适用于 Linux 的网络保护
重要
某些信息与预发布的产品有关,在商业发布之前可能有重大修改。 Microsoft 对此处所提供的信息不作任何明示或默示的保证。
概述
Microsoft将网络保护功能引入 Linux。
网络保护有助于减少设备受到基于 Internet 的事件的攻击面。 它可以防止员工使用任何应用程序访问可能托管:
- 网络钓鱼欺诈
- 利用
- Internet 上的其他恶意内容
网络保护扩展了 Microsoft Defender SmartScreen 的范围,以阻止尝试连接到低信誉源的所有出站 HTTP () 流量。 出站 HTTP () 流量的块基于域或主机名。
适用于 Linux 的 Web 内容筛选
可以使用 Web 内容筛选通过适用于 Linux 的网络保护进行测试。 请参阅 Web 内容筛选。
已知问题
- 网络保护作为虚拟专用网络 (VPN) 隧道实现。 可以使用使用自定义 nftables/iptables 脚本的高级数据包路由选项。
- 阻止/警告 UX 不可用 (收集客户反馈以推动进一步的设计改进)
注意
Linux 的大多数服务器安装缺少图形用户界面和 Web 浏览器。 若要评估 Linux 的 Linux Web 威胁防护的有效性,我们建议在具有图形用户界面和 Web 浏览器的非生产服务器上进行测试。
先决条件
- 许可:Microsoft Defender for Endpoint租户 (可以是针对非 Windows 平台的试用) 和平台特定要求Microsoft Defender for Endpoint
- 载入的计算机:
- 最低 Linux 版本:有关支持的分发版列表,请参阅 Linux 上的Microsoft Defender for Endpoint。
- Microsoft Defender for Endpoint Linux 客户端版本:Insiders-Slow 或 insiders-Fast 频道上的 101.78.13 或更高版本。
重要
若要评估 Linux 的网络保护,请使用组织 ID 向“xplatpreviewsupport@microsoft.com”发送电子邮件。 我们将基于每个请求在你的租户上启用此功能。
说明
手动部署 Linux,请参阅在 Linux 上手动部署Microsoft Defender for Endpoint
以下示例演示 ubuntu 20.04 上的 mdatp 包为 insiders-Fast 通道所需的命令序列。
curl -o microsoft.list https://packages.microsoft.com/config/ubuntu/20.04/insiders-fast.list
sudo mv ./microsoft.list /etc/apt/sources.list.d/microsoft-insiders-fast.list
sudo apt-get install gpg
curl https://packages.microsoft.com/keys/microsoft.asc | sudo apt-key add -
sudo apt-get install apt-transport-https
sudo apt-get update
sudo apt install -y mdatp
设备载入
若要载入设备,必须从 Microsoft Defender XDR 下载适用于 Linux 服务器的 Python 载入包 -> 设置 -> 设备管理 -> 载入并运行:
sudo python3 MicrosoftDefenderATPOnboardingLinuxServer.py
Validation
检查网络保护是否对始终被阻止的站点生效:
检查诊断日志
sudo mdatp log level set --level debug sudo tail -f /var/log/microsoft/mdatp/microsoft_defender_np_ext.log
退出验证模式
禁用网络保护并重启网络连接:
sudo mdatp config network-protection enforcement-level --value disabled
高级配置
默认情况下,Linux 网络保护在默认网关上处于活动状态;路由和隧道在内部配置。 若要自定义网络接口,请从 /opt/microsoft/mdatp/conf/ 配置文件更改 networkSetupMode 参数,然后重启服务:
sudo systemctl restart mdatp
配置文件还允许用户自定义:
- 代理设置
- SSL 证书存储
- 隧道设备名称
- IP
- 等等
已测试所有分发版的默认值,如 Linux 上的 Microsoft Defender for Endpoint 中所述
Microsoft Defender 门户
此外,请确保在 Microsoft Defender>设置>“自定义网络指示器”切换开关的“设置终结点>高级功能”已启用。
重要
上述“自定义网络指示器”切换开关控制支持网络保护(包括 Windows)的所有平台的自定义指示器启用。 提醒:在 Windows 上,若要强制实施指示器,还必须显式启用网络保护。
如何浏览功能
了解如何使用 Web 威胁防护保护组织免受 Web 威胁。
- Web 威胁防护是 Microsoft Defender for Endpoint 中的 Web 保护的一部分。 它使用网络保护来保护你的设备免受 Web 威胁。
运行 自定义泄露指示器 流以获取自定义指示器类型的块。
浏览 Web 内容筛选。
注意
如果要同时删除策略或更改设备组,这可能会导致策略部署延迟。 专业提示:无需在设备组上选择任何类别即可部署策略。 此操作将创建仅审核策略,以帮助在创建阻止策略之前了解用户行为。
Defender for Endpoint 计划 1 和计划 2 支持创建设备组。
将 Microsoft Defender for Endpoint 与 Defender for Cloud Apps 集成,启用网络保护的 macOS 设备将具有终结点策略强制实施功能。
注意
这些平台上当前不支持发现和其他功能。
应用场景
公共预览版支持以下方案:
Web 威胁防护功能
Web 威胁防护是 Microsoft Defender for Endpoint 中的 Web 防护的一部分。 它使用网络保护来保护你的设备免受 Web 威胁。 通过与 Microsoft Edge 和流行的第三方浏览器(如 Chrome 和 Firefox)集成,Web 威胁防护可以在没有 Web 代理的情况下阻止 Web 威胁。 当设备在本地或离开时,Web 威胁防护可以保护设备。 Web 威胁防护会停止访问以下类型的站点:
- 钓鱼网站
- 恶意软件向量
- 攻击站点
- 不受信任的站点或低信誉站点
- 在自定义指示器列表中阻止的网站
有关详细信息,请参阅 保护组织免受 Web 威胁
自定义泄露指标
(IoC) 匹配的入侵指示器是每个终结点保护解决方案的一项基本功能。 此功能使 SecOps 能够设置用于检测和阻止 (预防和响应) 的指示器列表。
创建用于定义实体的检测、防护和排除的指标。 可以定义要执行的操作以及应用操作的持续时间,以及要应用操作的设备组的范围。
目前支持的源是 Defender for Endpoint 的云检测引擎、自动调查和修正引擎,以及 (Microsoft Defender 防病毒) 的终结点防护引擎。
有关详细信息,请参阅: 为 IP 和 URL/域创建指示器。
Web 内容筛选
Web 内容筛选是Microsoft Defender for Endpoint和Microsoft Defender 商业版中的 Web 保护功能的一部分。 Web 内容筛选使组织能够根据其内容类别跟踪和规范对网站的访问。 其中许多网站 (,即使它们不是恶意) 可能会因为合规性、带宽使用或其他问题而出现问题。
跨设备组配置策略以阻止某些类别。 阻止类别会阻止指定设备组中的用户访问与该类别关联的 URL。 对于未阻止的任何类别,将自动审核 URL。 用户可以在不中断的情况下访问 URL,你将收集访问统计信息以帮助创建更自定义的策略决策。 如果用户正在查看的页面上的某个元素正在调用被阻止的资源,则用户将看到阻止通知。
Web 内容筛选在主要 Web 浏览器上可用,其阻止由 Windows Defender SmartScreen (Microsoft Edge) 和网络保护 (Chrome、Firefox、Brave 和 Opera) 执行。 有关浏览器支持的详细信息,请参阅 先决条件。
有关报告的详细信息,请参阅 Web 内容筛选。
Microsoft Defender for Cloud Apps
Microsoft Defender for Cloud Apps/云应用目录标识希望最终用户在使用 endpoint Microsoft Defender XDR 访问时受到警告的应用,并将其标记为“已监视”。 受监视的应用下列出的域稍后将同步到 Endpoint 的 Microsoft Defender XDR:
在 10-15 分钟内,这些域将列在“指示器 > URL/域”下的 Microsoft Defender XDR“指示器 URL/域”(Action=Warn)下。 在强制 SLA (请参阅本文末尾) 的详细信息。
另请参阅
提示
想要了解更多信息? Engage技术社区中的Microsoft安全社区:Microsoft Defender for Endpoint技术社区。