通过

如何配置全局安全访问威胁情报(预览版)

威胁情报使您能够基于当前威胁的实时数据,保护用户免于访问 Internet 上的恶意网站。

你可以配置威胁情报策略,以阻止用户从高严重性已知的恶意 Internet 目标。 在此策略中,Microsoft Entra Internet 访问 会根据 Microsoft 和第三方威胁情报提供商提供的域名和 URL 指标来阻止流量。 使用威胁智能规则引擎,还可以配置用于处理误报的允许列表。 所有这些策略都可以通过安全配置文件框架了解上下文,将全局安全访问(GSA)安全策略链接到条件访问。

先决条件

  • 与 全局安全访问 功能交互的管理员必须具有以下一个或多个角色分配,具体取决于他们正在执行的任务。
    • 全局安全访问管理员角色负责管理全局安全访问功能。
    • 条件访问管理员,创建条件访问策略并与之交互。
  • 完成 全球安全访问入门指南。
  • 在最终用户设备上安装 Global Secure Access 客户端。
  • 必须通过 HTTPS(安全 DNS)禁用域名系统(DNS)以隧道传输网络流量。 在流量转发配置文件中使用完全限定域名(FQDN)的规则。 有关详细信息,请参阅 配置 DNS 客户端以支持 DoH。
  • 在 Chrome 和 Microsoft Edge 上禁用内置 DNS 客户端。
  • 客户端不会获取 IPv6 流量,因此直接传输到网络。 若要启用要隧道传输的所有相关流量,请将网络适配器属性设置为 首选 IPv4。
  • Internet Access 的当前预览版不支持用户数据报协议(UDP)流量(即 QUIC)。 大多数网站都支持在无法建立 QUIC 时回退到传输控制协议(TCP)。 为了改善用户体验,可以部署阻止出站 UDP 443 的Windows防火墙规则:
@New-NetFirewallRule -DisplayName "Block QUIC" -Direction Outbound -Action Block -Protocol UDP  -RemotePort 443
  • (可选) 配置传输层安全性(TLS)检查 ,以便根据 HTTPS 流量评估 URL 指示器。

高级步骤

配置威胁情报有几个步骤。 记下需要配置条件访问策略的位置。

  1. 启用 Internet 流量转发。
  2. 创建威胁情报策略。
  3. 配置允许列表(可选)。
  4. 创建安全配置文件。
  5. 将安全配置文件链接到条件访问策略。

启用 Internet 流量转发

第一步是启用互联网访问流量转发配置文件。 若要详细了解配置文件以及如何启用它,请参阅 如何管理 Internet 访问流量转发配置文件。

可以将 Internet 访问配置文件的范围限定为特定用户和组。 若要详细了解用户和组分配,请参阅 如何使用流量转发配置文件分配和管理用户和组。

创建威胁情报策略

  1. 浏览到 全局安全访问安全威胁情报策略。
  2. 选择“创建策略”。
  3. 输入策略的名称和说明,然后选择“ 下一步”。
  4. 威胁情报的默认操作是“允许”。 这意味着,如果流量与威胁情报策略中的规则不匹配,策略引擎将允许流量转到下一个安全控制。
  5. 选择 “下一步 ”并 查看 新的威胁情报策略。
  6. 选择 创建

重要

创建此策略时,规则会阻止访问检测到高严重性威胁的目标。 Microsoft将高严重性威胁定义为与活动恶意软件分发、网络钓鱼活动、命令和控制(C2)基础结构和其他线程关联的域或 URL,这些线程由Microsoft和第三方威胁情报源识别,具有很高的置信度。

配置允许列表(可选)

如果你知道可能具有业务关键性或标记为误报的网站,则可以配置允许这些网站的规则。 请注意此作涉及的安全风险,因为 Internet 威胁形势正在不断变化。

  1. 在 “全局安全访问安全威胁情报策略”下,选择所选的威胁情报策略。
  2. 选择 规则。
  3. 选择 “添加规则”。
  4. 输入规则的名称、说明、优先级和状态。
  5. 编辑 目标 FQDN 并选择允许列表的域列表。 可以将这些 FQDN 输入为逗号分隔域。
  6. 选择 并添加。

创建安全配置文件或配置基线配置文件

安全配置文件是一组安全控件,如 Web 内容筛选和威胁情报策略。 可以使用Microsoft Entra条件访问策略分配或链接安全配置文件。 一个安全配置文件可以包含每种类型的策略。

在此步骤中,你将创建一个安全配置文件来对筛选策略(如 Web 内容筛选和/或威胁智能)进行分组。 然后,使用条件访问策略分配或链接安全配置文件,使它们能够识别用户或上下文。

由于威胁情报对于用户的基本安全状况至关重要,因此,也可以将威胁情报策略链接到基线安全配置文件,该配置文件将策略应用于租户中的所有用户的流量。

注释

您只能为每个安全配置文件单独配置一个威胁情报策略。 每个安全控制中的规则优先级处理异常,安全控制遵循排序、(1)TLS 检查 (2) Web 内容筛选 (3) 威胁情报 (4) 文件类型 (5) 数据丢失防护 (6) 第三方

  1. 浏览到“全球安全访问”“安全”“安全配置文件”。
  2. 选择“ 创建配置文件”。
  3. 输入配置文件的名称和说明,然后选择“ 下一步”。
  4. 选择 “链接策略 ”,然后选择 “现有威胁情报策略”。
  5. 选择已创建的威胁情报策略,然后选择“ 添加”。
  6. 选择 “下一步 ”以查看安全配置文件和关联的策略。
  7. 选择“ 创建配置文件”。
  8. 选择 “刷新 ”以查看新配置文件。

为最终用户或组创建条件访问策略,并通过条件访问会话控制传送安全配置文件。 条件访问是 Internet 访问策略的用户和上下文感知的传递机制。

  1. 浏览到 身份保护条件访问。
  2. 选择“创建新策略”。
  3. 输入名称并分配用户或组。
  4. 选择“目标资源和具有全局安全访问的所有 Internet 资源”。
  5. 选择 会话使用全局安全访问的安全配置文件,然后选择一个安全配置文件。
  6. 选择 选择。
  7. 在“启用策略”部分中,确保已选择“打开”。
  8. 选择 创建。

注释

应用新的安全配置文件最多可能需要 60-90 分钟,因为安全配置文件是通过访问令牌强制执行的。

注释

若要加快条件访问配置 更改以进行测试,请在 Entra Admin Center 中撤销用户会话(在用户的概述页上选择 “撤销会话 ”)。 这强制用户使用更新的策略获取新令牌。 详细了解 持续访问评估。

验证最终用户策略强制实施

使用已安装全局安全访问客户端的 Windows 设备。 作为有分配 Internet 流量获取配置文件的用户身份登录。 测试确认是否能按预期拦截对恶意网站的访问。

注释

配置威胁情报策略后,可能需要 清除浏览器的缓存 以验证策略强制实施。

  1. 右键单击任务管理器托盘中的全局安全访问客户端图标,并打开 高级诊断转发配置文件。 确保存在 Internet 访问获取规则。
  2. 导航到已知的恶意网站(例如, 或 )。 确保被阻止,并且确保流量日志中的“威胁类型”字段不是空的。 流量日志可能需要长达 5 分钟才能显示在门户中。
  3. 如果Microsoft Defender或智能屏幕阻止,请覆盖并访问站点以测试全局安全访问阻止消息。 为此,可以在“更多信息”下选择“继续访问不安全站点”(不建议这样做)。
  4. 若要测试允许列表,请在威胁情报策略中创建规则以允许访问站点。 在 2 分钟内,应该能够访问它。 (可能需要清除浏览器缓存。
  5. 根据已知威胁指标评估威胁源的其余部分。

显示未加密或 TLS 检查的 HTTP 流量的纯文本浏览器错误的屏幕截图。

注意

使用真正的恶意站点进行测试应在沙盒或测试环境中进行,以保护您的设备和企业。

后续步骤

  • 了解流量控制面板
  • Last updated on