Netwerkbeveiliging voor macOS

Van toepassing op:

• Microsoft Microsoft Defender XDR voor eindpuntabonnement 1
• Microsoft Microsoft Defender XDR voor eindpuntabonnement 2
• Microsoft Defender XDR

Overzicht

Microsoft-netwerkbeveiliging helpt de kwetsbaarheid voor aanvallen van uw apparaten te verminderen door internetgebeurtenissen. Hiermee voorkomt u dat werknemers een toepassing gebruiken voor toegang tot gevaarlijke domeinen die mogelijk als host fungeren:

• phishing-oplichting
• Exploits
• andere schadelijke inhoud op internet

Netwerkbeveiliging breidt het bereik van Microsoft Defender XDR SmartScreen uit om al het uitgaande HTTP(s)-verkeer te blokkeren dat verbinding probeert te maken met bronnen met een lage reputatie. De blokken voor uitgaand HTTP(s)-verkeer zijn gebaseerd op het domein of de hostnaam.

Beschikbaarheid

Netwerkbeveiliging voor macOS is nu beschikbaar voor alle Microsoft Defender voor Eindpunt ingebouwde macOS-apparaten die voldoen aan de minimale vereisten. Al uw momenteel geconfigureerde beleidsregels voor netwerkbeveiliging en webbedreigingen worden afgedwongen op macOS-apparaten waarop Netwerkbeveiliging is geconfigureerd voor de blokmodus.

Als u Netwerkbeveiliging voor macOS wilt implementeren, raden we de volgende acties aan:

• Creatie een apparaatgroep voor een kleine set apparaten die u kunt gebruiken om netwerkbeveiliging te testen.
• Evalueer de impact van Web Threat Protection, Custom Indicators of Compromise, Web Content Filtering en Microsoft Defender for Cloud Apps afdwingingsbeleid dat gericht is op macOS-apparaten waarop Netwerkbeveiliging in de blokmodus staat.
• Implementeer een controle- of blokmodusbeleid voor deze apparaatgroep en controleer of er geen problemen of verbroken werkstromen zijn.
• Implementeer netwerkbeveiliging geleidelijk naar een grotere set apparaten totdat deze wordt geïmplementeerd.

Huidige mogelijkheden

• Aangepaste indicatoren van inbreuk op domeinen en IP-adressen.
• Ondersteuning voor het filteren van webinhoud:
  • Blokkeer websitecategorieën die zijn afgestemd op apparaatgroepen via beleidsregels die zijn gemaakt in de Microsoft Defender-portal.
  • Beleid wordt toegepast op browsers, waaronder Chromium Microsoft Edge voor macOS.
• Geavanceerde opsporing: netwerkgebeurtenissen worden weergegeven in de machinetijdlijn en kunnen worden opgevraagd in Geavanceerde opsporing om beveiligingsonderzoeken te ondersteunen.
• Microsoft Defender voor Cloud-apps:
  • Schaduw-IT-detectie: bepaal welke apps worden gebruikt in uw organisatie.
  • Toepassingen blokkeren: hiermee kunt u voorkomen dat volledige toepassingen (zoals Slack en Facebook) in uw organisatie worden gebruikt.
• Zakelijke VPN naast of naast netwerkbeveiliging:
  • Er worden momenteel geen VPN-conflicten geïdentificeerd.
  • Als u conflicten ondervindt, kunt u feedback geven via het feedbackkanaal onderaan deze pagina.

Bekende problemen

• UX blokkeren/waarschuwen is niet aanpasbaar en vereist mogelijk andere wijzigingen in het uiterlijk. (Feedback van klanten wordt verzameld om verdere ontwerpverbeteringen te stimuleren)
• Er is een bekend probleem met incompatibiliteit van toepassingen met de functie 'Tunnel per app' van VMware. (Deze incompatibiliteit kan ertoe leiden dat verkeer dat via de 'per-app tunnel' gaat, niet kan worden geblokkeerd.)
• Er is een bekend probleem met incompatibiliteit van de toepassing met Blue Coat Proxy. (Deze incompatibiliteit kan ertoe leiden dat de netwerklaag vastloopt in niet-gerelateerde toepassingen wanneer zowel Blue Coat Proxy als Netwerkbeveiliging zijn ingeschakeld.)

Belangrijke notities

• We raden u af om netwerkbeveiliging te beheren vanuit Systeemvoorkeuren met behulp van de knop Verbinding verbreken. Gebruik in plaats daarvan het opdrachtregelprogramma mdatp of JAMF/Intune om netwerkbeveiliging voor macOS te beheren.
• Om de effectiviteit van macOS-beveiliging tegen webbedreigingen te evalueren, raden we u aan deze te proberen in andere browsers dan Microsoft Edge voor macOS (bijvoorbeeld Safari). Microsoft Edge voor macOS heeft ingebouwde beveiliging tegen webbedreigingen die is ingeschakeld, ongeacht of de mac-netwerkbeveiligingsfunctie die u evalueert, is ingeschakeld of niet.

Opmerking

Microsoft Edge voor macOS biedt momenteel geen ondersteuning voor het filteren van webinhoud, aangepaste indicatoren of andere bedrijfsfuncties. Netwerkbeveiliging biedt deze beveiliging echter aan Microsoft Edge voor macOS als netwerkbeveiliging is ingeschakeld.

Vereisten

• Licentieverlening: Microsoft Defender XDR voor Eindpuntplan 1 of Microsoft Defender XDR voor Eindpuntplan 2 (kan een proefversie zijn)
• Onboarded Machines:
  • Minimale macOS-versie: 11
  • Productversie 101.94.13 of hoger

Implementatie-instructies

Microsoft Defender XDR voor eindpunt

Installeer de meest recente productversie via Microsoft AutoUpdate. Voer de volgende opdracht uit vanuit de Terminal om Microsoft AutoUpdate te openen:

open /Library/Application\ Support/Microsoft/MAU2.0/Microsoft\ AutoUpdate.app

Configureer het product met uw organisatiegegevens met behulp van de instructies in onze openbare documentatie.

Netwerkbeveiliging is standaard uitgeschakeld, maar kan worden geconfigureerd om te worden uitgevoerd in een van de volgende modi (ook wel afdwingingsniveaus genoemd):

• Controleren: handig om te controleren of dit geen invloed heeft op Line-Of-Business-apps of om een idee te krijgen van hoe vaak blokken optreden
• Blokkeren: netwerkbeveiliging voorkomt verbinding met schadelijke websites
• Uitgeschakeld: alle onderdelen die zijn gekoppeld aan netwerkbeveiliging zijn uitgeschakeld

U kunt deze functie op een van de volgende manieren implementeren: handmatig, via JAMF of via Intune. In de volgende secties worden deze methoden in detail beschreven.

Handmatige implementatie

Als u het afdwingingsniveau wilt configureren, voert u de volgende opdracht uit vanuit de terminal:

mdatp config network-protection enforcement-level --value [enforcement-level]

Als u bijvoorbeeld netwerkbeveiliging wilt configureren voor uitvoering in de blokkeringsmodus, voert u de volgende opdracht uit:

mdatp config network-protection enforcement-level --value block

Als u wilt controleren of de netwerkbeveiliging is gestart, voert u de volgende opdracht uit vanuit de terminal en controleert u of 'gestart' wordt afgedrukt:

mdatp health --field network_protection_status

JAMF-implementatie

Voor een geslaagde JAMF-implementatie is een configuratieprofiel vereist om het afdwingingsniveau van netwerkbeveiliging in te stellen. Nadat u dit configuratieprofiel hebt gemaakt, wijst u het toe aan de apparaten waarop u netwerkbeveiliging wilt inschakelen.

Het afdwingingsniveau configureren

Opmerking: als u Microsoft Defender XDR voor Eindpunt op Mac al hebt geconfigureerd met behulp van de instructies hier, werkt u het plist-bestand bij dat u eerder hebt geïmplementeerd met de onderstaande inhoud en implementeert u het opnieuw vanuit JAMF.

1. Selecteer inConfiguratieprofielen voor computers>Opties>Toepassingen & Aangepaste instellingen
2. Selecteer Bestand uploaden (PLIST-bestand)
3. Voorkeursdomein instellen op com.microsoft.wdav
4. Upload het volgende plist-bestand

<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1.0">
<dict>
    <key>networkProtection</key>
    <dict>
        <key>enforcementLevel</key>
        <string>block</string>
    </dict>
</dict>
</plist>

Intune implementatie

Voor een geslaagde Intune-implementatie is een configuratieprofiel vereist om het afdwingingsniveau van netwerkbeveiliging in te stellen. Nadat u dit configuratieprofiel hebt gemaakt, wijst u het toe aan de apparaten waarop u netwerkbeveiliging wilt inschakelen.

Het afdwingingsniveau configureren met behulp van Intune

Opmerking

Als u Microsoft Defender voor Eindpunt op Mac al hebt geconfigureerd met behulp van de vorige instructies (met een XML-bestand), verwijdert u het vorige aangepaste configuratiebeleid en vervangt u dit door de onderstaande instructies.

1. Open Apparaatconfiguratie beheren>. SelecteerProfielen>beheren>Creatie Profiel.
2. Wijzig Platform in macOS en Profieltype in Instellingencatalogus. Selecteer Maken.
3. Geef een naam op voor het profiel.
4. Selecteer in het scherm Configuratie-instellingende optie Instellingen toevoegen. Selecteer Microsoft Defender>Netwerkbeveiliging en schakel het selectievakje Afdwingingsniveau in.
5. Stel het afdwingingsniveau in om te blokkeren. Selecteer Volgende
6. Open het configuratieprofiel en upload het com.microsoft.wdav.xml-bestand. (Dit bestand is gemaakt in stap 3.)
7. Selecteer OK
8. Selecteer Toewijzingen beheren>. Selecteer op het tabblad Opnemen de apparaten waarvoor u netwerkbeveiliging wilt inschakelen.

Mobileconfig-implementatie

De configuratie implementeren via een .mobileconfig-bestand, dat kan worden gebruikt met niet-Microsoft MDM-oplossingen of rechtstreeks naar apparaten kan worden gedistribueerd:

1. Sla de volgende nettolading op als com.microsoft.wdav.xml.mobileconfig

   <?xml version="1.0" encoding="utf-8"?>
   <!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
   <plist version="1">
       <dict>
           <key>PayloadUUID</key>
           <string>C4E6A782-0C8D-44AB-A025-EB893987A295</string>
           <key>PayloadType</key>
           <string>Configuration</string>
           <key>PayloadOrganization</key>
           <string>Microsoft</string>
           <key>PayloadIdentifier</key>
           <string>com.microsoft.wdav</string>
           <key>PayloadDisplayName</key>
           <string>Microsoft Defender ATP settings</string>
           <key>PayloadDescription</key>
           <string>Microsoft Defender ATP configuration settings</string>
           <key>PayloadVersion</key>
           <integer>1</integer>
           <key>PayloadEnabled</key>
           <true/>
           <key>PayloadRemovalDisallowed</key>
           <true/>
           <key>PayloadScope</key>
           <string>System</string>
           <key>PayloadContent</key>
           <array>
               <dict>
                   <key>PayloadUUID</key>
                   <string>99DBC2BC-3B3A-46A2-A413-C8F9BB9A7295</string>
                   <key>PayloadType</key>
                   <string>com.microsoft.wdav</string>
                   <key>PayloadOrganization</key>
                   <string>Microsoft</string>
                   <key>PayloadIdentifier</key>
                   <string>com.microsoft.wdav</string>
                   <key>PayloadDisplayName</key>
                   <string>Microsoft Defender ATP configuration settings</string>
                   <key>PayloadDescription</key>
                   <string/>
                   <key>PayloadVersion</key>
                   <integer>1</integer>
                   <key>PayloadEnabled</key>
                   <true/>
                   <key>networkProtection</key>
                   <dict>
                       <key>enforcementLevel</key>
                       <string>block</string>
                   </dict>
               </dict>
           </array>
       </dict>
   </plist>
   

2. Controleer of het bovenstaande bestand correct is gekopieerd. Voer vanuit de terminal de volgende opdracht uit en controleer of deze ok wordt uitgevoerd:

   plutil -lint com.microsoft.wdav.xml
   

De functies verkennen

1. Meer informatie over het beveiligen van uw organisatie tegen webbedreigingen met bescherming tegen webbedreigingen.

   • Beveiliging tegen webdreigingen maakt deel uit van webbeveiliging in Microsoft Defender voor Eindpunt. Het maakt gebruik van netwerkbeveiliging om uw apparaten te beveiligen tegen webbedreigingen.

2. Voer de stroom Custom Indicators of Compromise uit om blokken op te halen voor het type Aangepaste indicator.

3. Webinhoud filteren verkennen.

   Opmerking

   Als u een beleid verwijdert of apparaatgroepen tegelijkertijd wijzigt, kan dit leiden tot een vertraging in de beleidsimplementatie. Tip van een professional: u kunt een beleid implementeren zonder een categorie in een apparaatgroep te selecteren. Met deze actie wordt een beleid voor alleen controle gemaakt, zodat u inzicht krijgt in het gedrag van gebruikers voordat u een blokbeleid maakt.

   Het maken van een apparaatgroep wordt ondersteund in Defender for Endpoint Plan 1 en Plan 2.

4. Integreer Microsoft Defender voor Eindpunt met Defender for Cloud Apps en uw macOS-apparaten met netwerkbeveiliging hebben mogelijkheden voor het afdwingen van eindpuntbeleid.

   Opmerking

   Detectie en andere functies worden momenteel niet ondersteund op deze platforms.

Scenario's

De volgende scenario's worden ondersteund.

Webbedreigingsbeveiliging

Beveiliging tegen webdreigingen maakt deel uit van webbeveiliging in Microsoft Defender XDR voor Eindpunt. Het maakt gebruik van netwerkbeveiliging om uw apparaten te beveiligen tegen webbedreigingen. Door te integreren met Microsoft Edge voor macOS en populaire niet-Microsoft-browsers, zoals Chrome en Firefox, stopt beveiliging tegen webbedreigingen webbedreigingen zonder webproxy. Bescherming tegen webbedreigingen kan apparaten beschermen terwijl ze on-premises of afwezig zijn. Beveiliging tegen webdreigingen stopt de toegang tot de volgende typen sites:

• phishingsites
• malwarevectoren
• exploit sites
• niet-vertrouwde sites of sites met een lage reputatie
• sites die zijn geblokkeerd in uw aangepaste indicatorlijst

Zie Uw organisatie beschermen tegen webrisico's voor meer informatie

Aangepaste indicatoren van inbreuk

Indicator van het overeenkomen van inbreuk (IOC's) is een essentiële functie in elke oplossing voor eindpuntbeveiliging. Deze mogelijkheid biedt SecOps de mogelijkheid om een lijst met indicatoren in te stellen voor detectie en blokkering (preventie en respons).

Creatie indicatoren die de detectie, preventie en uitsluiting van entiteiten definiëren. U kunt de actie definiëren die moet worden uitgevoerd, evenals de duur voor het toepassen van de actie en het bereik van de apparaatgroep waarop deze moet worden toegepast.

Momenteel worden ondersteunde bronnen de clouddetectie-engine van Defender for Endpoint, de engine voor geautomatiseerd onderzoek en herstel en de eindpuntpreventie-engine (Microsoft Defender Antivirus).

Zie voor meer informatie: Creatie indicatoren voor IP-adressen en URL's/domeinen.

Filteren van webinhoud

Filteren van webinhoud maakt deel uit van de mogelijkheden voor webbeveiliging in Microsoft Defender voor Eindpunt en Microsoft Defender voor Bedrijven. Met het filteren van webinhoud kan uw organisatie de toegang tot websites bijhouden en reguleren op basis van hun inhoudscategorieën. Veel van deze websites (zelfs als ze niet kwaadwillend zijn) kunnen problematisch zijn vanwege nalevingsvoorschriften, bandbreedtegebruik of andere problemen.

Configureer beleidsregels voor uw apparaatgroepen om bepaalde categorieën te blokkeren. Het blokkeren van een categorie voorkomt dat gebruikers binnen opgegeven apparaatgroepen toegang hebben tot URL's die zijn gekoppeld aan de categorie. Voor elke categorie die niet wordt geblokkeerd, worden de URL's automatisch gecontroleerd. Uw gebruikers hebben zonder onderbreking toegang tot de URL's en u verzamelt toegangsstatistieken om een meer aangepaste beleidsbeslissing te maken. Uw gebruikers zien een blokkeringsmelding als een element op de pagina die ze bekijken aanroepen doet naar een geblokkeerde resource.

Filteren van webinhoud is beschikbaar in de belangrijkste webbrowsers, met blokken die worden uitgevoerd door Netwerkbeveiliging (Safari, Chrome, Firefox, Brave en Opera). Zie Vereisten voor meer informatie over browserondersteuning.

Zie Webinhoud filteren voor meer informatie over rapportage.

Microsoft Defender for Cloud Apps

De Microsoft Defender for Cloud Apps/Cloud-app-catalogus identificeert apps die eindgebruikers moeten worden gewaarschuwd bij toegang tot Microsoft Defender XDR voor Eindpunt en markeer deze als Bewaakt. De domeinen die worden vermeld onder bewaakte apps, worden later gesynchroniseerd met Microsoft Defender XDR voor Eindpunt:

Binnen 10-15 minuten worden deze domeinen vermeld in Microsoft Defender XDR onder Indicatoren-URL's>/domeinen met Actie=Waarschuwen. In de SLA voor afdwingen (zie details aan het einde van dit artikel), ontvangen eindgebruikers waarschuwingsberichten wanneer ze toegang proberen te krijgen tot deze domeinen:

Wanneer de eindgebruiker toegang probeert te krijgen tot bewaakte domeinen, wordt deze gewaarschuwd door Defender voor Eindpunt.

• De gebruiker krijgt een eenvoudige blokkeringservaring, vergezeld van het volgende pop-upbericht, dat wordt weergegeven door het besturingssysteem, inclusief de naam van de geblokkeerde toepassing (bijvoorbeeld Blogger.com)

  

Als de eindgebruiker een blok tegenkomt, heeft de gebruiker twee mogelijke oplossingen:

Gebruikers omzeilen

• Voor de ervaring met pop-upberichten: Druk op de knop Blokkering opheffen. Door de webpagina opnieuw te laden, kan de gebruiker doorgaan en de cloud-app gebruiken. (Deze actie is van toepassing voor de komende 24 uur, waarna de gebruiker de blokkering opnieuw moet opheffen)

Gebruikerseducatie

• Voor een pop-upberichtervaring: druk op het pop-upbericht zelf. Eindgebruiker wordt omgeleid naar een aangepaste omleidings-URL die globaal is ingesteld in Microsoft Defender for Cloud Apps (meer informatie onderaan deze pagina)

Opmerking

Bypasses bijhouden per app** : u kunt bijhouden hoeveel gebruikers de waarschuwing hebben omzeild op de pagina Toepassing in Microsoft Defender for Cloud Apps.

Bijlage

SharePoint-sitesjabloon voor het onderwijscentrum voor eindgebruikers

Voor veel organisaties is het belangrijk om de cloudbesturingselementen van Microsoft Defender for Cloud Apps te gebruiken en niet alleen beperkingen voor eindgebruikers in te stellen wanneer dat nodig is, maar hen ook te informeren en te coachen over:

• het specifieke incident
• waarom het is gebeurd
• wat is de gedachte achter deze beslissing
• hoe het tegenkomen van bloksites kan worden beperkt

Bij onverwacht gedrag kan de verwarring van gebruikers worden verminderd door hen zoveel mogelijk informatie te geven, niet alleen om uit te leggen wat er is gebeurd, maar ook om hen te leren bewuster te zijn wanneer ze de volgende keer een cloud-app kiezen om hun taak te voltooien. Deze informatie kan bijvoorbeeld het volgende omvatten:

• Beveiligings- en nalevingsbeleidsregels en -richtlijnen voor internet- en cloudgebruik
• Goedgekeurde/aanbevolen cloud-apps voor gebruik
• Beperkte/geblokkeerde cloud-apps voor gebruik

Voor deze pagina raden we uw organisatie aan een eenvoudige SharePoint-site te gebruiken.

Belangrijke dingen die u moet weten

1. Het kan tot twee uur (meestal minder) duren voordat app-domeinen zijn doorgegeven en bijgewerkt op de eindpuntapparaten, nadat deze is gemarkeerd als Bewaakt.
2. Standaard wordt actie uitgevoerd voor alle apps en domeinen die in Microsoft Defender for Cloud Apps portal zijn gemarkeerd als Bewaakt voor alle onboarded eindpunten in de organisatie.
3. Volledige URL's worden momenteel niet ondersteund en worden niet verzonden vanuit Microsoft Defender for Cloud Apps naar Microsoft Defender XDR voor eindpunt, als er volledige URL's worden vermeld onder Microsoft Defender for Cloud Apps bewaakte apps, waardoor de gebruiker niet wordt gewaarschuwd bij toegangspogingen (google.com/drive bijvoorbeeld niet wordt ondersteund, terwijl drive.google.com wel wordt ondersteund).

Geen melding van de eindgebruiker in browsers van derden? Controleer de instellingen van uw pop-upbericht.

Zie ook

• Microsoft Defender XDR voor eindpunt op Mac
• Microsoft Defender XDR voor eindpuntintegratie met Microsoft Microsoft Defender XDR for Cloud Apps
• Maak kennis met de innovatieve functies in Microsoft Edge
• Beveilig uw netwerk
• Netwerkbeveiliging inschakelen
• Webbeveiliging
• Indicatoren maken
• Filteren van webinhoud

Tip

Wil je meer weten? Engage met de Microsoft Security-community in onze Tech Community: Microsoft Defender voor Eindpunt Tech Community.