Ochrana sítě pro Linux
Platí pro:
- Plán 1 pro Microsoft Defender for Endpoint
- Plán 2 pro Microsoft Defender pro koncový bod
- Microsoft Defender XDR
Důležité
Některé informace se týkají předprodeje produktu, který může být před komerčním vydáním podstatně změněn. Společnost Microsoft neposkytuje v souvislosti se zde uvedenými informacemi žádné výslovné ani předpokládané záruky.
Přehled
Microsoft přináší funkce ochrany sítě do Linuxu.
Ochrana sítě pomáhá omezit prostor pro útoky na vaše zařízení před internetovými událostmi. Brání zaměstnancům v používání jakékoli aplikace pro přístup k nebezpečným doménám, které mohou hostovat:
- phishingové podvody
- Využívá
- jiný škodlivý obsah na internetu
Ochrana sítě rozšiřuje rozsah Microsoft Defender filtru SmartScreen tak, aby blokoval veškerý odchozí provoz HTTP, který se pokouší připojit ke zdrojům s nízkou reputací. Bloky odchozích přenosů HTTP jsou založené na doméně nebo názvu hostitele.
Filtrování webového obsahu pro Linux
Filtrování webového obsahu můžete použít k testování s ochranou sítě pro Linux. Viz Filtrování webového obsahu.
Známé problémy
- Ochrana sítě se implementuje jako tunel virtuální privátní sítě (VPN). K dispozici jsou rozšířené možnosti směrování paketů pomocí vlastních skriptů nftables/iptables.
- Blokování nebo upozornění uživatelského prostředí není k dispozici
- Zpětná vazba od zákazníků se shromažďuje za účelem dalšího vylepšování návrhu.
Poznámka
Pokud chcete vyhodnotit efektivitu ochrany před webovými hrozbami v Linuxu, doporučujeme použít prohlížeč Firefox, který je výchozí pro všechny distribuce.
Požadavky
- Licencování: požadavky na Microsoft Defender for Endpoint tenanta (můžou být zkušební verze) a požadavky specifické pro platformu, které najdete v Microsoft Defender for Endpoint pro jiné platformy než Windows.
- Nasazené počítače:
- Minimální verze Linuxu: Seznam podporovaných distribucí najdete v tématu Microsoft Defender for Endpoint v Linuxu.
- Microsoft Defender for Endpoint verze klienta pro Linux: 101.78.13 nebo novější v kanálu Insiders-Slow nebo insiders-Fast.
Důležité
Pokud chcete vyhodnotit ochranu sítě pro Linux, pošlete e-mail na adresu sxplatpreviewsupport@microsoft.com ID vaší organizace. Tuto funkci ve vašem tenantovi povolíme na základě žádosti.
Pokyny
Ruční nasazení Linuxu najdete v tématu Ruční nasazení Microsoft Defender for Endpoint v Linuxu.
Následující příklad ukazuje posloupnost příkazů potřebných pro balíček mdatp v ubuntu 20.04 pro kanál Insiders-Fast.
curl -o microsoft.list https://packages.microsoft.com/config/ubuntu/20.04/insiders-fast.list
sudo mv ./microsoft.list /etc/apt/sources.list.d/microsoft-insiders-fast.list
sudo apt-get install gpg
curl https://packages.microsoft.com/keys/microsoft.asc | sudo apt-key add -
sudo apt-get install apt-transport-https
sudo apt-get update
sudo apt install -y mdatp
Onboarding zařízení
Pokud chcete zařízení připojit, musíte stáhnout balíček pro onboarding Pythonu pro linuxový server z Microsoft Defender XDR –> Nastavení –> Správa zařízení –> Onboarding a spustit:
sudo python3 MicrosoftDefenderATPOnboardingLinuxServer.py
Ověření
Zkontrolujte, jestli má ochrana sítě vliv na vždy blokované weby:
Kontrola diagnostických protokolů
sudo mdatp log level set --level debug sudo tail -f /var/log/microsoft/mdatp/microsoft_defender_np_ext.log
Ukončení režimu ověřování
Zakažte ochranu sítě a restartujte síťové připojení:
sudo mdatp config network-protection enforcement-level --value disabled
Pokročilá konfigurace
Ve výchozím nastavení je ochrana sítě s Linuxem aktivní na výchozí bráně. směrování a tunelování se konfigurují interně. Pokud chcete přizpůsobit síťová rozhraní, změňte parametr networkSetupMode z konfiguračního souboru /opt/microsoft/mdatp/conf/ a restartujte službu:
sudo systemctl restart mdatp
Konfigurační soubor také umožňuje uživateli přizpůsobit:
- nastavení proxy serveru
- Úložiště certifikátů SSL
- název tunelového zařízení
- IP adresa
- a další
Výchozí hodnoty byly testovány pro všechny distribuce, jak je popsáno v tématu Microsoft Defender for Endpoint v Linuxu.
Portál Microsoft Defender
Ujistěte se také, že je v Microsoft Defender>Nastavení> koncových bodův rozšířených funkcíchzapnutý přepínač Vlastníindikátory>sítě.
Důležité
Výše uvedený přepínač Vlastní indikátory sítě řídí povolení vlastních indikátorůpro VŠECHNY platformy s podporou ochrany sítě, včetně Windows. Připomínáme, že pro vynucování indikátorů ve Windows musíte mít také explicitně povolenou ochranu sítě.
Jak prozkoumat funkce
Zjistěte, jak chránit organizaci před webovými hrozbami pomocí ochrany před webovými hrozbami .
- Ochrana před webovými hrozbami je součástí webové ochrany v Microsoft Defender for Endpoint. K zabezpečení vašich zařízení před webovými hrozbami používá ochranu sítě.
Projděte si tok Vlastních indikátorů ohrožení, abyste získali bloky typu vlastního ukazatele.
Prozkoumejte filtrování webového obsahu.
Poznámka
Pokud odebíráte zásady nebo současně měníte skupiny zařízení, může to způsobit zpoždění nasazení zásad. Tip pro: Zásady můžete nasadit bez výběru kategorie ve skupině zařízení. Tato akce vytvoří zásadu jen pro audit, která vám pomůže pochopit chování uživatelů před vytvořením zásad blokování.
Vytváření skupin zařízení je podporováno v defenderu for Endpoint Plan 1 a Plan 2.
Integrujte Microsoft Defender for Endpoint s Defenderem for Cloud Apps a zařízení s macOS s povolenou ochranou sítě budou mít možnosti vynucování zásad koncových bodů.
Poznámka
Zjišťování a další funkce se v současné době na těchto platformách nepodporují.
Scénáře
Ve verzi Public Preview se podporují následující scénáře:
Ochrana před webovou hrozbou
Ochrana před webovými hrozbami je součástí webové ochrany v Microsoft Defender for Endpoint. K zabezpečení vašich zařízení před webovými hrozbami používá ochranu sítě. Díky integraci s Prohlížečem Microsoft Edge a oblíbenými prohlížeči třetích stran, jako je Chrome a Firefox, ochrana před webovými hrozbami zastaví webové hrozby bez webového proxy serveru. Ochrana před webovými hrozbami může chránit zařízení, když jsou místně nebo pryč. Ochrana před webovými hrozbami zastaví přístup k následujícím typům webů:
- phishingové weby
- vektory malwaru
- zneužít weby
- nedůvěryhodné weby nebo weby s nízkou reputací
- weby, které jste zablokovali v seznamu vlastních ukazatelů
Další informace najdete v tématu Ochrana organizace před webovými hrozbami.
Vlastní indikátory ohrožení zabezpečení
Indikátor shody ohrožení (IoC) je základní funkcí každého řešení ochrany koncových bodů. Tato funkce dává secOps možnost nastavit seznam indikátorů pro detekci a blokování (prevence a reakce).
Create indikátory, které definují detekci, prevenci a vyloučení entit. Můžete definovat akci, která se má provést, a také dobu trvání, kdy se má akce použít, a rozsah skupiny zařízení, na kterou se má použít.
Aktuálně podporované zdroje jsou cloudový detekční modul Defenderu for Endpoint, modul automatizovaného vyšetřování a nápravy a modul pro prevenci koncových bodů (Microsoft Defender Antivirus).
Další informace najdete v tématu: Create indikátory IP adres a adres URL/domén.
Filtrování webového obsahu
Filtrování webového obsahu je součástí funkcí webové ochrany v Microsoft Defender for Endpoint a Microsoft Defender pro firmy. Filtrování webového obsahu umožňuje vaší organizaci sledovat a regulovat přístup k webům na základě jejich kategorií obsahu. Mnohé z těchto webů (i když nejsou škodlivé) můžou být problematické kvůli předpisům dodržování předpisů, využití šířky pásma nebo jiným problémům.
Nakonfigurujte zásady napříč skupinami zařízení tak, aby blokovaly určité kategorie. Blokování kategorie brání uživatelům v určitých skupinách zařízení v přístupu k adresám URL přidruženým ke kategorii. U všech kategorií, které nejsou blokované, se adresy URL automaticky auditují. Vaši uživatelé mají přístup k adresám URL bez přerušení a vy shromáždíte statistiky přístupu, které vám pomůžou vytvořit vlastní rozhodnutí o zásadách. Pokud některý prvek na stránce, kterou si prohlížejí, volá blokovaný prostředek, zobrazí se uživatelům oznámení o blokování.
Filtrování webového obsahu je dostupné v hlavních webových prohlížečích, přičemž bloky provádí Windows Defender filtry SmartScreen (Microsoft Edge) a Network Protection (Chrome, Firefox, Brave a Opera). Další informace o podpoře prohlížeče najdete v tématu Požadavky.
Další informace o vytváření sestav najdete v tématu Filtrování webového obsahu.
Microsoft Defender for Cloud Apps
Katalog Microsoft Defender for Cloud Apps / cloudových aplikací identifikuje aplikace, které chcete koncovým uživatelům upozornit při přístupu pomocí Microsoft Defender XDR pro koncový bod, a označí je jako monitorované. Domény uvedené v monitorovaných aplikacích se později synchronizují s Microsoft Defender XDR pro koncový bod:
Během 10 až 15 minut se tyto domény zobrazí v Microsoft Defender XDR v části Adresy URL indikátorů > nebo domény s akcí Action=Warn. V rámci smlouvy SLA pro vynucení (podrobnosti najdete na konci tohoto článku).
Viz také
- Chraňte svou síť
- Zapnutí ochrany sítě
- Webová ochrana
- Vytváření indikátorů
- Filtrování webového obsahu
- Microsoft Defender for Endpoint v systému Linux
Tip
Chcete se dozvědět více? Engage s komunitou Microsoft Security v naší technické komunitě: Microsoft Defender for Endpoint Tech Community.
Váš názor
Připravujeme: V průběhu roku 2024 budeme postupně vyřazovat problémy z GitHub coby mechanismus zpětné vazby pro obsah a nahrazovat ho novým systémem zpětné vazby. Další informace naleznete v tématu: https://aka.ms/ContentUserFeedback.
Odeslat a zobrazit názory pro