Protezione di rete per macOS

Si applica a:

• Microsoft Microsoft Defender XDR per endpoint Piano 1
• Microsoft Microsoft Defender XDR per endpoint Piano 2
• Microsoft Defender XDR

Panoramica

La protezione di rete Microsoft consente di ridurre la superficie di attacco dei dispositivi dagli eventi basati su Internet. Impedisce ai dipendenti di usare qualsiasi applicazione per accedere a domini pericolosi che potrebbero ospitare:

• truffe di phishing
• Sfrutta
• altri contenuti dannosi su Internet

La protezione di rete espande l'ambito di Microsoft Defender XDR SmartScreen per bloccare tutto il traffico HTTP in uscita che tenta di connettersi a origini con reputazione bassa. I blocchi nel traffico HTTP in uscita sono basati sul dominio o sul nome host.

Disponibilità

Protezione di rete per macOS è ora disponibile per tutti i Microsoft Defender per endpoint dispositivi macOS di cui è stato eseguito l'onboarding che soddisfano i requisiti minimi. Tutti i criteri di Protezione rete e Protezione dalle minacce Web attualmente configurati vengono applicati nei dispositivi macOS in cui Protezione di rete è configurato per la modalità blocco.

Per implementare Protezione di rete per macOS, è consigliabile eseguire le azioni seguenti:

• Create un gruppo di dispositivi per un piccolo set di dispositivi che è possibile usare per testare Protezione di rete.
• Valutare l'impatto di Protezione dalle minacce Web, Indicatori personalizzati di compromissione, Filtro contenuto Web e criteri di imposizione Microsoft Defender for Cloud Apps destinati ai dispositivi macOS in cui Protezione di rete è in modalità blocco.
• Distribuire un criterio di controllo o in modalità blocco in questo gruppo di dispositivi e verificare che non ci siano problemi o flussi di lavoro interrotti.
• Distribuire gradualmente Protezione di rete in un set più ampio di dispositivi fino a quando non viene implementato.

Funzionalità correnti

• Indicatori personalizzati di compromissione in domini e indirizzi IP.
• Supporto del filtro contenuto Web:
  • Bloccare le categorie di siti Web con ambito ai gruppi di dispositivi tramite i criteri creati nel portale di Microsoft Defender.
  • I criteri vengono applicati ai browser, tra cui Chromium Microsoft Edge per macOS.
• Ricerca avanzata: gli eventi di rete si riflettono nella sequenza temporale del computer ed è possibile eseguire query in Ricerca avanzata per facilitare le indagini sulla sicurezza.
• Microsoft Defender for Cloud Apps:
  • Individuazione IT shadow: identificare le app usate nell'organizzazione.
  • Blocca applicazioni: blocca l'uso di intere applicazioni (ad esempio Slack e Facebook) nell'organizzazione.
• VPN aziendale in tandem o affiancata con Protezione rete:
  • Attualmente non vengono identificati conflitti VPN.
  • Se si verificano conflitti, è possibile fornire commenti e suggerimenti tramite il canale di feedback elencato nella parte inferiore di questa pagina.

Problemi noti

• L'esperienza utente blocca/avvisa non è personalizzabile e potrebbe richiedere altre modifiche all'aspetto. (Il feedback dei clienti viene raccolto per migliorare ulteriormente la progettazione)
• Esiste un problema noto di incompatibilità dell'applicazione con la funzionalità "Tunnel per app" di VMware. Questa incompatibilità potrebbe comportare l'impossibilità di bloccare il traffico che attraversa il "tunnel per app".
• Esiste un problema noto di incompatibilità dell'applicazione con Blue Coat Proxy. Questa incompatibilità potrebbe causare arresti anomali del livello di rete in applicazioni non correlate quando sono abilitati sia blue coat proxy che protezione di rete.

Note importanti

• Non è consigliabile controllare la protezione di rete dalle preferenze di sistema usando il pulsante Disconnetti. Usare invece lo strumento da riga di comando mdatp o JAMF/Intune per controllare la protezione di rete per macOS.
• Per valutare l'efficacia della protezione dalle minacce Web macOS, è consigliabile provarla in browser diversi da Microsoft Edge per macOS ,ad esempio Safari. Microsoft Edge per macOS offre una protezione dalle minacce Web integrata abilitata indipendentemente dal fatto che la funzionalità di protezione di rete Mac che si sta valutando sia attivata o meno.

Nota

Microsoft Edge per macOS attualmente non supporta filtri del contenuto Web, indicatori personalizzati o altre funzionalità aziendali. Tuttavia, la protezione di rete fornirà questa protezione a Microsoft Edge per macOS se la protezione di rete è abilitata.

Prerequisiti

• Licenze: Microsoft Defender XDR per endpoint piano 1 o Microsoft Defender XDR per endpoint piano 2 (può essere versione di valutazione)
• Computer caricati:
  • Versione minima di macOS: 11
  • Versione del prodotto 101.94.13 o successiva

Istruzioni per la distribuzione

Microsoft Defender XDR per endpoint

Installare la versione più recente del prodotto tramite Microsoft AutoUpdate. Per aprire Microsoft AutoUpdate, eseguire il comando seguente dal terminale:

open /Library/Application\ Support/Microsoft/MAU2.0/Microsoft\ AutoUpdate.app

Configurare il prodotto con le informazioni dell'organizzazione usando le istruzioni riportate nella documentazione pubblica.

La protezione di rete è disabilitata per impostazione predefinita, ma può essere configurata per l'esecuzione in una delle modalità seguenti (dette anche livelli di imposizione):

• Controllo: utile per assicurarsi che non influisca sulle app line-of-business o per avere un'idea della frequenza con cui si verificano i blocchi
• Blocca: la protezione di rete impedisce la connessione a siti Web dannosi
• Disabilitato: tutti i componenti associati alla protezione di rete sono disabilitati

È possibile distribuire questa funzionalità in uno dei modi seguenti: manualmente, tramite JAMF o tramite Intune. Le sezioni seguenti descrivono in dettaglio ognuno di questi metodi.

Distribuzione manuale

Per configurare il livello di imposizione, eseguire il comando seguente dal terminale:

mdatp config network-protection enforcement-level --value [enforcement-level]

Ad esempio, per configurare la protezione di rete da eseguire in modalità di blocco, eseguire il comando seguente:

mdatp config network-protection enforcement-level --value block

Per verificare che la protezione di rete sia stata avviata correttamente, eseguire il comando seguente dal terminale e verificare che venga visualizzato "avviato":

mdatp health --field network_protection_status

Distribuzione jamf

Una distribuzione JAMF riuscita richiede un profilo di configurazione per impostare il livello di imposizione della protezione di rete. Dopo aver creato questo profilo di configurazione, assegnarlo ai dispositivi in cui si vuole abilitare la protezione di rete.

Configurare il livello di imposizione

Nota: se è già stato configurato Microsoft Defender XDR per Endpoint su Mac usando le istruzioni elencate qui, aggiornare il file plist distribuito in precedenza con il contenuto elencato di seguito e ridistribuirlo da JAMF.

1. InProfili di configurazionecomputer> selezionare Opzioni>Applicazioni & Impostazioni personalizzate
2. Selezionare Carica file (file PLIST)
3. Impostare il dominio delle preferenze su com.microsoft.wdav
4. Caricare il file plist seguente

<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1.0">
<dict>
    <key>networkProtection</key>
    <dict>
        <key>enforcementLevel</key>
        <string>block</string>
    </dict>
</dict>
</plist>

distribuzione Intune

Una distribuzione Intune riuscita richiede un profilo di configurazione per impostare il livello di imposizione della protezione di rete. Dopo aver creato questo profilo di configurazione, assegnarlo ai dispositivi in cui si vuole abilitare la protezione di rete.

Configurare il livello di imposizione usando Intune

Nota

Se è già stato configurato Microsoft Defender per endpoint in Mac usando le istruzioni precedenti (con un file XML), rimuovere i criteri di configurazione personalizzati precedenti e sostituirli con le istruzioni seguenti.

1. Aprire Gestisci>configurazione del dispositivo. Selezionare Gestisci>profili>Create profilo.
2. Impostare Platform (Piattaforma ) su macOS e Profile type (Tipo di profilo) in Settings catalog (Catalogo impostazioni). Selezionare Crea.
3. Specificare un nome per il profilo.
4. Nella schermata Impostazioni di configurazione selezionare Aggiungi impostazioni. Selezionare Microsoft Defender>Protezione di rete e selezionare la casella di controllo Livello di imposizione.
5. Impostare il livello di imposizione su block. Selezionare Avanti.
6. Aprire il profilo di configurazione e caricare il file di com.microsoft.wdav.xml. Questo file è stato creato nel passaggio 3.
7. Selezionare OK
8. Selezionare Gestisci>assegnazioni. Nella scheda Includi selezionare i dispositivi per i quali si vuole abilitare la protezione di rete.

Distribuzione di Mobileconfig

Per distribuire la configurazione tramite un file mobileconfig, che può essere usato con soluzioni MDM non Microsoft o distribuito direttamente ai dispositivi:

1. Salvare il payload seguente come com.microsoft.wdav.xml.mobileconfig

   <?xml version="1.0" encoding="utf-8"?>
   <!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
   <plist version="1">
       <dict>
           <key>PayloadUUID</key>
           <string>C4E6A782-0C8D-44AB-A025-EB893987A295</string>
           <key>PayloadType</key>
           <string>Configuration</string>
           <key>PayloadOrganization</key>
           <string>Microsoft</string>
           <key>PayloadIdentifier</key>
           <string>com.microsoft.wdav</string>
           <key>PayloadDisplayName</key>
           <string>Microsoft Defender ATP settings</string>
           <key>PayloadDescription</key>
           <string>Microsoft Defender ATP configuration settings</string>
           <key>PayloadVersion</key>
           <integer>1</integer>
           <key>PayloadEnabled</key>
           <true/>
           <key>PayloadRemovalDisallowed</key>
           <true/>
           <key>PayloadScope</key>
           <string>System</string>
           <key>PayloadContent</key>
           <array>
               <dict>
                   <key>PayloadUUID</key>
                   <string>99DBC2BC-3B3A-46A2-A413-C8F9BB9A7295</string>
                   <key>PayloadType</key>
                   <string>com.microsoft.wdav</string>
                   <key>PayloadOrganization</key>
                   <string>Microsoft</string>
                   <key>PayloadIdentifier</key>
                   <string>com.microsoft.wdav</string>
                   <key>PayloadDisplayName</key>
                   <string>Microsoft Defender ATP configuration settings</string>
                   <key>PayloadDescription</key>
                   <string/>
                   <key>PayloadVersion</key>
                   <integer>1</integer>
                   <key>PayloadEnabled</key>
                   <true/>
                   <key>networkProtection</key>
                   <dict>
                       <key>enforcementLevel</key>
                       <string>block</string>
                   </dict>
               </dict>
           </array>
       </dict>
   </plist>
   

2. Verificare che il file precedente sia stato copiato correttamente. Dal terminale eseguire il comando seguente e verificare che l'output sia OK:

   plutil -lint com.microsoft.wdav.xml
   

Come esplorare le funzionalità

1. Informazioni su come proteggere l'organizzazione dalle minacce Web usando la protezione dalle minacce Web.

   • La protezione dalle minacce Web fa parte della protezione Web in Microsoft Defender per endpoint. Usa la protezione di rete per proteggere i dispositivi dalle minacce Web.

2. Eseguire il flusso Indicatori personalizzati di compromissione per ottenere blocchi sul tipo di indicatore personalizzato.

3. Esplorare il filtro contenuto Web.

   Nota

   Se si rimuove un criterio o si modificano i gruppi di dispositivi contemporaneamente, ciò potrebbe causare un ritardo nella distribuzione dei criteri. Suggerimento per i professionisti: è possibile distribuire un criterio senza selezionare alcuna categoria in un gruppo di dispositivi. Questa azione creerà un criterio solo di controllo per comprendere il comportamento dell'utente prima di creare un criterio di blocco.

   La creazione di gruppi di dispositivi è supportata in Defender per endpoint Piano 1 e Piano 2.

4. Integrare Microsoft Defender per endpoint con Defender per le app cloud e i dispositivi macOS abilitati per la protezione della rete hanno funzionalità di imposizione dei criteri degli endpoint.

   Nota

   L'individuazione e altre funzionalità non sono attualmente supportate in queste piattaforme.

Scenari

Sono supportati gli scenari seguenti.

Protezione dalle minacce sul Web

La protezione dalle minacce Web fa parte della protezione Web in Microsoft Defender XDR per endpoint. Usa la protezione di rete per proteggere i dispositivi dalle minacce Web. Grazie all'integrazione con Microsoft Edge per macOS e browser non Microsoft comuni, ad esempio Chrome e Firefox, la protezione dalle minacce Web interrompe le minacce Web senza un proxy Web. La protezione dalle minacce Web può proteggere i dispositivi mentre sono in locale o fuori. La protezione dalle minacce Web interrompe l'accesso ai tipi di siti seguenti:

• siti di phishing
• vettori di malware
• siti di exploit
• siti non attendibili o a bassa reputazione
• siti bloccati nell'elenco di indicatori personalizzati

Per altre informazioni, vedere Proteggere l'organizzazione dalle minacce Web

Indicatori personalizzati di compromissione

L'indicatore della corrispondenza di compromissione (IoC) è una funzionalità essenziale in ogni soluzione di endpoint protection. Questa funzionalità consente a SecOps di impostare un elenco di indicatori per il rilevamento e il blocco (prevenzione e risposta).

Create indicatori che definiscono il rilevamento, la prevenzione e l'esclusione delle entità. È possibile definire l'azione da intraprendere, nonché la durata per l'applicazione dell'azione e l'ambito del gruppo di dispositivi a cui applicarla.

Le origini attualmente supportate sono il motore di rilevamento cloud di Defender per endpoint, il motore di analisi e correzione automatizzato e il motore di prevenzione degli endpoint (Microsoft Defender Antivirus).

Per altre informazioni, vedere: Create indicatori per INDIRIZZI IP e URL/domini.

Filtro contenuti Web

Il filtro contenuto Web fa parte delle funzionalità di protezione Web in Microsoft Defender per endpoint e Microsoft Defender for Business. Il filtro contenuto Web consente all'organizzazione di tenere traccia e regolare l'accesso ai siti Web in base alle categorie di contenuto. Molti di questi siti Web (anche se non sono dannosi) potrebbero essere problematici a causa delle normative di conformità, dell'utilizzo della larghezza di banda o di altri problemi.

Configurare i criteri tra i gruppi di dispositivi per bloccare determinate categorie. Il blocco di una categoria impedisce agli utenti all'interno di gruppi di dispositivi specificati di accedere agli URL associati alla categoria. Per qualsiasi categoria non bloccata, gli URL vengono controllati automaticamente. Gli utenti possono accedere agli URL senza interruzioni e raccogliere statistiche di accesso per creare una decisione di criteri più personalizzata. Gli utenti visualizzano una notifica di blocco se un elemento nella pagina visualizzata effettua chiamate a una risorsa bloccata.

Il filtro dei contenuti Web è disponibile nei principali Web browser, con blocchi eseguiti da Network Protection (Safari, Chrome, Firefox, Brave e Opera). Per altre informazioni sul supporto del browser, vedere Prerequisiti.

Per altre informazioni sulla creazione di report, vedere Filtro contenuto Web.

Microsoft Defender for Cloud Apps

Il catalogo app Microsoft Defender for Cloud Apps/cloud identifica le app per cui si vuole che gli utenti finali vengano avvisati all'accesso con Microsoft Defender XDR per endpoint e li contrassegnino come Monitorati. I domini elencati nelle app monitorate verranno sincronizzati in un secondo momento con Microsoft Defender XDR per endpoint:

Entro 10-15 minuti, questi domini sono elencati in Microsoft Defender XDR in URL/domini degli indicatori > con Action=Warn. All'interno del contratto di servizio di imposizione (vedere i dettagli alla fine di questo articolo), gli utenti finali ricevono messaggi di avviso quando tentano di accedere a questi domini:

Quando l'utente finale tenta di accedere ai domini monitorati, viene avvisato da Defender per endpoint.

• L'utente ottiene un'esperienza di blocco normale accompagnata dal messaggio di tipo avviso popup seguente, visualizzato dal sistema operativo, incluso il nome dell'applicazione bloccata (ad esempio Blogger.com)

  

Se l'utente finale rileva un blocco, l'utente ha due possibili risoluzioni:

Bypass utente

• Per l'esperienza dei messaggi di tipo avviso popup: premere il pulsante Sblocca. Ricaricando la pagina Web, l'utente è in grado di procedere e usare l'app cloud. (Questa azione è applicabile per le prossime 24 ore, dopo le quali l'utente deve sbloccare di nuovo)

Formazione degli utenti

• Per l'esperienza dei messaggi di tipo avviso popup: premere il messaggio di tipo avviso popup stesso. L'utente finale viene reindirizzato a un URL di reindirizzamento personalizzato impostato a livello globale in Microsoft Defender for Cloud Apps (altre informazioni nella parte inferiore di questa pagina)

Nota

Rilevamento dei bypass per app** : è possibile tenere traccia del numero di utenti che hanno ignorato l'avviso nella pagina Applicazione in Microsoft Defender for Cloud Apps.

Appendice

Modello di sito di SharePoint del Centro formazione per gli utenti finali

Per molte organizzazioni, è importante adottare i controlli cloud forniti da Microsoft Defender for Cloud Apps e non solo impostare limitazioni sugli utenti finali quando necessario, ma anche educarli e formare:

• l'evento imprevisto specifico
• perché è successo
• qual è il pensiero dietro questa decisione
• come è possibile attenuare l'incontro con i siti bloccati

Quando si verifica un comportamento imprevisto, la confusione degli utenti potrebbe essere ridotta fornendo loro quante più informazioni possibile, non solo per spiegare cosa è successo, ma anche per educarli a essere più consapevoli la prossima volta che scelgono un'app cloud per completare il loro lavoro. Ad esempio, queste informazioni possono includere:

• Criteri di sicurezza e conformità dell'organizzazione e linee guida per l'uso di Internet e cloud
• App cloud approvate/consigliate per l'uso
• App cloud con restrizioni/bloccate per l'uso

Per questa pagina, è consigliabile che l'organizzazione usi un sito di SharePoint di base.

Cose importanti da sapere

1. La propagazione e l'aggiornamento dei domini app nei dispositivi endpoint possono richiedere fino a due ore (in genere meno) dopo che sono stati contrassegnati come monitorati.
2. Per impostazione predefinita, viene eseguita un'azione per tutte le app e i domini contrassegnati come Monitorati nel portale di Microsoft Defender for Cloud Apps per tutti gli endpoint di cui è stato eseguito l'onboarding nell'organizzazione.
3. Gli URL completi non sono attualmente supportati e non verranno inviati da Microsoft Defender for Cloud Apps a Microsoft Defender XDR per endpoint, se sono elencati url completi in Microsoft Defender for Cloud Apps le app monitorate, quindi, l'utente non riceve un avviso sul tentativo di accesso (ad esempio, google.com/drive non è supportato, mentre drive.google.com è supportato).

Nessuna notifica dell'utente finale nei browser di terze parti? Controllare le impostazioni del messaggio di avviso popup.

Vedere anche

• Microsoft Defender XDR per endpoint su Mac
• integrazione di Microsoft Defender XDR per endpoint con Microsoft Microsoft Defender XDR for Cloud Apps
• Scopri le funzionalità innovative di Microsoft Edge
• Proteggere la rete
• Attivare la protezione di rete
• Protezione sul Web
• Creare indicatori
• Filtro contenuti Web

Consiglio

Per saperne di più, Engage con la community Microsoft Security nella community tech: Microsoft Defender per endpoint Tech Community.