Compartilhar via

Como configurar a inteligência contra ameaças do Acesso Seguro Global (versão prévia)

A inteligência contra ameaças permite que você proteja seus usuários contra o acesso a destinos mal-intencionados na Internet, com base em dados em tempo real sobre ameaças atuais.

Você pode configurar uma política de inteligência sobre ameaças para bloquear usuários de destinos maliciosos conhecidos de alta gravidade. Nesta política, o Acesso à Internet do Microsoft Entra bloqueia o tráfego com base em indicadores de domínio e URL de provedores de inteligência contra ameaças da Microsoft e de terceiros. Com o mecanismo de regra de inteligência contra ameaças, você também pode configurar listas de autorização para lidar com falsos positivos. Todas essas políticas podem se tornar contextuais com a estrutura de Perfil de Segurança, vinculando políticas de segurança do GSA (Acesso Seguro Global) ao Acesso Condicional.

Pré-requisitos

  • Os administradores que interagem com recursos de Acesso Global Seguro devem ter uma ou mais das seguintes atribuições de função, dependendo das tarefas que estiverem executando.
  • Conclua o guia Introdução ao Acesso Seguro Global .
  • Instale o cliente de Acesso Seguro Global em dispositivos de usuário final.
  • Você deve desabilitar o DNS sobre HTTPS (DNS Seguro) para o tunelamento de tráfego de rede. Use as regras dos FQDNs (nomes de domínio totalmente qualificados) no perfil de encaminhamento de tráfego. Para obter mais informações, consulte Configurar o cliente DNS para dar suporte ao DoH.
  • Desabilite o cliente DNS interno no Chrome e no Microsoft Edge.
  • O tráfego IPv6 não é adquirido pelo cliente e, portanto, é transferido diretamente para a rede. Para habilitar todo o tráfego relevante a ser tunelado, defina as propriedades do adaptador de rede como IPv4 preferencial.
  • O tráfego UDP (User Datagram Protocol) (ou seja, QUIC) não tem suporte na versão prévia atual do Internet Access. A maioria dos sites dá suporte ao fallback para o Protocolo de Controle de Transmissão (TCP) quando o QUIC não pode ser estabelecido. Para obter uma experiência de usuário aprimorada, você pode implantar uma regra de Firewall do Windows que bloqueia o UDP 443 de saída:
@New-NetFirewallRule -DisplayName "Block QUIC" -Direction Outbound -Action Block -Protocol UDP  -RemotePort 443

Etapas de alto nível

Há várias etapas para configurar a inteligência contra ameaças. Anote onde você precisa configurar uma política de Acesso Condicional.

  1. Habilitar o encaminhamento de tráfego da Internet.
  2. Crie uma política de inteligência contra ameaças.
  3. Configure sua lista de permissões (opcional).
  4. Crie um perfil de segurança.
  5. Vincule o perfil de segurança a uma política de Acesso Condicional.

Habilitar o encaminhamento de tráfego da Internet

A primeira etapa é habilitar o perfil de encaminhamento de tráfego do Internet Access. Para saber mais sobre o perfil e como habilitá-lo, confira Como gerenciar o perfil de encaminhamento de tráfego do Internet Access.

Você pode definir o escopo do perfil do Internet Access para usuários e grupos específicos. Para saber mais sobre a atribuição de usuários e grupos, confira Como atribuir e gerenciar usuários e grupos com perfis de encaminhamento de tráfego.

Criar uma política de inteligência contra ameaças

  1. Navegue até Global Secure Access>Secure>Threat Intelligence Policies.
  2. Selecione Criar política.
  3. Insira um nome e uma descrição para a política e selecione Avançar.
  4. A ação padrão para inteligência contra ameaças é "Permitir". Isso significa que, se o tráfego não corresponder a uma regra na política de inteligência contra ameaças, o mecanismo de política permitirá que o tráfego vá para o próximo controle de segurança.
  5. Selecione Avançar e Examine sua nova política de inteligência contra ameaças.
  6. Selecione Criar

Importante

Essa política é criada com uma regra que bloqueia o acesso a destinos em que são detectadas ameaças de alta gravidade. A Microsoft define ameaças graves como domínios ou URLs associados a distribuição ativa de malware, campanhas de phishing, infraestrutura de comando e controle (C2) e outras ameaças, identificados pela Microsoft e por fontes de inteligência contra ameaças de terceiros com alta confiança.

Configurar sua lista de permissões (opcional)

Se você estiver ciente de sites que podem ser comercialmente críticos ou rotulados como falsos positivos, poderá configurar regras que permitem esses sites. Observe os riscos de segurança envolvidos com essa ação, pois o cenário de ameaças à Internet está em constante mudança.

  1. Em Global Secure Access>Políticas de Inteligência de Ameaças Seguras>, selecione sua política de inteligência de ameaças escolhida.
  2. Selecione Regras.
  3. Selecione Adicionar regra.
  4. Insira um nome, uma descrição, uma prioridade e um status para a regra.
  5. Edite FQDNs de Destino e selecione a lista de domínios para sua lista de autorização. Você pode inserir esses FQDNs como domínios separados por vírgulas.
  6. Selecione Adicionar.

Criar um perfil de segurança ou configurar o perfil de linha de base

Os perfis de segurança são um agrupamento de controles de segurança, como filtragem de conteúdo da Web e políticas de inteligência contra ameaças. Você pode atribuir ou vincular perfis de segurança com políticas de Acesso Condicional do Microsoft Entra. Um perfil de segurança pode conter uma política de cada tipo.

Nesta etapa, você criará um perfil de segurança para agrupar políticas de filtragem, como filtragem de conteúdo da Web e/ou inteligência contra ameaças. Em seguida, você atribui ou vincula os perfis de segurança a uma política de acesso condicional para torná-los conscientes do usuário ou do contexto.

Como a inteligência contra ameaças é essencial para a postura básica de segurança dos usuários, você pode, como alternativa, vincular sua política de inteligência contra ameaças ao perfil de segurança de linha de base, que aplica a política ao tráfego de todos os usuários em seu locatário.

Observação

Você só pode configurar a política de inteligência contra ameaças por perfil de segurança. As prioridades de regra em cada controle de segurança lidam com exceções, e os controles de segurança seguem a ordenação, (1) inspeção TLS > (2) filtragem de conteúdo da Web > (3) Inteligência de ameaças > (4) Tipo de arquivo > (5) Prevenção contra perda de dados > (6) Terceiros

  1. Navegue até Acesso Seguro Global>Seguro>Perfis de segurança.
  2. Selecione Criar perfil.
  3. Insira um nome e uma descrição para o perfil e selecione Avançar.
  4. Selecione Vincular uma política e selecione a política de inteligência contra ameaças existente.
  5. Selecione a política de inteligência contra ameaças que você já criou e selecione Adicionar.
  6. Selecione Avançar para examinar o perfil de segurança e a política associada.
  7. Selecione Criar perfil.
  8. Selecione Atualizar para exibir o novo perfil.

Crie uma política de Acesso Condicional para usuários finais ou grupos e forneça seu perfil de segurança por meio de controles de Sessão de Acesso Condicional. O Acesso Condicional é o mecanismo de entrega para reconhecimento de usuário e contexto para políticas de Acesso à Internet.

  1. Navegue até Identidade>Proteção>Acesso Condicional.
  2. Selecione Criar nova política.
  3. Insira um nome e atribua um usuário ou grupo.
  4. Selecione Recursos de destino e todos os recursos da Internet com Acesso Seguro Global.
  5. Selecione Sessão>Usar perfil de segurança do Acesso Seguro Global e escolha um perfil de segurança.
  6. Selecione Selecionar.
  7. Na seção Habilitar política , verifique se Ativar está selecionado.
  8. Selecione Criar.

Observação

A aplicação de um novo perfil de segurança pode levar de 60 a 90 minutos porque os perfis de segurança são impostos por meio de tokens de acesso.

Observação

Para agilizar as alterações de configuração de Acesso Condicional para teste, revogue as sessões de usuário no Centro de Administração do Entra ( selecione Revogar sessões na página de visão geral do usuário). Isso força os usuários a obter novos tokens com políticas atualizadas. Saiba mais sobre a Avaliação Contínua de Acesso.

Verificar a aplicação da política do usuário final

Use um dispositivo Windows com o cliente de Acesso Seguro Global instalado. Entre como um usuário designado para o perfil de aquisição de tráfego da Internet. Teste se a navegação em sites mal-intencionados está bloqueada conforme o esperado.

Observação

Depois de configurar uma política de inteligência contra ameaças, talvez seja necessário limpar o cache do navegador para validar a imposição da política.

  1. Clique com o botão direito do mouse no ícone do cliente Global Secure Access na bandeja do gerenciador de tarefas e abra Diagnósticos Avançados>perfil de Encaminhamento. Verifique se as regras de aquisição de acesso à Internet estão presentes.
  2. Navegue até um site mal-intencionado conhecido (por exemplo, entratestthreat.com ou smartscreentestratings2.NET). Verifique se você está bloqueado e se o campo Tipo de Ameaça não está vazio nos logs de tráfego. Os logs de tráfego podem levar até 5 minutos para aparecer no portal.
  3. Se bloqueado pelo Windows Defender ou SmartScreen, sobreponha e acesse o site para testar a mensagem de bloqueio do Global Secure Access. Você pode fazer isso escolhendo "Continuar para o site não seguro (não recomendado)" em "Mais informações".
  4. Para testar a listagem de permissões, crie uma regra na política de Inteligência contra Ameaças para permitir o acesso ao site. Dentro de 2 minutos, você deve ser capaz de acessá-lo. (Talvez seja necessário limpar o cache do navegador.)
  5. Avalie o restante do feed de ameaças em relação aos indicadores de ameaça conhecidos.

Captura de tela mostrando um erro do navegador para tráfego HTTP não criptografado ou que passou por inspeção de TLS.

Cuidado

Os testes com sites mal-intencionados reais devem ser executados em uma área restrita ou ambiente de teste para proteger seu dispositivo e sua empresa.

Próximas etapas

  • Last updated on