Proteção de rede para Linux

  • Artigo

Aplica-se a:

Importante

Algumas informações estão relacionadas a produtos pré-lançados que podem ser substancialmente modificados antes de seu lançamento comercial. A Microsoft não faz garantias, expressas ou implícitas, quanto às informações fornecidas aqui.

Visão Geral

A Microsoft está trazendo a funcionalidade de Proteção de Rede para o Linux.

A proteção de rede ajuda a reduzir a superfície de ataque de seus dispositivos de eventos baseados na Internet. Ele impede que os funcionários usem qualquer aplicativo para acessar domínios perigosos que possam hospedar:

  • golpes de phishing
  • Explora
  • outro conteúdo mal-intencionado na Internet

A proteção de rede expande o escopo de Microsoft Defender SmartScreen para bloquear todo o tráfego HTTP(s) de saída que tenta se conectar a fontes de baixa reputação. Os blocos no tráfego HTTP(s) de saída são baseados no domínio ou nome do host.

Filtragem de conteúdo da Web para Linux

Você pode usar a filtragem de conteúdo da Web para teste com proteção de rede para Linux. Consulte Filtragem de conteúdo da Web.

Problemas conhecidos

  • A Proteção de Rede é implementada como um túnel VPN (rede virtual privada). Opções avançadas de roteamento de pacotes usando scripts nftables/iptables personalizados estão disponíveis.
  • O UX block/warn não está disponível
    • Os comentários do cliente estão sendo coletados para promover melhorias de design

Observação

Para avaliar a eficácia do Linux Web Threat Protection, recomendamos usar o navegador Firefox, que é o padrão para todas as distribuições.

Pré-requisitos

Importante

Para avaliar a proteção de rede para Linux, envie email para "xplatpreviewsupport@microsoft.com" com sua ID da Organização. Habilitaremos o recurso em seu locatário por solicitação.

Instruções

Implantar o Linux manualmente, consulte Implantar Microsoft Defender para Ponto de Extremidade no Linux manualmente

O exemplo a seguir mostra a sequência de comandos necessários para o pacote mdatp no ubuntu 20.04 para o canal insiders-Fast.

curl -o microsoft.list https://packages.microsoft.com/config/ubuntu/20.04/insiders-fast.list
sudo mv ./microsoft.list /etc/apt/sources.list.d/microsoft-insiders-fast.list
sudo apt-get install gpg
curl https://packages.microsoft.com/keys/microsoft.asc | sudo apt-key add -
sudo apt-get install apt-transport-https
sudo apt-get update
sudo apt install -y mdatp

Integração do dispositivo

Para integrar o dispositivo, você deve baixar o pacote de integração do Python para o servidor Linux de Microsoft Defender XDR -> Configurações -> Gerenciamento de Dispositivos -> Integração e execução:

sudo python3 MicrosoftDefenderATPOnboardingLinuxServer.py

Validação

  1. Verificar se a Proteção de Rede tem efeito em sites sempre bloqueados:

  2. Inspecionar logs de diagnóstico

    sudo mdatp log level set --level debug
sudo tail -f /var/log/microsoft/mdatp/microsoft_defender_np_ext.log

Para sair do modo de validação

Desabilite a proteção de rede e reinicie a conexão de rede:

sudo mdatp config network-protection enforcement-level --value disabled

Configuração avançada

Por padrão, a proteção de rede linux está ativa no gateway padrão; Roteamento e túnel são configurados internamente. Para personalizar as interfaces de rede, altere o parâmetro networkSetupMode do arquivo de configuração /opt/microsoft/mdatp/conf/ e reinicie o serviço:

sudo systemctl restart  mdatp

O arquivo de configuração também permite que o usuário personalize:

  • configuração de proxy
  • Repositórios de certificados SSL
  • nome do dispositivo de túnel
  • IP
  • e muito mais

Os valores padrão foram testados para todas as distribuições, conforme descrito em Microsoft Defender para Ponto de Extremidade no Linux

Portal do Microsoft Defender

Além disso, verifique se em Microsoft Defender>SettingsRecursos avançados>> que a alternância de "indicadores de rede personalizados" está habilitado.

Importante

Os "indicadores de rede personalizados" acima alternam a habilitação de Indicadores Personalizadospara TODAS as plataformas com suporte à Proteção de Rede, incluindo o Windows. Lembre-se de que, no Windows, para que os indicadores sejam aplicados, você também deve ter a Proteção de Rede explicitamente habilitada.

Perfil do mem Create

Como explorar os recursos

  1. Saiba como proteger sua organização contra ameaças da Web usando a proteção contra ameaças da Web.

    • A proteção contra ameaças da Web faz parte da proteção da Web no Microsoft Defender para Ponto de Extremidade. Ele usa a proteção de rede para proteger seus dispositivos contra ameaças da Web.

  2. Execute o fluxo Indicadores Personalizados de Comprometimento para obter blocos no tipo Indicador Personalizado.

  3. Explore a filtragem de conteúdo da Web.

    Observação

    Se você estiver removendo uma política ou alterando grupos de dispositivos ao mesmo tempo, isso poderá causar um atraso na implantação da política. Dica pro: você pode implantar uma política sem selecionar nenhuma categoria em um grupo de dispositivos. Essa ação criará uma política somente de auditoria para ajudar você a entender o comportamento do usuário antes de criar uma política de bloco.

    Há suporte para a criação do grupo de dispositivos no Plano 1 e no Plano 2 do Defender para Ponto de Extremidade.

  4. Integrar Microsoft Defender para Ponto de Extremidade ao Defender para Aplicativos de Nuvem e seus dispositivos macOS habilitados para proteção de rede terão recursos de aplicação da política de ponto de extremidade.

    Observação

    Atualmente, não há suporte para descoberta e outros recursos nessas plataformas.

Cenários

Os seguintes cenários têm suporte durante a visualização pública:

Proteção contra ameaças da Web

A proteção contra ameaças da Web faz parte da proteção da Web em Microsoft Defender para Ponto de Extremidade. Ele usa a proteção de rede para proteger seus dispositivos contra ameaças da Web. Ao integrar-se ao Microsoft Edge e navegadores de terceiros populares, como Chrome e Firefox, a proteção contra ameaças da Web interrompe ameaças da Web sem um proxy da Web. A proteção contra ameaças da Web pode proteger dispositivos enquanto eles estão no local ou fora. A proteção contra ameaças da Web interrompe o acesso aos seguintes tipos de sites:

  • sites de phishing
  • vetores de malware
  • explorar sites
  • sites não confiáveis ou de baixa reputação
  • sites que você bloqueou em sua lista de indicadores personalizados

A Proteção Da Web relata detecções de ameaças na Web.

Para obter mais informações, consulte Proteger sua organização contra ameaças da Web

Indicadores personalizados de comprometimento

A correspondência do indicador de comprometimento (IoCs) é um recurso essencial em cada solução de proteção de ponto de extremidade. Essa funcionalidade fornece ao SecOps a capacidade de definir uma lista de indicadores para detecção e para bloqueio (prevenção e resposta).

Create indicadores que definem a detecção, prevenção e exclusão de entidades. Você pode definir a ação a ser tomada, bem como a duração de quando aplicar a ação e o escopo do grupo de dispositivos para aplicá-la.

Atualmente, as fontes com suporte são o mecanismo de detecção de nuvem do Defender para Ponto de Extremidade, o mecanismo automatizado de investigação e correção e o mecanismo de prevenção de ponto de extremidade (Microsoft Defender Antivírus).

Mostra a proteção de rede adicionar URL ou indicador de domínio.

Para obter mais informações, consulte: Create indicadores para IPs e URLs/domains.

Filtragem de conteúdo da Web

A filtragem de conteúdo da Web faz parte dos recursos de proteção da Web em Microsoft Defender para Ponto de Extremidade e Microsoft Defender para Empresas. A filtragem de conteúdo da Web permite que sua organização acompanhe e regular o acesso a sites com base em suas categorias de conteúdo. Muitos desses sites (mesmo que não sejam mal-intencionados) podem ser problemáticos devido a regulamentos de conformidade, uso de largura de banda ou outras preocupações.

Configure políticas em seus grupos de dispositivos para bloquear determinadas categorias. Bloquear uma categoria impede que usuários em grupos de dispositivos especificados acessem URLs associadas à categoria. Para qualquer categoria que não esteja bloqueada, as URLs são auditadas automaticamente. Seus usuários podem acessar as URLs sem interrupções e você coletará estatísticas de acesso para ajudar a criar uma decisão de política mais personalizada. Seus usuários verão uma notificação de bloco se um elemento na página que eles estão exibindo estiver fazendo chamadas para um recurso bloqueado.

A filtragem de conteúdo da Web está disponível nos principais navegadores da Web, com blocos executados por Windows Defender SmartScreen (Microsoft Edge) e Proteção de Rede (Chrome, Firefox, Brave e Opera). Para obter mais informações sobre o suporte ao navegador, consulte Pré-requisitos.

Mostra a política de adição de conteúdo da Web de proteção de rede.

Para obter mais informações sobre relatórios, consulte Filtragem de conteúdo da Web.

Microsoft Defender for Cloud Apps

O catálogo de aplicativos Microsoft Defender para Aplicativos de Nuvem /Cloud identifica aplicativos que você gostaria que os usuários finais fossem avisados ao acessar com Microsoft Defender XDR para Ponto de Extremidade e marcá-los como Monitorados. Os domínios listados em aplicativos monitorados seriam sincronizados posteriormente com Microsoft Defender XDR para Ponto de Extremidade:

Mostra os aplicativos monitorados por mcas de proteção de rede.

Dentro de 10 a 15 minutos, esses domínios serão listados em Microsoft Defender XDR em URLs/Domínios > de Indicadores com Action=Warn. No SLA de imposição (confira detalhes no final deste artigo).

Mostra a segurança do aplicativo de nuvem mcas de proteção de rede.

Confira também

Dica

Você deseja aprender mais? Engage com a comunidade de Segurança da Microsoft em nossa Comunidade Tecnológica: Microsoft Defender para Ponto de Extremidade Tech Community.