Aracılığıyla paylaş

Linux için ağ koruması

  • Makale

Önemli

Bazı bilgiler, ticari olarak piyasaya sürülmeden önce önemli ölçüde değiştirilebilen önceden yayımlanmış ürünle ilgilidir. Microsoft, burada sağlanan bilgilerle ilgili olarak açık veya zımni hiçbir garanti vermez.

Genel bakış

Microsoft, Ağ Koruması işlevselliğini Linux'a getiriyor.

Ağ koruması, cihazlarınızın saldırı yüzeyini İnternet tabanlı olaylardan azaltmaya yardımcı olur. Çalışanların aşağıdakileri barındırabilecek tehlikeli etki alanlarına erişmek için herhangi bir uygulama kullanmasını engeller:

  • kimlik avı dolandırıcılığı
  • Patla -tır
  • İnternet'te diğer kötü amaçlı içerikler

Ağ koruması, düşük saygınlık kaynaklarına bağlanmaya çalışan tüm giden HTTP trafiğini engellemek için smartscreen Microsoft Defender kapsamını genişletir. Giden HTTP trafiğindeki bloklar etki alanına veya konak adına bağlıdır.

Linux için web içeriği filtreleme

Linux için Ağ koruması ile test için web içeriği filtrelemeyi kullanabilirsiniz. Bkz. Web içeriği filtreleme.

Bilinen sorunlar

  • Ağ Koruması, sanal özel ağ (VPN) tüneli olarak uygulanır. Özel nftables/iptables betiklerini kullanan gelişmiş paket yönlendirme seçenekleri mevcuttur.
  • Block/Warn UX kullanılamıyor (Daha fazla tasarım geliştirmesi sağlamak için müşteri geri bildirimleri toplanıyor)

Not

Linux'un çoğu sunucu yüklemesinde grafik kullanıcı arabirimi ve web tarayıcısı bulunmaz. Linux ile Linux Web Tehdit Koruması'nın etkinliğini değerlendirmek için, grafik kullanıcı arabirimi ve web tarayıcısı ile üretim dışı bir sunucuda test etmenizi öneririz.

Önkoşullar

  • Lisanslama: Windows olmayan platformlar için Uç Nokta için Microsoft Defender bulunan Uç Nokta için Microsoft Defender kiracı (deneme olabilir) ve platforma özgü gereksinimler
  • Eklenen Makineler:
    • En düşük Linux sürümü: Desteklenen dağıtımların listesi için bkz. Linux'ta Uç Nokta için Microsoft Defender.
    • Uç Nokta için Microsoft Defender Linux istemci sürümü: Insiders-Slow veya insider-Fast kanalında 101.78.13 veya üzeri.

Önemli

Linux için ağ korumasını değerlendirmek için lütfen "" adresinexplatpreviewsupport@microsoft.com Kuruluş Kimliğiniz ile e-posta gönderin. Özelliği kiracınızda istek temelinde etkinleştireceğiz.

Yönergeler

Linux'ı el ile dağıtma, bkz. Linux'ta Uç Nokta için Microsoft Defender el ile dağıtma

Aşağıdaki örnekte insider-Fast kanalı için ubuntu 20.04 üzerindeki mdatp paketine gereken komut dizisi gösterilmektedir.

curl -o microsoft.list https://packages.microsoft.com/config/ubuntu/20.04/insiders-fast.list
sudo mv ./microsoft.list /etc/apt/sources.list.d/microsoft-insiders-fast.list
sudo apt-get install gpg
curl https://packages.microsoft.com/keys/microsoft.asc | sudo apt-key add -
sudo apt-get install apt-transport-https
sudo apt-get update
sudo apt install -y mdatp

Cihaz Ekleme

Cihazı eklemek için linux sunucusu için Python ekleme paketini Microsoft Defender XDR - Ayarlar -> Cihaz Yönetimi ->> Ekleme ve çalıştırma bölümünden indirmeniz gerekir:

sudo python3 MicrosoftDefenderATPOnboardingLinuxServer.py

Doğrulama

  1. Ağ Koruması'nın her zaman engellenen siteler üzerinde etkisi olup olmadığını denetleyin:

  2. Tanılama günlüklerini inceleme

    sudo mdatp log level set --level debug
sudo tail -f /var/log/microsoft/mdatp/microsoft_defender_np_ext.log

Doğrulama modundan çıkmak için

Ağ korumasını devre dışı bırakın ve ağ bağlantısını yeniden başlatın:

sudo mdatp config network-protection enforcement-level --value disabled

Gelişmiş yapılandırma

Varsayılan olarak, Linux ağ koruması varsayılan ağ geçidinde etkindir; yönlendirme ve tünel oluşturma dahili olarak yapılandırılır. Ağ arabirimlerini özelleştirmek için networkSetupMode parametresini /opt/microsoft/mdatp/conf/ yapılandırma dosyasından değiştirin ve hizmeti yeniden başlatın:

sudo systemctl restart  mdatp

Yapılandırma dosyası, kullanıcının şunları özelleştirmesine de olanak tanır:

  • proxy ayarı
  • SSL sertifika depoları
  • tünel cihazı adı
  • IP
  • ve daha fazlası

Varsayılan değerler, Linux üzerinde Uç Nokta için Microsoft Defender açıklandığı gibi tüm dağıtımlar için test edilmiştir

Microsoft Defender portalı

Ayrıca, Microsoft Defender>Settings Endpoints>>Gelişmiş özelliklerinde'Özel ağ göstergeleri' iki durumlu düğmesinin etkinleştirildiğinden emin olun.

Önemli

Yukarıdaki 'Özel ağ göstergeleri' iki durumlu düğmesi, Windows dahil olmak üzere Ağ Koruması desteğine sahip TÜM platformlar içinÖzel Göstergeler etkinleştirmesini denetler. Göstergelerin zorunlu kılınması için Windows'ta Ağ Koruması'nın da açıkça etkinleştirilmiş olması gerektiğini anımsatıcı.

MEM Profil Oluştur

Özellikleri keşfetme

  1. Web tehdit koruması kullanarak kuruluşunuzu web tehditlerine karşı korumayı öğrenin.

    • Web tehdit koruması, Uç Nokta için Microsoft Defender'da web korumasının bir parçasıdır. Cihazlarınızın web tehditlerine karşı güvenliğini sağlamak için ağ korumasını kullanır.

  2. Özel Gösterge türündeki blokları almak için Özel Risk Göstergeleri akışında ilerleyin.

  3. Web içeriği filtrelemeyi keşfedin.

    Not

    Bir ilkeyi kaldırıyorsanız veya cihaz gruplarını aynı anda değiştiriyorsanız, bu durum ilke dağıtımında gecikmeye neden olabilir. Profesyonel ipucu: Bir cihaz grubunda herhangi bir kategori seçmeden bir ilke dağıtabilirsiniz. Bu eylem, engelleme ilkesi oluşturmadan önce kullanıcı davranışını anlamanıza yardımcı olmak için yalnızca denetim ilkesi oluşturur.

    Cihaz grubu oluşturma, Uç Nokta Için Defender Plan 1 ve Plan 2'de desteklenir.

  4. Uç Nokta için Microsoft Defender Defender for Cloud Apps ile tümleştirin; ağ koruması etkinleştirilmiş macOS cihazlarınız uç nokta ilkesi zorlama özelliklerine sahip olur.

    Not

    Bulma ve diğer özellikler şu anda bu platformlarda desteklenmiyor.

Senaryo

Genel önizleme sırasında aşağıdaki senaryolar desteklenir:

Web tehdit koruması

Web tehdit koruması, Uç Nokta için Microsoft Defender'da Web korumasının bir parçasıdır. Cihazlarınızın web tehditlerine karşı güvenliğini sağlamak için ağ korumasını kullanır. Web tehdit koruması, Microsoft Edge ve Chrome ve Firefox gibi popüler üçüncü taraf tarayıcılarla tümleştirilerek web proxy'si olmadan web tehditlerini durdurur. Web tehdit koruması, cihazları şirket içinde veya dışarıdayken koruyabilir. Web tehdit koruması aşağıdaki site türlerine erişimi durdurur:

  • kimlik avı siteleri
  • kötü amaçlı yazılım vektörleri
  • sitelerinden yararlanma
  • güvenilmeyen veya saygınlığı düşük siteler
  • özel gösterge listenizde engellediğiniz siteler

Web Koruması, web tehdit algılamalarını bildirir.

Daha fazla bilgi için bkz . Kuruluşunuzu web tehdidine karşı koruma

Güvenliğin Aşılmasına ilişkin Özel Göstergeler

Risk (ICS) eşleştirmesinin göstergesi, her uç nokta koruma çözümünde önemli bir özelliktir. Bu özellik SecOps'a algılama ve engelleme (önleme ve yanıt) için göstergelerin listesini ayarlama olanağı verir.

Varlıkların algılanmasını, önlenmesini ve dışlanmasını tanımlayan göstergeler oluşturun. Gerçekleştirilecek eylemin yanı sıra eylemin ne zaman uygulanacağı ve uygulanacağı cihaz grubunun kapsamını tanımlayabilirsiniz.

Şu anda desteklenen kaynaklar Uç Nokta için Defender'ın bulut algılama altyapısı, otomatik araştırma ve düzeltme altyapısı ve uç nokta önleme altyapısıdır (virüsten koruma Microsoft Defender).

Ağ koruması ekleme URL'sini veya etki alanı göstergesini gösterir.

Daha fazla bilgi için bkz. IP'ler ve URL'ler/etki alanları için göstergeler oluşturma.

Web içeriği filtreleme

Web içeriği filtreleme, Uç Nokta için Microsoft Defender ve İş için Microsoft Defender'daki Web koruma özelliklerinin bir parçasıdır. Web içeriği filtreleme, kuruluşunuzun web sitelerine erişimi içerik kategorilerine göre izlemesine ve düzenlemesine olanak tanır. Bu web sitelerinin çoğu (kötü amaçlı olmasalar bile) uyumluluk düzenlemeleri, bant genişliği kullanımı veya diğer endişeler nedeniyle sorunlu olabilir.

Belirli kategorileri engellemek için cihaz gruplarınız genelinde ilkeleri yapılandırın. Kategorinin engellenmesi, belirtilen cihaz grupları içindeki kullanıcıların kategoriyle ilişkili URL'lere erişmesini engeller. Engellenmeyen tüm kategoriler için URL'ler otomatik olarak denetlenür. Kullanıcılarınız URL'lere kesinti olmadan erişebilir ve daha özel bir ilke kararı oluşturmaya yardımcı olmak için erişim istatistiklerini toplarsınız. Görüntüledikleri sayfadaki bir öğe engellenen bir kaynağa çağrı yapıyorsa kullanıcılarınız bir engelleme bildirimi görür.

Web içeriği filtreleme, Windows Defender SmartScreen (Microsoft Edge) ve Ağ Koruması (Chrome, Firefox, Brave ve Opera) tarafından gerçekleştirilen bloklarla birlikte ana web tarayıcılarında kullanılabilir. Tarayıcı desteği hakkında daha fazla bilgi için bkz . Önkoşullar.

Ağ koruması web içeriği filtreleme ekleme ilkesini gösterir.

Raporlama hakkında daha fazla bilgi için bkz. Web içeriği filtreleme.

Bulut Uygulamaları için Microsoft Defender

Microsoft Defender for Cloud Apps /Cloud App Kataloğu, uç nokta için Microsoft Defender XDR erişirken son kullanıcıların uyarılmasını istediğiniz uygulamaları tanımlar ve bunları İzlendi olarak işaretler. İzlenen uygulamalar altında listelenen etki alanları daha sonra Uç Nokta için Microsoft Defender XDR eşitlenir:

Ağ koruması mcas izlenen uygulamaları gösterir.

10-15 dakika içinde, bu etki alanları Microsoft Defender XDR'da GöstergeLER > URL'leri/Etki Alanları altında Action=Warn ile listelenir. Zorlama SLA'sı içinde (bu makalenin sonundaki ayrıntılara bakın).

Ağ koruması mcas bulut uygulaması güvenliğini gösterir.

Ayrıca bkz.

İpucu

Daha fazla bilgi edinmek mi istiyorsunuz? Teknoloji Topluluğumuzdaki Microsoft Güvenlik topluluğuyla Engage: Uç Nokta için Microsoft Defender Teknoloji Topluluğu.