Beveilig uw netwerk

  • Artikel
  • 6 minuten om te lezen

Van toepassing op:

Platforms

  • Windows
  • macOS
  • Linux

Wilt u Microsoft Defender voor Eindpunt ervaren? Meld u aan voor een gratis proefversie.

Overzicht van netwerkbeveiliging

Netwerkbeveiliging helpt apparaten te beschermen tegen internetgebeurtenissen. Netwerkbeveiliging is een mogelijkheid om kwetsbaarheid voor aanvallen te verminderen. Het helpt voorkomen dat werknemers toegang krijgen tot gevaarlijke domeinen via toepassingen. Domeinen die phishingpraktijken, aanvallen en andere schadelijke inhoud op internet hosten, worden als gevaarlijk beschouwd. Netwerkbeveiliging breidt het bereik van Microsoft Defender SmartScreen uit om al het uitgaande HTTP-verkeer te blokkeren dat verbinding probeert te maken met bronnen met een lage reputatie (op basis van het domein of de hostnaam).

Met netwerkbeveiliging wordt de beveiliging in webbeveiliging uitgebreid naar het niveau van het besturingssysteem. Het biedt de functionaliteit voor webbeveiliging in Microsoft Edge voor andere ondersteunde browsers en niet-browsertoepassingen. Netwerkbeveiliging biedt ook zichtbaarheid en blokkering van indicatoren van inbreuk (IOC's) wanneer deze worden gebruikt met eindpuntdetectie en -respons. Netwerkbeveiliging werkt bijvoorbeeld met uw aangepaste indicatoren die u kunt gebruiken om specifieke domeinen of hostnamen te blokkeren.

Bekijk deze video om te leren hoe netwerkbeveiliging helpt het aanvalsoppervlak van uw apparaten te verminderen tegen phishingpraktijken, aanvallen en andere schadelijke inhoud.

Vereisten voor netwerkbeveiliging

Netwerkbeveiliging vereist Windows 10 of 11 (Pro of Enterprise), Windows Server-versie 1803 of later, macOS-versie 11 of later, of Defender Ondersteunde Linux-versies en Microsoft Defender Antivirus realtime-beveiliging.

Windows-versie Microsoft Defender Antivirus
Windows 10 versie 1709 of later
Windows 11
Windows Server 1803 of later		 Realtime-beveiliging van Microsoft Defender Antivirus
en cloudbeveiliging moeten zijn ingeschakeld (actief)

Waarom netwerkbeveiliging belangrijk is

Netwerkbeveiliging maakt deel uit van de groep oplossingen voor het verminderen van kwetsbaarheid voor aanvallen in Microsoft Defender voor Eindpunt. Met netwerkbeveiliging wordt de netwerklaag van blokkerende URL's en IP-adressen gelaagd. Netwerkbeveiliging kan voorkomen dat URL's worden geopend met behulp van bepaalde browsers en standaardnetwerkverbindingen.

Netwerkbeveiliging beschermt uw computers standaard tegen bekende schadelijke URL's met behulp van de SmartScreen-feed, waarmee schadelijke URL's worden geblokkeerd op een manier die vergelijkbaar is met SmartScreen in de Microsoft Edge-browser. De functionaliteit voor netwerkbeveiliging kan worden uitgebreid naar:

Netwerkbeveiliging is een essentieel onderdeel van de Microsoft-beveiligings- en antwoordstack.

Tip

Zie Proactief opsporen naar bedreigingen met geavanceerde opsporing voor meer informatie over netwerkbeveiliging voor Windows Server, Linux, MacOS en Mobile Threat Defense (MTD).

C2-aanvallen (Command and Control) blokkeren

C2-servercomputers (Command and Control) worden door kwaadwillende gebruikers gebruikt om opdrachten te verzenden naar systemen die zijn aangetast door malware en vervolgens een bepaald type controle over aangetaste systemen uit te oefenen. C2-aanvallen worden meestal verborgen in cloudservices zoals services voor het delen van bestanden en webmail, waardoor de C2-servers detectie kunnen voorkomen door zich te mengen met normaal verkeer.

C2-servers kunnen worden gebruikt om opdrachten te initiëren die:

  • Gegevens stelen (bijvoorbeeld via phishing)
  • Aangetaste computers in een botnet beheren
  • Legitieme toepassingen verstoren
  • Malware verspreiden, zoals ransomware

Het netwerkbeveiligingsonderdeel van Defender voor Eindpunt identificeert en blokkeert verbindingen met C2-infrastructuren die worden gebruikt bij door mensen uitgevoerde ransomware-aanvallen, met behulp van technieken zoals machine learning en IoC-identificatie (Intelligent Indicator of Compromise).

Netwerkbeveiliging: nieuwe pop-upmeldingen

Nieuwe toewijzing Antwoordcategorie Bronnen
phishing Phishing Smartscreen
Kwaadaardige Kwaadaardig Smartscreen
opdracht en besturingselement C2 Smartscreen
opdracht en besturingselement COCO Smartscreen
Kwaadaardige Onbetrouwbare Smartscreen
door uw IT-beheerder CustomBlockList
door uw IT-beheerder CustomPolicy

Notitie

customAllowList genereert geen meldingen op eindpunten.

Nieuwe meldingen voor het bepalen van de netwerkbeveiliging

Een nieuwe, openbaar beschikbare functie in netwerkbeveiliging maakt gebruik van functies in SmartScreen om phishing-activiteiten van schadelijke opdracht- en beheersites te blokkeren.

Wanneer een eindgebruiker een website probeert te bezoeken in een omgeving waarin netwerkbeveiliging is ingeschakeld, zijn er drie scenario's mogelijk:

  • De URL heeft een bekende goede reputatie : in dit geval is de gebruiker toegang toegestaan zonder hindernis en wordt er geen pop-upmelding weergegeven op het eindpunt. Het domein of de URL is ingesteld op Toegestaan.
  • De URL heeft een onbekende of onzekere reputatie : de toegang van de gebruiker wordt geblokkeerd, maar met de mogelijkheid om het blok te omzeilen (deblokkeren). In feite is het domein of de URL ingesteld op Controle.
  • De URL heeft een bekende slechte (schadelijke) reputatie : de gebruiker heeft geen toegang. In feite is het domein of de URL ingesteld op Blokkeren.

Waarschuwingservaring

Een gebruiker bezoekt een website:

  • Als de URL een onbekende of onzekere reputatie heeft, wordt de gebruiker met de volgende opties weergegeven in een pop-upmelding:

    • OK - De pop-upmelding wordt vrijgegeven (verwijderd) en de poging om toegang te krijgen tot de site wordt beëindigd.
    • Deblokkeren: de gebruiker hoeft geen toegang te krijgen tot de Windows Defender WDSI-portal (Security Intelligence) om toegang tot de site te krijgen. De gebruiker heeft 24 uur toegang tot de site; op dat moment wordt het blok nog 24 uur opnieuw geactiveerd. De gebruiker kan Deblokkeren blijven gebruiken om toegang te krijgen tot de site totdat de beheerder de site verbiedt (blokkeert), waardoor de optie om de blokkering op te heffen wordt verwijderd.
    • Feedback : de pop-upmelding geeft de gebruiker een koppeling om een ticket in te dienen, die de gebruiker kan gebruiken om feedback te verzenden naar de beheerder in een poging om toegang tot de site te rechtvaardigen.

    Hiermee wordt een melding voor phishing-inhoud voor netwerkbeveiliging weergegeven

    [OPMERKING!] De afbeeldingen die hier worden weergegeven voor waarschuwingservaring en blokervaring (hieronder) vermelden beide 'geblokkeerde URL' als voorbeeldtekst van de tijdelijke aanduiding; in een functionerende omgeving wordt de werkelijke URL of het domein weergegeven.

Ervaring blokkeren

Een gebruiker bezoekt een website:

  • Als de URL een slechte reputatie heeft, wordt de gebruiker met de volgende opties weergegeven in een pop-upmelding:

    • OK De pop-upmelding wordt vrijgegeven (verwijderd) en de poging om toegang tot de site te krijgen, wordt beëindigd.
    • Feedback De pop-upmelding geeft de gebruiker een koppeling voor het indienen van een ticket, die de gebruiker kan gebruiken om feedback te verzenden naar de beheerder in een poging om toegang tot de site te rechtvaardigen.

    Toont een melding over geblokkeerde phishing-inhoud voor netwerkbeveiliging

Netwerkbeveiliging: C2-detectie en herstel

In de oorspronkelijke vorm is ransomware een basisbedreiging, vooraf geprogrammeerd en gericht op beperkte, specifieke resultaten (bijvoorbeeld het versleutelen van een computer). Ransomware is echter geëvolueerd tot een geavanceerde bedreiging die door mensen wordt aangestuurd, adaptief is en gericht is op grotere schaal en meer wijdverbreide resultaten; zoals het bewaren van activa of gegevens van een hele organisatie voor losgeld.

Ondersteuning voor Command and Control-servers (C2) is een belangrijk onderdeel van deze ransomware-evolutie en is wat deze aanvallen in staat stelt zich aan te passen aan de omgeving waarop ze zijn gericht. Het verbreken van de koppeling naar de opdracht-en-besturingsinfrastructuur stopt de voortgang van een aanval naar de volgende fase.

SmartScreen Deblokkeren

Een nieuwe functie in Defender voor Eindpunt-indicatoren stelt beheerders in staat om eindgebruikers toe te staan waarschuwingen te omzeilen die worden gegenereerd voor bepaalde URL's en IP-adressen. Afhankelijk van de reden waarom de URL is geblokkeerd, kan een SmartScreen-blok beheerders de mogelijkheid bieden om de blokkering van de site gedurende maximaal 24 uur op te heffen. In dergelijke gevallen wordt er een Windows-beveiliging pop-upmelding weergegeven, zodat de eindgebruiker de blokkering van de URL of HET IP-adres voor de gedefinieerde periode kan opheffen.

Windows-beveiliging melding voor netwerkbeveiliging

Microsoft Defender voor Eindpunt Beheerders kunnen smartscreen-deblokkeren op Microsoft 365 Defender configureren met behulp van het volgende configuratieprogramma. Navigeer vanuit de Microsoft 365 Defender-portal naar het pad naar de ConfigToolName.

SmartScreen-blokconfiguratie-ULR en IP-formulier voor netwerkbeveiliging

Netwerkbeveiliging gebruiken

Netwerkbeveiliging wordt ingeschakeld per apparaat. Dit gebeurt meestal met behulp van uw beheerinfrastructuur. Zie Netwerkbeveiliging inschakelen voor ondersteunde methoden.

Notitie

Microsoft Defender Antivirus moet actief zijn om netwerkbeveiliging in te schakelen.

U kunt netwerkbeveiliging inschakelen in de controlemodus of in de modus Blokkeren . Als u de impact van het inschakelen van netwerkbeveiliging wilt evalueren voordat u IP-adressen of URL's daadwerkelijk blokkeert, kunt u netwerkbeveiliging gedurende een periode in de controlemodus inschakelen om gegevens te verzamelen over wat zou worden geblokkeerd. Auditmoduslogboeken wanneer eindgebruikers verbinding hebben gemaakt met een adres of site die anders door netwerkbeveiliging zouden zijn geblokkeerd.

Geavanceerd opsporen

Als u geavanceerde opsporing gebruikt om controlegebeurtenissen te identificeren, hebt u een geschiedenis van maximaal 30 dagen beschikbaar via de console. Zie Geavanceerde opsporing.

U vindt de controlegegevens in Geavanceerde opsporing in de Defender for Endpoint-portal (https://security.microsoft.com).

De gebeurtenissen bevinden zich in DeviceEvents met een ActionType van ExploitGuardNetworkProtectionAudited. Blokken worden weergegeven door ExploitGuardNetworkProtectionBlocked.

Het volgende voorbeeld bevat de geblokkeerde acties:


DeviceEvents
|Where ActionType in ('ExploitGuardNetworkProtectionAudited','ExploitGuardNetworkProtectionBlocked')

Geavanceerde opsporing voor het controleren en identificeren van gebeurtenissen

Tip

Deze vermeldingen bevatten gegevens in de kolom AdditionalFields , die u geweldige informatie over de actie geeft. Als u AdditionalFields uitvouwt , kunt u ook de velden IsAudit, ResponseCategory en DisplayName ophalen.

Hier is nog een voorbeeld:


DeviceEvents:

|where ActionType contains "ExploitGuardNetworkProtection"
|extend ParsedFields=parse_json(AdditionalFields)
|project DeviceName, ActionType, Timestamp, RemoteUrl, InitiatingProcessFileName, IsAudit=tostring(ParsedFields.IsAudit), ResponseCategory=tostring(ParsedFields.ResponseCategory), DisplayName=tostring(ParsedFields.DisplayName)
|sort by Timestamp desc

De categorie Antwoord geeft aan wat de oorzaak van de gebeurtenis is, bijvoorbeeld:

ResponseCategory Functie die verantwoordelijk is voor de gebeurtenis
CustomPolicy Wcf
CustomBlockList Aangepaste indicatoren
CasbPolicy Defender voor Cloud-apps
Kwaadaardig Webbedreigingen
Phishing Webbedreigingen

Zie Problemen met eindpuntblokken oplossen voor meer informatie.

U kunt de resulterende lijst met URL's en IP-adressen gebruiken om te bepalen wat er zou zijn geblokkeerd als het apparaat zich in de blokkeringsmodus bevond en welke functie deze zou hebben geblokkeerd. Controleer elk item in de lijst om URL's of IP-adressen te identificeren of deze nodig zijn voor uw omgeving. Als u vermeldingen vindt die zijn gecontroleerd en die essentieel zijn voor uw omgeving, maakt u een indicator om deze in uw netwerk toe te staan. Url-/IP-indicatoren toestaan hebben voorrang op elk blok.

Zodra u een indicator hebt gemaakt, kunt u het onderliggende probleem oplossen:

  • SmartScreen – aanvraagbeoordeling
  • Indicator : bestaande indicator wijzigen
  • MCA – niet-goedgekeurde APP controleren
  • WCF - aanvraag opnieuwcategorisatie

Met deze gegevens kunt u een weloverwogen beslissing nemen over het inschakelen van netwerkbeveiliging in de blokkeringsmodus. Zie Volgorde van prioriteit voor netwerkbeveiligingsblokken.

Notitie

Omdat dit een instelling per apparaat is als er apparaten zijn die niet naar de blokkeringsmodus kunnen worden verplaatst, kunt u ze gewoon op controle laten staan totdat u de uitdaging kunt oplossen en u nog steeds de controlegebeurtenissen ontvangt.

Zie Fout-positieven rapporteren voor informatie over het rapporteren van fout-positieven.

Zie Aangepaste rapporten maken met Power BI voor meer informatie over het maken van uw eigen Power BI-rapporten.

Netwerkbeveiliging configureren

Zie Netwerkbeveiliging inschakelen voor meer informatie over het inschakelen van netwerkbeveiliging. Gebruik groepsbeleid, PowerShell of MDM CSP's om netwerkbeveiliging in uw netwerk in te schakelen en te beheren.

Nadat u de services hebt ingeschakeld, moet u mogelijk uw netwerk of firewall configureren om de verbindingen tussen de services en uw apparaten toe te staan (ook wel eindpunten genoemd).

  • .smartscreen.microsoft.com
  • .smartscreen-prod.microsoft.com

Netwerkbeveiligingsevenementen weergeven

Netwerkbeveiliging werkt het beste met Microsoft Defender voor Eindpunt, waarmee u gedetailleerde rapportage krijgt over gebeurtenissen en blokken voor misbruikbeveiliging als onderdeel van scenario's voor waarschuwingsonderzoek.

Wanneer netwerkbeveiliging een verbinding blokkeert, wordt er een melding weergegeven vanuit het Actiecentrum. Uw beveiligingsteam kan de melding aanpassen met de details en contactgegevens van uw organisatie. Daarnaast kunnen afzonderlijke regels voor het verminderen van kwetsbaarheid voor aanvallen worden ingeschakeld en aangepast aan bepaalde technieken om te bewaken.

U kunt ook de controlemodus gebruiken om te evalueren hoe netwerkbeveiliging van invloed is op uw organisatie als deze is ingeschakeld.

Netwerkbeveiligings gebeurtenissen in de Microsoft 365 Defender-portal controleren

Defender voor Eindpunt biedt gedetailleerde rapportage in gebeurtenissen en blokken als onderdeel van de scenario's voor waarschuwingsonderzoek. U kunt deze details bekijken in de Microsoft 365 Defender-portal (https://security.microsoft.com) in de wachtrij met waarschuwingen of met behulp van geavanceerde opsporing. Als u de controlemodus gebruikt, kunt u geavanceerde opsporing gebruiken om te zien hoe de instellingen voor netwerkbeveiliging van invloed zijn op uw omgeving als deze zijn ingeschakeld.

Hier is een voorbeeldquery voor geavanceerde opsporing:


DeviceNetworkEvents
|where ActionType in ('ExploitGuardNetworkProtectionAudited','ExploitGuardNetworkProtectionBlocked', 'ConnectionSuccess')

Netwerkbeveiligings gebeurtenissen in Windows Logboeken controleren

U kunt het Windows-gebeurtenislogboek bekijken om gebeurtenissen te zien die worden gemaakt wanneer netwerkbeveiliging de toegang tot een schadelijk IP-adres of domein blokkeert (of controleert):

  1. Kopieer de XML rechtstreeks.

  2. Selecteer OK.

Met deze procedure maakt u een aangepaste weergave die filtert om alleen de volgende gebeurtenissen weer te geven met betrekking tot netwerkbeveiliging:

Gebeurtenis-id Omschrijving
5007 Gebeurtenis wanneer instellingen worden gewijzigd
1125 Gebeurtenis wanneer netwerkbeveiliging wordt geactiveerd in de controlemodus
1126 Gebeurtenis wanneer netwerkbeveiliging wordt geactiveerd in de blokmodus

Netwerkbeveiliging en de tcp-handshake in drie richtingen

Met netwerkbeveiliging wordt bepaald of toegang tot een site moet worden toegestaan of geblokkeerd na de voltooiing van de handshake in drie richtingen via TCP/IP. Wanneer een site wordt geblokkeerd door netwerkbeveiliging, ziet u mogelijk een actietype ConnectionSuccess NetworkConnectionEvents onder in de Microsoft 365 Defender-portal, ook al is de site geblokkeerd. NetworkConnectionEvents worden gerapporteerd vanuit de TCP-laag en niet vanuit de netwerkbeveiliging. Nadat de handshake in drie richtingen is voltooid, wordt de toegang tot de site toegestaan of geblokkeerd door netwerkbeveiliging.

Hier is een voorbeeld van hoe dat werkt:

  1. Stel dat een gebruiker probeert toegang te krijgen tot een website op het apparaat. De site wordt gehost op een gevaarlijk domein en moet worden geblokkeerd door netwerkbeveiliging.

  2. De handshake in drie richtingen via TCP/IP begint. Voordat de actie is voltooid, wordt een NetworkConnectionEvents actie geregistreerd en wordt deze ActionType weergegeven als ConnectionSuccess. Zodra het handshake-proces in drie richtingen is voltooid, blokkeert netwerkbeveiliging echter de toegang tot de site. Dit alles gebeurt snel. Een vergelijkbaar proces vindt plaats met Microsoft Defender SmartScreen; Het is wanneer de handshake in drie richtingen voltooit dat er een beslissing wordt genomen en de toegang tot een site wordt geblokkeerd of toegestaan.

  3. In de Microsoft 365 Defender-portal wordt een waarschuwing weergegeven in de wachtrij voor waarschuwingen. Details van die waarschuwing zijn zowel als NetworkConnectionEvents AlertEvents. U kunt zien dat de site is geblokkeerd, ook al hebt u ook een NetworkConnectionEvents item met het ActionType van ConnectionSuccess.

Overwegingen voor Windows Virtual Desktop met Windows 10 Enterprise meerdere sessies

Houd rekening met de volgende punten vanwege de aard van Windows 10 Enterprise voor meerdere gebruikers:

  1. Netwerkbeveiliging is een apparaatbrede functie en kan niet worden gericht op specifieke gebruikerssessies.

  2. Beleidsregels voor het filteren van webinhoud zijn ook apparaatbrede beleidsregels.

  3. Als u onderscheid wilt maken tussen gebruikersgroepen, kunt u overwegen afzonderlijke Windows Virtual Desktop-hostgroepen en -toewijzingen te maken.

  4. Test netwerkbeveiliging in de controlemodus om het gedrag te beoordelen voordat deze wordt geïmplementeerd.

  5. Overweeg de grootte van uw implementatie te wijzigen als u een groot aantal gebruikers of een groot aantal sessies met meerdere gebruikers hebt.

Alternatieve optie voor netwerkbeveiliging

Voor Windows 10 Enterprise multisessie 1909 en hoger, gebruikt in Windows Virtual Desktop in Azure, kan netwerkbeveiliging voor Microsoft Edge worden ingeschakeld met behulp van de volgende methode:

  1. Gebruik Netwerkbeveiliging inschakelen en volg de instructies om uw beleid toe te passen.

  2. Voer de volgende PowerShell-opdrachten uit:

    • Set-MpPreference -EnableNetworkProtection Enabled
    • Set-MpPreference -AllowNetworkProtectionOnWinServer 1
    • Set-MpPreference -AllowNetworkProtectionDownLevel 1
    • Set-MpPreference -AllowDatagramProcessingOnWinServer 1

Problemen met netwerkbeveiliging oplossen

Vanwege de omgeving waarin netwerkbeveiliging wordt uitgevoerd, kan Microsoft mogelijk geen proxy-instellingen van het besturingssysteem detecteren. In sommige gevallen kunnen netwerkbeveiligingsclients de cloudservice niet bereiken. Configureer een statische proxy voor Microsoft Defender Antivirus om het connectiviteitsprobleem op te lossen.

Prestaties van netwerkbeveiliging optimaliseren

Netwerkbeveiliging heeft nu een prestatieoptimalisatie waardoor de blokmodus asynchroon lange verbindingen kan inspecteren nadat deze zijn gevalideerd en toegestaan door SmartScreen. Dit kan een mogelijke verlaging van de kosten voor de inspectie van bandbreedte opleveren en kan ook helpen bij app-compatibiliteitsproblemen. Deze optimalisatiemogelijkheid is standaard ingeschakeld. U kunt deze mogelijkheid uitschakelen met behulp van de volgende PowerShell-cmdlet:

Set-MpPreference -AllowSwitchToAsyncInspection $false

Zie ook