Linux 的網路保護
重要事項
部分資訊與發行前版本產品有關,在正式發行之前可能會實質上進行修改。 Microsoft 對此處提供的資訊,不提供任何明確或隱含的瑕疵擔保。
概觀
Microsoft會將網路保護功能帶入 Linux。
網路保護可協助減少裝置遭受因特網型事件的攻擊面。 它可防止員工使用任何應用程式來存取可能裝載危險網域:
- 網路釣魚詐騙
- 利用
- 因特網上的其他惡意內容
網路保護會擴充 Microsoft Defender SmartScreen 的範圍,以封鎖嘗試連線到低信譽來源的所有輸出 HTTP () 流量。 輸出 HTTP () 流量上的區塊是以網域或主機名為基礎。
Linux 的 Web 內容篩選
您可以使用 Web 內容篩選來測試 Linux 的網路保護。 請參閱 Web 內容篩選。
已知問題
- 網路保護會實作為虛擬專用網 (VPN) 通道。 使用自定義 nftables/iptables 腳本的進階封包路由選項可供使用。
- 無法使用封鎖/警告UX (收集客戶意見反應,以推動進一步的設計改進)
注意事項
大部分的Linux伺服器安裝都缺少圖形使用者介面和網頁瀏覽器。 若要評估Linux Web威脅防護與Linux的有效性,建議您使用圖形使用者介面和網頁瀏覽器在非生產伺服器上進行測試。
必要條件
- 授權:適用於端點的 Microsoft Defender 租使用者 (可以是非 Windows 平臺 適用於端點的 Microsoft Defender 中的試用) 和平臺特定需求
- 已上線的機器:
- 最低 Linux 版本:如需支援的發行版清單,請參閱 Linux 上的 適用於端點的 Microsoft Defender。
- 適用於端點的 Microsoft Defender Linux 用戶端版本:Insiders-Slow 或測試人員快速通道上的 101.78.13 或更新版本。
重要事項
若要評估 Linux 的網路保護,請傳送電子郵件至具有組織標識碼的 “xplatpreviewsupport@microsoft.com ”“。 我們會根據要求在您的租用戶上啟用此功能。
指示
手動部署Linux,請參閱在Linux上手動部署 適用於端點的 Microsoft Defender
下列範例顯示 ubuntu 20.04 上適用於測試人員-Fast 通道之 mdatp 套件所需的命令順序。
curl -o microsoft.list https://packages.microsoft.com/config/ubuntu/20.04/insiders-fast.list
sudo mv ./microsoft.list /etc/apt/sources.list.d/microsoft-insiders-fast.list
sudo apt-get install gpg
curl https://packages.microsoft.com/keys/microsoft.asc | sudo apt-key add -
sudo apt-get install apt-transport-https
sudo apt-get update
sudo apt install -y mdatp
裝置上線
若要將裝置上線,您必須從 Microsoft Defender 全面偵測回應 - 設定 ->> 裝置管理 -> 上線並執行,下載適用於 Linux 伺服器的 Python 上線套件:
sudo python3 MicrosoftDefenderATPOnboardingLinuxServer.py
驗證
檢查網路保護對一律封鎖的網站有影響:
檢查診斷記錄
sudo mdatp log level set --level debug sudo tail -f /var/log/microsoft/mdatp/microsoft_defender_np_ext.log
若要結束驗證模式
停用網路保護並重新啟動網路連線:
sudo mdatp config network-protection enforcement-level --value disabled
進階設定
根據預設,Linux 網路保護在預設閘道上為作用中;路由和通道是在內部設定。 若要自定義網路介面,請從 /opt/microsoft/mdatp/conf/ 組態檔變更 networkSetupMode 參數,然後重新啟動服務:
sudo systemctl restart mdatp
組態檔也可讓使用者自定義:
- Proxy 設定
- SSL 證書存儲
- 通道裝置名稱
- IP
- 以及其他
默認值已針對所有散發套件進行測試,如 Linux 上的 適用於端點的 Microsoft Defender 中所述
Microsoft Defender 入口網站
此外,請確定在 [Microsoft Defender>][設定>端點>] [進階功能] 中,已啟用[自定義網络指標] 切換。
重要事項
上述「自定義網路指標」切換可控制具有網路保護支援之所有平臺的自定義指標啟用,包括 Windows。 提醒您,在 Windows 上,若要強制執行指標,您也必須明確啟用網路保護。
如何探索功能
瞭解如何使用 Web 威脅防護 來保護您的組織免於遭受 Web 威脅。
- Web 威脅防護是 適用於端點的 Microsoft Defender 中 Web 保護的一部分。 它會使用網路保護來保護您的裝置免於遭受 Web 威脅。
執行自 定義入侵指標 流程,以取得自定義指標類型的區塊。
探索 Web 內容篩選。
注意事項
如果您同時移除原則或變更裝置群組,這可能會導致原則部署延遲。 Pro 提示:您可以部署原則,而不需要在裝置群組上選取任何類別。 此動作會建立僅限稽核原則,以協助您在建立封鎖原則之前瞭解用戶行為。
適用於端點的Defender方案1和方案2支援裝置群組建立。
將 適用於端點的 Microsoft Defender 與 Defender for Cloud Apps整合,且已啟用網路保護的macOS裝置將具有端點原則強制執行功能。
注意事項
這些平臺目前不支援探索和其他功能。
案例
公開預覽期間支援下列案例:
網頁威脅防護
Web 威脅防護是 適用於端點的 Microsoft Defender 中 Web 保護的一部分。 它會使用網路保護來保護您的裝置免於遭受 Web 威脅。 藉由與 Microsoft Edge 和 Chrome 和 Firefox 等熱門第三方瀏覽器整合,Web 威脅防護會在沒有 Web Proxy 的情況下停止 Web 威脅。 Web 威脅防護可以在裝置位於內部部署或離開時保護裝置。 Web 威脅防護會停止存取下列類型的網站:
- 網路釣魚網站
- 惡意代碼向量
- 惡意探索網站
- 不受信任或低信譽的網站
- 您已在自訂指標清單中封鎖的網站
如需詳細資訊,請 參閱保護您的組織免於遭受 Web 威脅
自定義入侵指標
在每個端點保護解決方案中, (IoC) 比對的入侵指標都是一項基本功能。 這項功能可讓 SecOps 設定偵測指標清單,以及封鎖 (防護和回應) 。
建立指標,定義實體的偵測、預防和排除。 您可以定義要採取的動作,以及何時套用動作的持續時間,以及要套用動作的裝置群組範圍。
目前支援的來源包括適用於端點的 Defender 雲端偵測引擎、自動化調查和補救引擎,以及端點防護引擎 (Microsoft Defender 防病毒軟體) 。
如需詳細資訊,請參閱 建立IP和URL/網域的指標。
Web 內容篩選
Web 內容篩選是 適用於端點的 Microsoft Defender 和 適用於企業的 Microsoft Defender 中 Web 保護功能的一部分。 Web 內容篩選可讓您的組織根據網站的內容類別來追蹤及規範網站的存取。 這些網站中有許多 (,即使它們不是惡意) 也可能因為合規性法規、頻寬使用或其他考慮而造成問題。
跨裝置群組設定原則以封鎖特定類別。 封鎖類別可防止指定裝置群組內的使用者存取與類別相關聯的 URL。 對於任何未封鎖的類別,會自動稽核 URL。 您的使用者可以在不中斷的情況下存取 URL,而且您將收集存取統計數據來協助建立更自定義的原則決策。 如果正在檢視之頁面上的元素正在呼叫封鎖的資源,您的使用者會看到封鎖通知。
Web 內容篩選可在主要網頁瀏覽器上使用,其中包含由 Windows Defender SmartScreen (Microsoft Edge) 和網路保護 (Chrome、Firefox、體型和操作) 所執行的區塊。 如需瀏覽器支援的詳細資訊,請參閱 必要條件。
如需報告的詳細資訊,請參閱 Web 內容篩選。
Microsoft 雲端 App 安全性
Microsoft Defender for Cloud Apps/雲端應用程式目錄會識別您想要在存取端點 Microsoft Defender 全面偵測回應 時警告使用者的應用程式,並將它們標示為受監視。 受監視應用程式下列出的網域稍後會同步至端點的 Microsoft Defender 全面偵測回應:
在 10-15 分鐘內,這些網域會列在 [指標 URL/具有 Action=Warn 的網域] 下 > Microsoft Defender 全面偵測回應。 在強制執行 SLA (請參閱本文結尾) 的詳細數據。
另請參閱
提示
想要深入了解? Engage 技術社群中的Microsoft安全性社群:適用於端點的 Microsoft Defender 技術社群。