Proteção de rede para macOS

Aplica-se a:

• Microsoft Microsoft Defender XDR for Endpoint Plan 1
• Microsoft Microsoft Defender XDR for Endpoint Plan 2
• Microsoft Defender XDR

Visão Geral

A proteção de rede da Microsoft ajuda a reduzir a superfície de ataque de seus dispositivos de eventos baseados na Internet. Ele impede que os funcionários usem qualquer aplicativo para acessar domínios perigosos que possam hospedar:

• golpes de phishing
• Explora
• outro conteúdo mal-intencionado na Internet

A proteção de rede expande o escopo de Microsoft Defender XDR SmartScreen para bloquear todo o tráfego HTTP(s) de saída que tenta se conectar a fontes de baixa reputação. Os blocos no tráfego HTTP(s) de saída são baseados no domínio ou nome do host.

Disponibilidade

A Proteção de Rede para macOS agora está disponível para todos os Microsoft Defender para Ponto de Extremidade dispositivos macOS integrados que atendem aos requisitos mínimos. Todas as políticas de Proteção de Rede e Proteção contra Ameaças da Web atualmente configuradas são impostas em dispositivos macOS em que a Proteção de Rede está configurada para o modo de bloco.

Para implantar a Proteção de Rede para macOS, recomendamos as seguintes ações:

• Create um grupo de dispositivos para um pequeno conjunto de dispositivos que você pode usar para testar a Proteção de Rede.
• Avalie o impacto da Proteção contra Ameaças da Web, indicadores personalizados de comprometimento, filtragem de conteúdo da Web e políticas de imposição de Microsoft Defender para Aplicativos de Nuvem que visam os dispositivos macOS em que a Proteção de Rede está no modo Bloquear.
• Implante uma política de auditoria ou modo de bloco para esse grupo de dispositivos e verifique se não há problemas ou fluxos de trabalho quebrados.
• Implantar gradualmente a Proteção de Rede em um conjunto maior de dispositivos até a implantação.

Recursos atuais

• Indicadores personalizados de comprometimento em domínios e IPs.
• Suporte à Filtragem de Conteúdo da Web:
  • Bloquear categorias de site com escopo para grupos de dispositivos por meio de políticas criadas no portal Microsoft Defender.
  • As políticas são aplicadas a navegadores, incluindo Chromium Microsoft Edge para macOS.
• Caça Avançada – Os eventos de rede são refletidos na Linha do Tempo do Computador e podem ser consultados na Caça Avançada para ajudar nas investigações de segurança.
• Microsoft Defender for Cloud Apps:
  • Descoberta de TI de sombra – identifique quais aplicativos estão sendo usados em sua organização.
  • Bloquear aplicativos – bloquear aplicativos inteiros (como Slack e Facebook) de serem usados em sua organização.
• VPN corporativa em conjunto ou lado a lado com a Proteção de Rede:
  • Atualmente, nenhum conflito de VPN é identificado.
  • Se você tiver conflitos, poderá fornecer comentários por meio do canal de comentários listado na parte inferior desta página.

Problemas conhecidos

• O UX block/Warn não é personalizável e pode exigir outras alterações de aparência. (Os comentários do cliente estão sendo coletados para promover melhorias de design)
• Há um problema de incompatibilidade de aplicativo conhecido com o recurso "Túnel por Aplicativo" do VMware. (Essa incompatibilidade pode resultar em uma incapacidade de bloquear o tráfego que passa pelo "Túnel por Aplicativo".
• Há um problema de incompatibilidade de aplicativo conhecido com o Proxy blue coat. (Essa incompatibilidade pode resultar em falhas na camada de rede em aplicativos não relacionados quando o Proxy blue coat e a Proteção de Rede estão habilitados.)

Notas importantes

• Não recomendamos controlar a proteção de rede contra preferências do sistema usando o botão Desconectar. Em vez disso, use a ferramenta de linha de comando mdatp ou JAMF/Intune para controlar a proteção de rede para macOS.
• Para avaliar a eficácia da proteção contra ameaças da Web do macOS, recomendamos experimentá-la em navegadores diferentes do Microsoft Edge para macOS (por exemplo, Safari). O Microsoft Edge para macOS tem proteção interna contra ameaças na Web que está habilitada independentemente do recurso de proteção de rede Mac que você está avaliando, está ativado ou não.

Observação

No momento, o Microsoft Edge para macOS não dá suporte a filtragem de conteúdo da Web, indicadores personalizados ou outros recursos corporativos. No entanto, a proteção de rede fornecerá essa proteção ao Microsoft Edge para macOS se a proteção de rede estiver habilitada.

Pré-requisitos

• Licenciamento: Microsoft Defender XDR para o Plano de Ponto de Extremidade 1 ou Microsoft Defender XDR para o Plano de Ponto de Extremidade 2 (pode ser julgado)
• Máquinas integradas:
  • Versão mínima do macOS: 11
  • Versão do produto 101.94.13 ou posterior

Instruções de implantação

Microsoft Defender XDR para Ponto de Extremidade

Instale a versão mais recente do produto por meio do Microsoft AutoUpdate. Para abrir o Microsoft AutoUpdate, execute o seguinte comando no Terminal:

open /Library/Application\ Support/Microsoft/MAU2.0/Microsoft\ AutoUpdate.app

Configure o produto com suas informações de organização usando as instruções em nossa documentação pública.

A proteção de rede está desabilitada por padrão, mas pode ser configurada para ser executada em um dos seguintes modos (também chamados de níveis de imposição):

• Auditoria: útil para garantir que ele não afete aplicativos de linha de negócios ou tenha uma ideia da frequência com que os blocos ocorrem
• Bloquear: a proteção de rede impede a conexão com sites mal-intencionados
• Desabilitado: todos os componentes associados à proteção de rede estão desabilitados

Você pode implantar esse recurso de uma das seguintes maneiras: manualmente, por meio do JAMF ou por meio de Intune. As seções a seguir descrevem cada um desses métodos em detalhes.

Implantação manual

Para configurar o nível de imposição, execute o seguinte comando no Terminal:

mdatp config network-protection enforcement-level --value [enforcement-level]

Por exemplo, para configurar a proteção de rede para ser executada no modo de bloqueio, execute o seguinte comando:

mdatp config network-protection enforcement-level --value block

Para confirmar se a proteção de rede foi iniciada com êxito, execute o seguinte comando do Terminal e verifique se ela imprime "started":

mdatp health --field network_protection_status

Implantação do JAMF

Uma implantação jamf bem-sucedida requer um perfil de configuração para definir o nível de aplicação da proteção de rede. Depois de criar esse perfil de configuração, atribua-o aos dispositivos em que deseja habilitar a proteção de rede.

Configurar o nível de imposição

Observação: se você já tiver configurado Microsoft Defender XDR para Ponto de Extremidade no Mac usando as instruções listadas aqui, atualize o arquivo plist que você implantou anteriormente com o conteúdo listado abaixo e reimplante-o do JAMF.

1. EmPerfis de Configuração deComputadores>, selecione Opções>Aplicativos & Configurações Personalizadas
2. Selecione Carregar Arquivo (arquivo PLIST)
3. Definir domínio de preferência como com.microsoft.wdav
4. Carregar o arquivo plist a seguir

<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1.0">
<dict>
    <key>networkProtection</key>
    <dict>
        <key>enforcementLevel</key>
        <string>block</string>
    </dict>
</dict>
</plist>

implantação Intune

Uma implantação de Intune bem-sucedida requer um perfil de configuração para definir o nível de aplicação da proteção de rede. Depois de criar esse perfil de configuração, atribua-o aos dispositivos em que deseja habilitar a proteção de rede.

Configurar o nível de imposição usando Intune

Observação

Se você já tiver configurado Microsoft Defender para Ponto de Extremidade no Mac usando as instruções anteriores (com um arquivo XML), remova a política de configuração personalizada anterior e substitua-a pelas instruções abaixo.

1. Abra Gerenciar>configuração do dispositivo. Selecione Gerenciar>Perfis>Create Perfil.
2. Alterar a plataforma para o macOS e o tipo de perfil para o catálogo Configurações. Selecione Criar.
3. Especifique um nome para o perfil.
4. Na tela Configuração de configurações , selecione Adicionar configurações. Selecione Microsoft Defender>A proteçãonetwork e marque a caixa de seleção nível De execução.
5. Defina o nível de aplicação como bloqueado. Selecione Avançar
6. Abra o perfil de configuração e carregue o arquivo com.microsoft.wdav.xml. (Esse arquivo foi criado na etapa 3.)
7. Selecione OK
8. Selecione Gerenciar>Atribuições. Na guia Incluir , selecione os dispositivos para os quais você deseja habilitar a proteção de rede.

Implantação de configuração móvel

Para implantar a configuração por meio de um arquivo .mobileconfig, que pode ser usado com soluções não Microsoft MDM ou distribuídas diretamente para dispositivos:

1. Salvar o conteúdo a seguir como com.microsoft.wdav.xml.mobileconfig

   <?xml version="1.0" encoding="utf-8"?>
   <!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
   <plist version="1">
       <dict>
           <key>PayloadUUID</key>
           <string>C4E6A782-0C8D-44AB-A025-EB893987A295</string>
           <key>PayloadType</key>
           <string>Configuration</string>
           <key>PayloadOrganization</key>
           <string>Microsoft</string>
           <key>PayloadIdentifier</key>
           <string>com.microsoft.wdav</string>
           <key>PayloadDisplayName</key>
           <string>Microsoft Defender ATP settings</string>
           <key>PayloadDescription</key>
           <string>Microsoft Defender ATP configuration settings</string>
           <key>PayloadVersion</key>
           <integer>1</integer>
           <key>PayloadEnabled</key>
           <true/>
           <key>PayloadRemovalDisallowed</key>
           <true/>
           <key>PayloadScope</key>
           <string>System</string>
           <key>PayloadContent</key>
           <array>
               <dict>
                   <key>PayloadUUID</key>
                   <string>99DBC2BC-3B3A-46A2-A413-C8F9BB9A7295</string>
                   <key>PayloadType</key>
                   <string>com.microsoft.wdav</string>
                   <key>PayloadOrganization</key>
                   <string>Microsoft</string>
                   <key>PayloadIdentifier</key>
                   <string>com.microsoft.wdav</string>
                   <key>PayloadDisplayName</key>
                   <string>Microsoft Defender ATP configuration settings</string>
                   <key>PayloadDescription</key>
                   <string/>
                   <key>PayloadVersion</key>
                   <integer>1</integer>
                   <key>PayloadEnabled</key>
                   <true/>
                   <key>networkProtection</key>
                   <dict>
                       <key>enforcementLevel</key>
                       <string>block</string>
                   </dict>
               </dict>
           </array>
       </dict>
   </plist>
   

2. Verifique se o arquivo acima foi copiado corretamente. No Terminal, execute o seguinte comando e verifique se ele gera OK:

   plutil -lint com.microsoft.wdav.xml
   

Como explorar os recursos

1. Saiba como proteger sua organização contra ameaças da Web usando a proteção contra ameaças da Web.

   • A proteção contra ameaças da Web faz parte da proteção da Web no Microsoft Defender para Ponto de Extremidade. Ele usa a proteção de rede para proteger seus dispositivos contra ameaças da Web.

2. Execute o fluxo Indicadores Personalizados de Comprometimento para obter blocos no tipo Indicador Personalizado.

3. Explore a filtragem de conteúdo da Web.

   Observação

   Se você estiver removendo uma política ou alterando grupos de dispositivos ao mesmo tempo, isso poderá causar um atraso na implantação da política. Dica pro: você pode implantar uma política sem selecionar nenhuma categoria em um grupo de dispositivos. Essa ação criará uma política somente de auditoria para ajudar você a entender o comportamento do usuário antes de criar uma política de bloco.

   Há suporte para a criação do grupo de dispositivos no Plano 1 e no Plano 2 do Defender para Ponto de Extremidade.

4. Integrar Microsoft Defender para Ponto de Extremidade ao Defender para Aplicativos de Nuvem e seus dispositivos macOS habilitados para proteção de rede têm recursos de aplicação da política de ponto de extremidade.

   Observação

   Atualmente, não há suporte para descoberta e outros recursos nessas plataformas.

Cenários

Há suporte para os cenários a seguir.

Proteção contra ameaças da Web

A proteção contra ameaças da Web faz parte da proteção da Web no Microsoft Defender XDR para Ponto de Extremidade. Ele usa a proteção de rede para proteger seus dispositivos contra ameaças da Web. Ao integrar-se ao Microsoft Edge para macOS e navegadores populares que não são da Microsoft, como Chrome e Firefox, a proteção contra ameaças da Web interrompe ameaças da Web sem um proxy da Web. A proteção contra ameaças da Web pode proteger dispositivos enquanto eles estão no local ou fora. A proteção contra ameaças da Web interrompe o acesso aos seguintes tipos de sites:

• sites de phishing
• vetores de malware
• explorar sites
• sites não confiáveis ou de baixa reputação
• sites bloqueados em sua lista de indicadores personalizados

Para obter mais informações, consulte Proteger sua organização contra ameaças da Web

Indicadores personalizados de comprometimento

A correspondência do indicador de comprometimento (IoCs) é um recurso essencial em cada solução de proteção de ponto de extremidade. Essa funcionalidade fornece ao SecOps a capacidade de definir uma lista de indicadores para detecção e para bloqueio (prevenção e resposta).

Create indicadores que definem a detecção, prevenção e exclusão de entidades. Você pode definir a ação a ser tomada, bem como a duração de quando aplicar a ação e o escopo do grupo de dispositivos para aplicá-la.

Atualmente, as fontes com suporte são o mecanismo de detecção de nuvem do Defender para Ponto de Extremidade, o mecanismo automatizado de investigação e correção e o mecanismo de prevenção de ponto de extremidade (Microsoft Defender Antivírus).

Para obter mais informações, consulte: Create indicadores para IPs e URLs/domains.

Filtragem de conteúdo da Web

A filtragem de conteúdo da Web faz parte dos recursos de proteção da Web em Microsoft Defender para Ponto de Extremidade e Microsoft Defender para Empresas. A filtragem de conteúdo da Web permite que sua organização acompanhe e regular o acesso a sites com base em suas categorias de conteúdo. Muitos desses sites (mesmo que não sejam mal-intencionados) podem ser problemáticos devido a regulamentos de conformidade, uso de largura de banda ou outras preocupações.

Configure políticas em seus grupos de dispositivos para bloquear determinadas categorias. Bloquear uma categoria impede que usuários em grupos de dispositivos especificados acessem URLs associadas à categoria. Para qualquer categoria que não esteja bloqueada, as URLs são auditadas automaticamente. Seus usuários podem acessar as URLs sem interrupções e você coleta estatísticas de acesso para ajudar a criar uma decisão de política mais personalizada. Seus usuários verão uma notificação de bloco se um elemento na página que eles estão exibindo estiver fazendo chamadas para um recurso bloqueado.

A filtragem de conteúdo da Web está disponível nos principais navegadores da Web, com blocos executados pela Proteção de Rede (Safari, Chrome, Firefox, Brave e Opera). Para obter mais informações sobre o suporte ao navegador, consulte Pré-requisitos.

Para obter mais informações sobre relatórios, consulte Filtragem de conteúdo da Web.

Microsoft Defender for Cloud Apps

O catálogo de aplicativos Microsoft Defender para Aplicativos de Nuvem /Cloud identifica aplicativos que você gostaria que os usuários finais fossem avisados ao acessar com Microsoft Defender XDR para Ponto de Extremidade e marcá-los como Monitorados. Os domínios listados em aplicativos monitorados seriam sincronizados posteriormente com Microsoft Defender XDR para Ponto de Extremidade:

Dentro de 10 a 15 minutos, esses domínios são listados em Microsoft Defender XDR em URLs/Domínios > de Indicadores com Action=Warn. No SLA de imposição (confira detalhes no final deste artigo), os usuários finais estão recebendo mensagens de aviso ao tentar acessar esses domínios:

Quando o usuário final está tentando acessar domínios monitorados, ele é avisado pelo Defender para Ponto de Extremidade.

• O usuário obtém uma experiência de bloco simples acompanhada da seguinte mensagem de brinde, que é exibida pelo sistema operacional, incluindo o nome do aplicativo bloqueado (por exemplo, Blogger.com)

  

Se o usuário final encontrar um bloco, o usuário terá duas resoluções possíveis:

Bypass do usuário

• Para experiência de mensagem de torrada: pressione o botão Desbloquear. Ao recarregar a página da Web, o usuário pode continuar e usar o aplicativo de nuvem. (Essa ação é aplicável para as próximas 24 horas, após as quais o usuário precisa desbloquear mais uma vez)

Educação do usuário

• Para experiência de mensagem de brinde: pressione a mensagem de brinde em si. O usuário final é redirecionado para um conjunto de URL de redirecionamento personalizado globalmente em Microsoft Defender para Aplicativos de Nuvem (Mais informações na parte inferior desta página)

Observação

Controle de bypasss por aplicativo** – Você pode rastrear quantos usuários ignoraram o aviso na página Aplicativo em Microsoft Defender para Aplicativos de Nuvem.

Apêndice

Modelo de site do centro de educação do usuário final do SharePoint

Para muitas organizações, é importante usar os controles de nuvem fornecidos pelo Microsoft Defender para Aplicativos de Nuvem e não apenas definir limitações nos usuários finais quando necessário, mas também educá-los e treine-os sobre:

• o incidente específico
• por que aconteceu
• qual é o pensamento por trás dessa decisão
• como encontrar sites de blocos pode ser atenuado

Ao enfrentar um comportamento inesperado, a confusão dos usuários pode ser reduzida fornecendo-lhes o máximo de informações possível, não apenas para explicar sobre o que aconteceu, mas também para educá-los a serem mais conscientes na próxima vez que escolherem um aplicativo de nuvem para concluir seu trabalho. Por exemplo, essas informações podem incluir:

• Políticas e diretrizes de segurança e conformidade da organização para uso na internet e na nuvem
• Aplicativos de nuvem aprovados/recomendados para uso
• Aplicativos de nuvem restritos/bloqueados para uso

Para esta página, recomendamos que sua organização use um site básico do SharePoint.

Coisas importantes para saber

1. Pode levar até duas horas (normalmente menos) para os domínios de aplicativo se propagarem e serem atualizados nos dispositivos de ponto de extremidade, depois de marcados como Monitorados.
2. Por padrão, a ação é tomada para todos os aplicativos e domínios que foram marcados como Monitorados em Microsoft Defender para Aplicativos de Nuvem portal para todos os pontos de extremidade integrados na organização.
3. No momento, não há suporte para URLs completas e não serão enviadas de Microsoft Defender para Aplicativos de Nuvem para Microsoft Defender XDR para Ponto de Extremidade, se quaisquer URLs completas forem listadas em Microsoft Defender para Aplicativos de Nuvem Aplicativos monitorados, portanto, o usuário não será avisado sobre a tentativa de acesso (por exemplo, não há suporte para google.com/drive, enquanto drive.google.com tiver suporte).

Nenhuma notificação do usuário final em navegadores de terceiros? Verifique as configurações da mensagem de brinde.

Confira também

• Microsoft Defender XDR para Ponto de Extremidade no Mac
• Microsoft Defender XDR para integração do Ponto de Extremidade ao Microsoft Microsoft Defender XDR for Cloud Apps
• Conhecer os recursos inovadores no Microsoft Edge
• Proteger sua rede
• Ativar a proteção de rede
• Proteção da Web
• Criar indicadores
• Filtragem de conteúdo da Web

Dica

Você deseja aprender mais? Engage com a comunidade de Segurança da Microsoft em nossa Comunidade Tecnológica: Microsoft Defender para Ponto de Extremidade Tech Community.