrehozás Profil lehetőséget.
  2. Módosítsa a Platform beállítástmacOS-re , a Profiltípust pedig a Beállítások katalógusra. Válassza a Létrehozás lehetőséget.
  3. Adja meg a profil nevét.
  4. A Konfigurációs beállítások képernyőn válassza a Beállítások hozzáadása lehetőséget. Jelölje be Microsoft Defender>Hálózatvédelem lehetőséget, és jelölje be a Kényszerítési szint jelölőnégyzetet.
  5. Állítsa a kényszerítési szintet blokkolásra. Válassza a Tovább gombot
  6. Nyissa meg a konfigurációs profilt, és töltse fel a com.microsoft.wdav.xml fájlt. (Ez a fájl a 3. lépésben lett létrehozva.)
  7. Válassza az OK gombot
  8. Válassza aHozzárendelésekkezelése> lehetőséget. A Belefoglalás lapon válassza ki azokat az eszközöket, amelyekhez engedélyezni szeretné a hálózatvédelmet.

Mobilkonfigurálás üzembe helyezése

A konfiguráció .mobileconfig fájlon keresztül történő üzembe helyezése, amely nem Microsoft MDM-megoldásokkal használható, vagy közvetlenül az eszközökre terjeszthető:

  1. Mentse a következő hasznos adatokat acom.microsoft.wdav.xml.mobileconfig fájlként

    <?xml version="1.0" encoding="utf-8"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1">
    <dict>
        <key>PayloadUUID</key>
        <string>C4E6A782-0C8D-44AB-A025-EB893987A295</string>
        <key>PayloadType</key>
        <string>Configuration</string>
        <key>PayloadOrganization</key>
        <string>Microsoft</string>
        <key>PayloadIdentifier</key>
        <string>com.microsoft.wdav</string>
        <key>PayloadDisplayName</key>
        <string>Microsoft Defender ATP settings</string>
        <key>PayloadDescription</key>
        <string>Microsoft Defender ATP configuration settings</string>
        <key>PayloadVersion</key>
        <integer>1</integer>
        <key>PayloadEnabled</key>
        <true/>
        <key>PayloadRemovalDisallowed</key>
        <true/>
        <key>PayloadScope</key>
        <string>System</string>
        <key>PayloadContent</key>
        <array>
            <dict>
                <key>PayloadUUID</key>
                <string>99DBC2BC-3B3A-46A2-A413-C8F9BB9A7295</string>
                <key>PayloadType</key>
                <string>com.microsoft.wdav</string>
                <key>PayloadOrganization</key>
                <string>Microsoft</string>
                <key>PayloadIdentifier</key>
                <string>com.microsoft.wdav</string>
                <key>PayloadDisplayName</key>
                <string>Microsoft Defender ATP configuration settings</string>
                <key>PayloadDescription</key>
                <string/>
                <key>PayloadVersion</key>
                <integer>1</integer>
                <key>PayloadEnabled</key>
                <true/>
                <key>networkProtection</key>
                <dict>
                    <key>enforcementLevel</key>
                    <string>block</string>
                </dict>
            </dict>
        </array>
    </dict>
</plist>

  2. Ellenőrizze, hogy a fenti fájl másolása megfelelően történt-e. Futtassa a terminálon a következő parancsot, és ellenőrizze, hogy az OK kimenetet adja-e:

    plutil -lint com.microsoft.wdav.xml

A funkciók megismerése

  1. Megtudhatja, hogyan védheti meg szervezetét a webes fenyegetésekkel szemben a webes veszélyforrások elleni védelemmel.

    • A webes veszélyforrások elleni védelem a Végponthoz készült Microsoft Defender webvédelmének része. Hálózatvédelemmel védi az eszközöket a webes fenyegetések ellen.

  2. Az egyéni mutatótípus blokkjainak lekéréséhez futtassa a biztonsági rések egyéni mutatóinak folyamatát.

  3. A webes tartalomszűrés megismerése.

    Megjegyzés:

    Ha egy szabályzatot egyszerre távolít el vagy módosít eszközcsoportokat, az késleltetheti a szabályzat üzembe helyezését. Pro tipp: A szabályzatokat anélkül helyezheti üzembe, hogy egy eszközcsoporton kiválasztanak egy kategóriát. Ez a művelet létrehoz egy csak naplózási szabályzatot, amely segít megérteni a felhasználói viselkedést a blokkszabályzat létrehozása előtt.

    Az eszközcsoport létrehozása a Végponthoz készült Defender 1. és 2. csomagjában támogatott.

  4. Integrálja a Végponthoz készült Microsoft Defender a Defender for Cloud Apps szolgáltatással, és a hálózatvédelemmel kompatibilis macOS-eszközei végpontszabályzat-kényszerítési képességekkel rendelkeznek.

    Megjegyzés:

    A felderítési és egyéb funkciók jelenleg nem támogatottak ezeken a platformokon.

Forgatókönyvek

A következő forgatókönyvek támogatottak.

Webes veszélyforrások elleni védelem

A webes veszélyforrások elleni védelem a végpont Microsoft Defender XDR webvédelmének része. Hálózatvédelemmel védi az eszközöket a webes fenyegetések ellen. A macOS-hez készült Microsoft Edge-hez és a népszerű nem Microsoft-böngészőkhöz, például a Chrome-hoz és a Firefoxhoz való integrálásával a webes veszélyforrások elleni védelem webproxy nélkül leállítja a webes fenyegetéseket. A webes veszélyforrások elleni védelem megvédheti az eszközöket, amíg azok a helyszínen vagy távol vannak. A webes veszélyforrások elleni védelem leállítja a hozzáférést a következő típusú webhelyekhez:

  • adathalász webhelyek
  • kártevővektorok
  • biztonsági rés kiaknázása
  • nem megbízható vagy alacsony hírnevű webhelyek
  • az egyéni mutatólistában letiltott webhelyek

A Web Protection a webes fenyegetésészleléseket jelenti.

További információ: A szervezet védelme a webes fenyegetésekkel szemben

Egyéni biztonsági rések mutatói

A biztonsági rések (IoC-k) egyeztetésének mutatója minden végpontvédelmi megoldás alapvető funkciója. Ez a képesség lehetővé teszi a SecOps számára, hogy beállítsa az észlelés és a blokkolás (megelőzés és reagálás) mutatóinak listáját.

Létrehozás az entitások észlelését, megelőzését és kizárását meghatározó mutatókat. Megadhatja a végrehajtandó műveletet, valamint a művelet alkalmazásának időtartamát, valamint annak az eszközcsoportnak a hatókörét, amelyre alkalmazni szeretné.

Jelenleg a végponthoz készült Defender felhőészlelési motorja, az automatizált vizsgálati és szervizelési motor, valamint a végpontmegelőző motor (Microsoft Defender víruskereső) támogatott források.

Hálózati védelem URL-cím vagy tartományjelző hozzáadása.

További információ: IP-címek és URL-címek/tartományok mutatóinak Létrehozás.

Webes tartalom szűrése

A webes tartalomszűrés a Végponthoz készült Microsoft Defender és Microsoft Defender Vállalati verzió webvédelmi funkcióinak része. A webes tartalomszűrés lehetővé teszi a szervezet számára a webhelyekhez való hozzáférés nyomon követését és szabályozását a tartalomkategóriák alapján. Ezen webhelyek nagy része (még akkor is, ha nem rosszindulatú) problémás lehet a megfelelőségi szabályok, a sávszélesség-használat vagy más problémák miatt.

Konfigurálja az eszközcsoportokra vonatkozó szabályzatokat bizonyos kategóriák letiltásához. A kategória letiltása megakadályozza, hogy a megadott eszközcsoportok felhasználói hozzáférjenek a kategóriához társított URL-címekhez. Minden olyan kategória esetében, amely nincs letiltva, a rendszer automatikusan naplózhatja az URL-címeket. A felhasználók megszakítás nélkül érhetik el az URL-címeket, ön pedig hozzáférési statisztikákat gyűjt, amelyek segítenek az egyénibb szabályzattal kapcsolatos döntések meghozatalában. A felhasználók blokkértesítést látnak, ha a megtekintett lap egyik eleme hívásokat kezdeményez egy blokkolt erőforráshoz.

A webes tartalomszűrés a fő webböngészőkben érhető el, a Network Protection által végrehajtott blokkokkal (Safari, Chrome, Firefox, Brave és Opera). További információ a böngészők támogatásáról: Előfeltételek.

Hálózati védelem webes tartalomszűrési szabályzat hozzáadása.

További információ a jelentéskészítésről: Webes tartalomszűrés.

Microsoft Defender for Cloud Apps

A Microsoft Defender for Cloud Apps/Cloud App Catalog azonosítja azokat az alkalmazásokat, amelyeket figyelmeztetni szeretne a végfelhasználóknak, amikor a végponthoz Microsoft Defender XDR férnek hozzá, és figyeltként jelöli meg őket. A figyelt alkalmazások alatt felsorolt tartományok később szinkronizálva lesznek a végpont Microsoft Defender XDR:

A hálózatvédelem által figyelt alkalmazásokat jeleníti meg.

10–15 percen belül ezek a tartományok Microsoft Defender XDR a Indicators > URLLs/Domains with Action=Warn területen találhatók. A kényszerítési SLA-n belül (lásd a cikk végén található részleteket) a végfelhasználók figyelmeztető üzeneteket kapnak, amikor megpróbálnak hozzáférni ezekhez a tartományokhoz:

Az URL-címekre vagy a tartományokra vonatkozó figyelmeztetés hálózati védelmi jelzőit jeleníti meg.

Amikor a végfelhasználó megpróbál hozzáférni a figyelt tartományokhoz, a Végponthoz készült Defender figyelmezteti őket.

  • A felhasználó egy egyszerű blokkfelületet kap, amelyhez a következő bejelentési üzenet tartozik, amelyet az operációs rendszer jelenít meg, beleértve a letiltott alkalmazás nevét (például Blogger.com)

    A végfelhasználói hálózatvédelmi tartalom letiltott bejelentési értesítését jeleníti meg.

Ha a végfelhasználó blokkot észlel, két lehetséges megoldással rendelkezik:

Felhasználó megkerülése

  • A bejelentési üzenet megjelenítéséhez nyomja le a Tiltás feloldása gombot. A weboldal újrabetöltésével a felhasználó folytathatja és használhatja a felhőalkalmazást. (Ez a művelet a következő 24 órára érvényes, amely után a felhasználónak újra fel kell oldania a tiltást)

Felhasználói oktatás

  • A bejelentési üzenet élményéhez: Nyomja le magát a bejelentési üzenetet. A végfelhasználót a rendszer globálisan átirányítja egy egyéni átirányítási URL-címre Microsoft Defender for Cloud Apps (További információ a lap alján)

Megjegyzés:

Követési megkerülés alkalmazásonként** – Nyomon követheti, hogy hány felhasználó kerülhette meg a figyelmeztetést a Microsoft Defender for Cloud Apps Alkalmazás lapján.

A hálózatvédelem felhőalkalmazás-biztonsági áttekintését jeleníti meg.

Függelék

Végfelhasználói oktatási központ SharePoint-webhelysablon

Számos szervezet számára fontos, hogy a Microsoft Defender for Cloud Apps által biztosított felhőbeli vezérlőket vegye igénybe, és ne csak szükség esetén korlátozza a végfelhasználókat, hanem az alábbiakról is tájékoztassa és tájékoztassa őket:

  • az adott incidens
  • miért történt
  • mi a döntés mögötti gondolkodás?
  • hogyan csökkenthető a blokkwebhelyek észlelése

Ha váratlan viselkedéssel szembesül, a felhasználók zavarai a lehető legtöbb információval csökkenthetők, nemcsak azért, hogy elmagyarázzák, mi történt, hanem arra is, hogy a következő alkalommal, amikor kiválasztanak egy felhőalkalmazást, hogy befejezzék a feladatukat. Ezek az információk például a következők lehetnek:

  • Szervezeti biztonsági és megfelelőségi szabályzatok és irányelvek az internet- és felhőhasználathoz
  • Jóváhagyott/ajánlott felhőalkalmazások használata
  • Korlátozott/letiltott felhőalkalmazások használata

Ehhez a laphoz azt javasoljuk, hogy szervezete egy alapszintű SharePoint-webhelyet használjon.

Fontos tudnivalók

  1. Az alkalmazástartományok propagálása és frissítése a végponteszközökben akár két órát is igénybe vehet (általában kevesebbet), miután a figyeltként van megjelölve.
  2. Alapértelmezés szerint a rendszer minden olyan alkalmazásra és tartományra vonatkozóan végrehajtja a műveletet, amely Microsoft Defender for Cloud Apps portálon figyeltként lett megjelölve a szervezet összes előkészített végpontja esetében.
  3. A teljes URL-címek jelenleg nem támogatottak, és nem lesznek elküldve az Microsoft Defender for Cloud Apps-ből a végpont Microsoft Defender XDR, ha a teljes URL-címek a Microsoft Defender for Cloud Apps figyelt alkalmazások, így a rendszer nem figyelmezteti a felhasználót a hozzáférési kísérletre (például google.com/drive nem támogatott, míg drive.google.com támogatott).

Nincs végfelhasználói értesítés harmadik féltől származó böngészőkben? Ellenőrizze a bejelentési üzenet beállításait.

Lásd még

Tipp

Szeretne többet megtudni? Engage a Microsoft biztonsági közösségével a technikai közösségünkben: Végponthoz készült Microsoft Defender Tech Community.