Proteggere la rete

Si applica a:

Piattaforme

  • Windows

Se si desidera provare Microsoft Defender per endpoint, iscriversi a una versione di valutazione gratuita.

Panoramica della protezione di rete

La protezione di rete consente di proteggere i dispositivi da eventi basati su Internet. La protezione di rete è una funzionalità di riduzione della superficie di attacco. Consente di impedire ai dipendenti di accedere a domini pericolosi tramite le applicazioni. I domini che ospitano truffe di phishing, exploit e altri contenuti dannosi su Internet sono considerati pericolosi. La protezione di rete espande l'ambito di Microsoft Defender SmartScreen per bloccare tutto il traffico HTTP in uscita che tenta di connettersi a origini con reputazione bassa (in base al dominio o al nome host).

La protezione di rete estende la protezione nella protezione Web al livello del sistema operativo. Fornisce la funzionalità di protezione Web disponibile in Microsoft Edge ad altri browser supportati e ad applicazioni non browser. La protezione di rete offre anche visibilità e blocco degli indicatori di compromissione (IIC) quando viene usata con il rilevamento e la risposta degli endpoint. Ad esempio, la protezione di rete funziona con gli indicatori personalizzati che è possibile usare per bloccare domini o nomi host specifici.

Suggerimento

Per informazioni sul funzionamento della protezione di rete, vedere il sito Microsoft Defender per endpoint testground all'indirizzo demo.wd.microsoft.com .

Nota

Il sito demo di Defender per endpoint demo.wd.microsoft.com è deprecato e sarà rimosso in futuro.

Guardare questo video per informazioni su come la protezione di rete consente di ridurre la superficie di attacco dei dispositivi da truffe di phishing, exploit e altri contenuti dannosi.

Requisiti per la protezione di rete

La protezione di rete richiede Windows 10 Pro o Enterprise e Antivirus Microsoft Defender protezione in tempo reale.


Versione di Windows Antivirus Microsoft Defender
Windows 10 versione 1709 o successiva
Windows 11
Windows Server 1803 o versione successiva
Antivirus Microsoft Defender protezione in tempo reale
e la protezione fornita dal cloud deve essere abilitata (attiva)

Perché la protezione di rete è importante

Importante

Alcune informazioni fanno riferimento alle caratteristiche del prodotto prima del rilascio, e possono essere modificate sostanzialmente prima della distribuzione al pubblico. Microsoft non fornisce alcuna garanzia, esplicita o implicita, in relazione alle informazioni contenute in questo documento.

Le informazioni sulle funzionalità disponibili in commercio seguono le informazioni sull'anteprima pubblica.

La protezione di rete fa parte del gruppo di soluzioni di riduzione della superficie di attacco in Microsoft Defender per endpoint. La protezione di rete consente il blocco di URL e INDIRIZZI IP di livello 3 (livello di rete). La protezione di rete può bloccare l'accesso agli URL dai browser di terze parti e dalle connessioni di rete standard.

Per impostazione predefinita, la protezione di rete protegge i computer da URL dannosi noti usando il feed Smart Screen, che blocca gli URL dannosi in modo simile a SmartScreen in Microsoft Edge browser. La funzionalità di protezione della rete può essere estesa a:

  • Bloccare IP/URL dal proprio Intel per le minacce (indicatori)
  • Bloccare i servizi non approvati da Microsoft Cloud App Security (MCAS)
  • Bloccare i siti in base alla categoria (filtro contenuto Web)

Le protezioni di rete sono una parte fondamentale dello stack di protezione e risposta Microsoft.

Per informazioni dettagliate su Protezione di rete per Windows Server, Linux, MacOS e MTD, vedere Ricerca proattiva delle minacce con ricerca avanzata.

Blocca attacchi di comando e controllo (C2)

I computer server C2 vengono usati da utenti malintenzionati per inviare comandi a sistemi compromessi da malware e quindi esercitare un certo tipo di controllo sui sistemi compromessi. Gli attacchi C2 in genere si nascondono nei servizi basati sul cloud, ad esempio i servizi di condivisione file e webmail, consentendo ai server C2 di evitare il rilevamento combinando il traffico tipico.

I server C2 possono essere usati per avviare comandi che possono:

  • rubare dati (ad esempio, tramite phishing)
  • controllare i computer compromessi in una botnet
  • interrompere le applicazioni legittime
  • diffondere malware, ad esempio ransomware

Il componente Protezione rete di Microsoft Defender per endpoint identifica e blocca le connessioni alle infrastrutture C2 usate negli attacchi ransomware gestiti dall'uomo, usando tecniche come l'apprendimento automatico e l'identificazione intelligente dell'indicatore di compromissione (IoC).

Protezione di rete: nuove notifiche di tipo avviso popup

Nuovo mapping Categoria di risposta Origini
phishing Phishing Smartscreen
Dannoso Dannoso Smartscreen
comando e controllo C2 Smartscreen
comando e controllo COCO Smartscreen
Dannoso Attendibile Smartscreen
dall'amministratore IT CustomBlockList
dall'amministratore IT CustomPolicy

Nota

customAllowList non genera notifiche sugli endpoint.

Nuove notifiche per la determinazione della protezione di rete

Una nuova funzionalità disponibile pubblicamente nella protezione di rete usa funzioni in SmartScreen per bloccare le attività di phishing da siti di comando e controllo dannosi.

Quando un utente finale tenta di visitare un sito Web in un ambiente in cui è abilitata la protezione di rete, sono possibili tre scenari:

  • L'URL ha una buona reputazione nota : in questo caso all'utente è consentito l'accesso senza ostacoli e non viene visualizzata alcuna notifica di tipo avviso popup nell'endpoint. In effetti, il dominio o l'URL è impostato su Consentito.
  • L'URL ha una reputazione sconosciuta o incerta : l'accesso dell'utente è bloccato, ma con la possibilità di aggirare (sbloccare) il blocco. In effetti, il dominio o l'URL è impostato su Audit.
  • L'URL ha una reputazione nota non valida (dannosa): all'utente viene impedito l'accesso. In effetti, il dominio o l'URL è impostato su Blocca.

Esperienza di avviso

Un utente visita un sito Web:

  • Se l'URL ha una reputazione sconosciuta o incerta, una notifica di tipo avviso popup presenterà all'utente le opzioni seguenti:

    • Ok : la notifica di tipo avviso popup viene rilasciata (rimossa) e il tentativo di accesso al sito è terminato.
    • Sblocca: l'utente non dovrà accedere al portale di Windows Defender Security Intelligence (WDSI) per ottenere l'accesso al sito. L'utente avrà accesso al sito per 24 ore; a quel punto il blocco viene riabilitato per altre 24 ore. L'utente può continuare a usare Sblocca per accedere al sito fino a quando l'amministratore non proibisce (blocca) il sito, rimuovendo così l'opzione Sblocca.
    • Feedback : la notifica di tipo avviso popup presenta all'utente un collegamento per inviare un ticket, che l'utente può usare per inviare commenti e suggerimenti all'amministratore nel tentativo di giustificare l'accesso al sito.

    Mostra una notifica di avviso del contenuto di phishing della protezione di rete

    [NOTA!] Le immagini mostrate qui per l'esperienza di avviso e l'esperienza di blocco (sotto) elencano entrambi "URL bloccato" come testo segnaposto di esempio; in un ambiente funzionante verrà elencato l'URL o il dominio effettivo.

Esperienza di blocco

Un utente visita un sito Web:

  • Se l'URL ha una reputazione errata, una notifica di tipo avviso popup presenterà all'utente le opzioni seguenti:

    • Ok La notifica di tipo avviso popup viene rilasciata (rimossa) e il tentativo di accesso al sito è terminato.
    • Valutazione La notifica di tipo avviso popup presenta all'utente un collegamento per inviare un ticket, che l'utente può usare per inviare commenti e suggerimenti all'amministratore nel tentativo di giustificare l'accesso al sito.

     Mostra una notifica di blocco del contenuto di phishing noto per la protezione di rete

Protezione di rete: rilevamento e correzione C2

Nella sua forma iniziale, ransomware è una minaccia merce, pre-programmato e incentrato su risultati limitati e specifici (ad esempio, la crittografia di un computer). Tuttavia, il ransomware si è evoluto in una minaccia sofisticata che è guidata dall'uomo, adattiva e incentrata su scala più ampia e risultati più diffusi; come tenere in possesso di asset o dati di un'intera organizzazione per riscatto.

Il supporto per il comando e il controllo (C2) è una parte fondamentale di questa evoluzione ransomware ed è ciò che consente a questi attacchi di adattarsi all'ambiente di destinazione. Interrompere il collegamento all'infrastruttura di comando e controllo significa arrestare la progressione di un attacco alla fase successiva.

Rilevamento e correzione di CobaltStrike (anteprima pubblica)

Uno dei framework post-sfruttamento più comuni usati negli attacchi ransomware gestiti dall'uomo è CobaltStrike. I team di Intelligence per le minacce di Microsoft monitorano tattiche, tecniche e procedure (TTTP) in più gruppi di attività che distribuiscono ransomware per identificare modelli di comportamento che possono essere usati per difendersi da strategie specifiche e vettori di minacce usati da attori malintenzionati. Questi gruppi di attività ransomware tutti, a un certo punto del ciclo di vita degli attacchi, comportano la distribuzione di un CobaltStrike Beacon al computer di una vittima per abilitare l'attività pratica tastiera.

CobaltStrike consente la personalizzazione di più aspetti dell'attacco, dalla possibilità di ospitare più listener che rispondono a protocolli diversi, al modo in cui il componente lato client principale (Beacon) deve eseguire l'inserimento del codice ed eseguire processi post-sfruttamento. Quando Microsoft Defender rileva CobaltStrike, può trovare e raccogliere in modo intelligente gli indicatori chiave di compromissione (IoC). Una volta acquisiti, questi indicatori vengono condivisi in tutto lo stack di prodotti Microsoft per scopi di rilevamento e protezione.

Il rilevamento dei comandi e dei controlli di Microsoft Defender non è limitato a CobaltStrike. Microsoft Defender può acquisire i principali ioC di più famiglie di malware. Gli indicatori vengono condivisi nello stack di protezione Microsoft per proteggere i clienti e avvisarli in caso di compromissione.

Il blocco delle comunicazioni di comando e controllo può impedire gravemente un attacco mirato, dando ai difensori il tempo di trovare i vettori di ingresso iniziali e chiuderli prima di un altro tentativo di attacco.

Sblocco dello schermo intelligente

Una nuova funzionalità in indicatori di Microsoft Defender per endpoint consente agli amministratori di consentire agli utenti finali di ignorare gli avvisi generati per alcuni URL e indirizzi IP. A seconda del motivo per cui l'URL è stato bloccato, quando viene rilevato un blocco smart screen può offrire agli amministratori la possibilità di sbloccare il sito per un massimo di 24 ore. In questi casi verrà visualizzata una notifica di tipo avviso popup Sicurezza di Windows, consentendo all'utente finale di sbloccare l'URL o l'IP per il periodo di tempo definito.

notifica Sicurezza di Windows per la protezione di rete

Microsoft Defender per endpoint gli amministratori possono configurare la funzionalità di sblocco dello schermo intelligente in Microsoft 365 Defender, usando lo strumento di configurazione seguente. Dal portale di Microsoft 365 Defender passare al percorso di ConfigToolName.

Modulo ULR e IP per la configurazione del blocco smart screen di protezione della rete

Uso della protezione di rete

La protezione di rete è abilitata per ogni dispositivo, che in genere viene eseguita usando l'infrastruttura di gestione. Per i metodi supportati, vedere Attivare la protezione di rete.

Nota

Antivirus Microsoft Defender deve essere attivo per abilitare la protezione di rete.

È possibile abilitare Protezione di rete in modalità di controllo o In modalità blocco . Se si vuole valutare l'impatto dell'abilitazione di Protezione di rete prima di bloccare gli URL o gli INDIRIZZI IP, è possibile abilitarlo in modalità di controllo per un periodo di tempo per raccogliere dati su ciò che verrebbe bloccato. Log della modalità di controllo quando gli utenti finali si sono connessi a un indirizzo o a un sito che altrimenti sarebbe stato bloccato dalla protezione di rete.

Ricerca avanzata

Se si usa Ricerca avanzata per identificare gli eventi di controllo, la cronologia sarà disponibile fino a 30 giorni dalla console. Vedere Ricerca avanzata.

È possibile trovare i dati di controllo in Ricerca avanzata nel portale di Microsoft Defender per endpoint.

Gli eventi si trovano in DeviceEvents con ActionType di ExploitGuardNetworkProtectionAudited. I blocchi vengono visualizzati da ExploitGuardNetworkProtectionBlocked.

L'esempio seguente include le azioni bloccate:

DeviceEvents

  • Where ActionType in ('ExploitGuardNetworkProtectionAudited','ExploitGuardNetworkProtectionBlocked')

Ricerca avanzata per il controllo e l'identificazione degli eventi

Suggerimento

Queste voci includono dati nella colonna AdditionalFields che offrono ottime informazioni sull'azione, se si espande AdditionalFields è anche possibile ottenere i campi : IsAudit, ResponseCategory e DisplayName.

DeviceEvents:

  • dove ActionType contiene "ExploitGuardNetworkProtection"
  • extend ParsedFields=parse_json(AdditionalFields)
  • project DeviceName, ActionType, Timestamp, RemoteUrl, InitiatingProcessFileName, IsAudit=tostring(ParsedFields.IsAudit), ResponseCategory=tostring(ParsedFields.ResponseCategory), DisplayName=tostring(ParsedFields.DisplayName)
  • sort by Timestamp desc

La categoria di risposta indica la causa dell'evento, ad esempio:

ResponseCategory Funzionalità responsabile dell'evento
CustomPolicy WCF
CustomBlockList Indicatori personalizzati
CasbPolicy Defender per app cloud
Dannoso Minacce Web
Phishing Minacce Web

Per altre informazioni, vedere Risolvere i problemi relativi ai blocchi di endpoint.

È possibile usare l'elenco risultante di URL e INDIRIZZI IP per determinare cosa sarebbe stato bloccato se il dispositivo fosse in modalità blocco, nonché quale funzionalità li ha bloccati. Esaminare ogni elemento nell'elenco per identificare url o indirizzi IP se sono necessari per l'ambiente. Se si trovano voci controllate che sono cruciali per l'ambiente, creare un indicatore per consentirle nella rete. Consenti gli indicatori URL/IP hanno la precedenza su qualsiasi blocco.

Dopo aver creato un indicatore, è possibile esaminare la risoluzione del problema sottostante:

  • Smart screen : revisione della richiesta
  • Indicatore: modificare l'indicatore esistente
  • MCA : esaminare l'APP non autorizzata
  • WCF: riassumizione delle richieste

Usando questi dati è possibile prendere una decisione informata sull'abilitazione della protezione di rete in modalità blocco. Vedere Ordine di precedenza per i blocchi di protezione di rete.

Nota

Poiché si tratta di un'impostazione per dispositivo se sono presenti dispositivi che non possono passare alla modalità Blocco, è sufficiente lasciarli in controllo fino a quando non è possibile correggere la richiesta e si riceveranno comunque gli eventi di controllo.

Per informazioni su come segnalare falsi positivi, vedere Segnalare falsi positivi.

Per informazioni dettagliate su come creare report di Power BI personalizzati, vedere Creare report personalizzati usando Power BI.

Configurazione della protezione di rete

Per altre informazioni su come abilitare la protezione di rete, vedere Abilitare la protezione di rete. Usare Criteri di gruppo, PowerShell o CSP MDM per abilitare e gestire la protezione di rete nella rete.

Dopo aver abilitato i servizi, potrebbe essere necessario configurare la rete o il firewall per consentire le connessioni tra i servizi e i dispositivi (detti anche endpoint).

  • .smartscreen.microsoft.com
  • .smartscreen-prod.microsoft.com

Visualizzazione degli eventi di protezione di rete

La protezione di rete funziona meglio con Microsoft Defender per endpoint, che offre report dettagliati sugli eventi di protezione dagli exploit e sui blocchi come parte degli scenari di analisi degli avvisi.

Quando la protezione di rete blocca una connessione, viene visualizzata una notifica dal Centro notifiche. Il team delle operazioni di sicurezza può personalizzare la notifica con i dettagli e le informazioni di contatto dell'organizzazione. Inoltre, le singole regole di riduzione della superficie di attacco possono essere abilitate e personalizzate in base a determinate tecniche da monitorare.

È anche possibile usare la modalità di controllo per valutare l'impatto della protezione di rete sull'organizzazione se fosse abilitata.

Esaminare gli eventi di protezione di rete nel portale di Microsoft 365 Defender

Microsoft Defender per endpoint fornisce report dettagliati su eventi e blocchi nell'ambito degli scenari di analisi degli avvisi. È possibile visualizzare questi dettagli nel portale di Microsoft 365 Defender (https://security.microsoft.com) nella coda degli avvisi o usando la ricerca avanzata. Se si usa la modalità di controllo, è possibile usare la ricerca avanzata per vedere in che modo le impostazioni di protezione della rete influiranno sull'ambiente se fossero abilitate.

Ecco una query di esempio per la ricerca avanzata:

DeviceNetworkEvents
|where ActionType in ('ExploitGuardNetworkProtectionAudited','ExploitGuardNetworkProtectionBlocked', 'ConnectionSuccess')

Esaminare gli eventi di protezione di rete in Windows Visualizzatore eventi

È possibile esaminare il registro eventi Windows per visualizzare gli eventi creati quando la protezione di rete blocca (o controlla) l'accesso a un indirizzo IP o a un dominio dannoso:

  1. Copiare direttamente il codice XML.

  2. Selezionare OK.

Questa procedura crea una visualizzazione personalizzata che filtra per visualizzare solo gli eventi seguenti relativi alla protezione di rete:


ID evento Descrizione
5007 Evento quando vengono modificate le impostazioni
1125 Evento quando la protezione di rete viene attivata in modalità di controllo
1126 Evento quando la protezione di rete viene attivata in modalità blocco

Protezione di rete e handshake a tre vie TCP

Con la protezione di rete, la determinazione se consentire o bloccare l'accesso a un sito viene effettuata dopo il completamento dell'handshake a tre vie tramite TCP/IP. Pertanto, quando un sito è bloccato dalla protezione di rete, è possibile che venga visualizzato un tipo di azione di in nel portale di ConnectionSuccess NetworkConnectionEvents Microsoft 365 Defender, anche se il sito è stato effettivamente bloccato. NetworkConnectionEvents vengono segnalati dal livello TCP e non dalla protezione di rete. Al termine dell'handshake a tre vie, l'accesso al sito è consentito o bloccato dalla protezione di rete.

Ecco un esempio di come funziona:

  1. Si supponga che un utente tenti di accedere a un sito Web nel proprio dispositivo. Il sito è ospitato in un dominio pericoloso e deve essere bloccato dalla protezione di rete.

  2. Inizia l'handshake a tre vie tramite TCP/IP. Prima del completamento, viene registrata un'azione NetworkConnectionEvents e la relativa ActionType azione viene elencata come ConnectionSuccess. Tuttavia, non appena il processo di handshake a tre vie viene completato, la protezione di rete blocca l'accesso al sito. Tutto questo accade molto rapidamente. Un processo simile si verifica con Microsoft Defender SmartScreen; è quando l'handshake a tre vie viene completato che viene effettuata una determinazione e l'accesso a un sito è bloccato o consentito.

  3. Nel portale di Microsoft 365 Defender viene elencato un avviso nella coda degli avvisi. I dettagli dell'avviso includono sia che NetworkConnectionEvents AlertEvents. È possibile notare che il sito è stato bloccato, anche se si dispone anche di un NetworkConnectionEvents elemento con ActionType di ConnectionSuccess.

Considerazioni per Windows desktop virtuale in esecuzione Windows 10 Enterprise multisessione

A causa della natura multiutenti di Windows 10 Enterprise, tenere presente quanto segue:

  1. La protezione di rete è una funzionalità a livello di dispositivo e non può essere destinata a sessioni utente specifiche.

  2. I criteri di filtro del contenuto Web sono anche a livello di dispositivo.

  3. Se è necessario distinguere tra gruppi di utenti, è consigliabile creare pool di host e assegnazioni di Desktop virtuale Windows separati.

  4. Testare la protezione della rete in modalità di controllo per valutarne il comportamento prima dell'implementazione.

  5. Valutare la possibilità di ridimensionare la distribuzione se si dispone di un numero elevato di utenti o di un numero elevato di sessioni multiutente.

Opzione alternativa per la protezione di rete

Per Windows 10 Enterprise multisessione 1909 e successive, usato in desktop virtuale Windows in Azure, è possibile abilitare la protezione di rete per Microsoft Edge usando il metodo seguente:

  1. Usare Attiva protezione di rete e seguire le istruzioni per applicare i criteri.

  2. Eseguire i comandi di PowerShell seguenti:

  • Set-MpPreference -EnableNetworkProtection Enabled
  • Set-MpPreference -AllowNetworkProtectionOnWinServer 1
  • Set-MpPreference -AllowNetworkProtectionDownLevel 1
  • Set-MpPreference -AllowDatagramProcessingOnWinServer 1

Risoluzione dei problemi di protezione della rete

A causa dell'ambiente in cui viene eseguita la protezione di rete, Microsoft potrebbe non essere in grado di rilevare le impostazioni proxy del sistema operativo. In alcuni casi, i client di protezione di rete non riescono a raggiungere il servizio cloud. Per risolvere il problema di connettività, i clienti con licenze E5 devono configurare una delle chiavi del Registro di sistema seguenti:

reg add "HKLM\Software\Microsoft\Windows Defender" /v ProxyServer /d "<proxy IP address: Port>" /f
reg add "HKLM\Software\Microsoft\Windows Defender" /v ProxyPacUrl /d "<Proxy PAC url>" /f

Vedere anche