Proteger a sua rede

  • Artigo
  • 7 minutos para ler

Aplica-se a:

Plataformas

  • Windows
  • macOS
  • Linux

Quer experimentar o Microsoft Defender para Endpoint? Inscrever-se para uma avaliação gratuita.

Visão geral da proteção da rede

A proteção de rede ajuda a proteger os dispositivos contra eventos baseados na Internet. A proteção da rede é uma capacidade de redução da superfície de ataque. Ajuda a impedir que os funcionários acedam a domínios perigosos através de aplicações. Os domínios que alogem esquemas de phishing, exploits e outros conteúdos maliciosos na Internet são considerados perigosos. A proteção de rede expande o âmbito do SmartScreen do Microsoft Defender para bloquear todo o tráfego HTTP(s) de saída que tente ligar a origens de baixa reputação (com base no domínio ou no nome de anfitrião).

A proteção da rede alarga a proteção na Web ao nível do sistema operativo. Fornece a funcionalidade de proteção Web que se encontra no Microsoft Edge a outros browsers e aplicações não browsers suportados. A proteção de rede também fornece visibilidade e bloqueio de indicadores de compromisso (IOCs) quando utilizados com a deteção e resposta de Pontos finais. Por exemplo, a proteção da rede funciona com os indicadores personalizados que pode utilizar para bloquear domínios ou nomes de anfitrião específicos.

Veja este vídeo para saber como a proteção de rede ajuda a reduzir a superfície de ataque dos seus dispositivos através de esquemas de phishing, exploits e outros conteúdos maliciosos.

Requisitos para proteção da rede

A proteção de rede necessita do Windows 10 ou 11 (Pro ou Enterprise), da versão 1803 ou posterior do Windows Server, da versão 11 ou posterior do macOS, das versões suportadas do Linux e da proteção antivírus do Microsoft Defender em tempo real.

Versão do Windows Antivírus do Microsoft Defender
Windows 10 versão 1709 ou posterior
Windows 11
Windows Server 1803 ou posterior		 Proteção antivírus do Microsoft Defender em tempo real
e a proteção fornecida pela nuvem tem de estar ativada (ativa)

Porque é que a proteção da rede é importante

A proteção da rede faz parte do grupo de redução da superfície de ataque das soluções de Microsoft Defender para Endpoint. A proteção de rede permite camadas de rede de bloqueio de URLs e endereços IP. A proteção da rede pode impedir o acesso a URLs ao utilizar determinados browsers e ligações de rede padrão.

Por predefinição, a proteção de rede guarda os seus computadores contra URLs maliciosos conhecidos através do feed do SmartScreen, o que bloqueia os URLs maliciosos de forma semelhante ao SmartScreen no browser Microsoft Edge. A funcionalidade de proteção da rede pode ser alargada a:

A proteção de rede é uma parte fundamental do pilha de proteção e resposta da Microsoft.

Dica

Para obter detalhes sobre a proteção de rede para o Windows Server, Linux, MacOS e Proteção Contra Ameaças Móveis (MTD), consulte Proativamente procurar ameaças com procura avançada.

Ataques de Comando e Controlo (C2) Bloquear

Os computadores do servidor de comandos e controlo (C2) são utilizados por utilizadores maliciosos para enviar comandos para sistemas comprometidos por software malicioso e, em seguida, exerça algum tipo de controlo sobre sistemas comprometidos. Os ataques C2 normalmente ocultam-se em serviços baseados na nuvem, como serviços de partilha de ficheiros e de webmail, permitindo aos servidores C2 evitar a deteção ao misturar-se com o tráfego normal.

Os servidores C2 podem ser utilizados para iniciar comandos que podem:

  • Furtar dados (por exemplo, através de phishing)
  • Controlar computadores comprometidos numa botnet
  • Interromper aplicações legítimas
  • Propagar software malictado, tal como ransomware

O componente de proteção de rede do Defender para Ponto Final identifica e bloqueia ligações a infraestruturas C2 utilizadas em ataques de ransomware operados por humanos, através de técnicas como aprendizagem automática e identificação de indicadores inteligentes de compromisso (IoC).

Proteção de rede: Novas notificações de aviso

Novo mapeamento Categoria de resposta Origens
phishing Phishing SmartScreen
malicioso Malicioso SmartScreen
comando e controlo C2 SmartScreen
comando e controlo COCO SmartScreen
malicioso Não é detetado SmartScreen
pelo seu administrador de TI CustomBlockList
pelo seu administrador de TI CustomPolicy

Nota

customAllowList não gera notificações em pontos finais.

Novas notificações para determinação da proteção de rede

Uma nova funcionalidade disponível publicamente na proteção de rede utiliza funções no SmartScreen para bloquear atividades de phishing de sites de comandos e controlo maliciosos.

Quando um utilizador final tenta visitar um Web site num ambiente no qual a proteção da rede está ativada, são possíveis três cenários:

  • O URL tem uma boa reputação conhecida. Neste caso, é permitido ao utilizador aceder sem obstruções e não é apresentada nenhuma notificação de aviso no ponto final. Na prática, o domínio ou URL está definido como Permitido.
  • O URL tem uma reputação desconhecida ou incerta : o acesso do utilizador está bloqueado, mas com a capacidade de contornar (desbloquear) o bloqueio. Com efeito, o domínio ou URL está definido para Auditoria.
  • O URL tem uma reputação maliciosa (conhecida) - o utilizador é impedido de aceder. Na prática, o domínio ou URL está definido para Bloquear.

Experiência de avisar

Um utilizador visita um site:

  • Se o URL tiver uma reputação desconhecida ou incerta, será apresentar ao utilizador uma notificação de aviso com as seguintes opções:

    • OK – A notificação de aviso de aviso é lançada (removida) e a tentativa de aceder ao site é terminada.
    • Desbloquear – o utilizador não terá de aceder ao portal WDSI (Security Intelligence) do Windows Defender para obter acesso ao site. O utilizador terá acesso ao site durante 24 horas; nessa altura o bloco é reenerável por mais 24 horas. O utilizador pode continuar a utilizar a opção Desbloquear para aceder ao site até que o administrador proíba (bloqueia) o site, removendo assim a opção de Desbloquear.
    • Feedback - A notificação de aviso apresenta ao utilizador uma ligação para submeter um pedido, que o utilizador pode utilizar para submeter feedback ao administrador numa tentativa de justificar o acesso ao site.

    Mostra uma notificação de aviso de conteúdo de phishing de proteção de rede

    [NOTA!] As imagens aqui apresentadas para avisar experiência e bloquear experiência (abaixo) ambas listas "URL bloqueado" como texto do marcador de posição de exemplo; num ambiente funcional, o url ou domínio real será listado.

Experiência de bloqueio

Um utilizador visita um site:

  • Se o URL tiver má reputação, uma notificação de aviso irá apresentar ao utilizador as seguintes opções:

    • OK A notificação de aviso de aviso é lançada (removida) e a tentativa de aceder ao site é terminada.
    • Comentários A notificação de aviso apresenta ao utilizador uma ligação para submeter um pedido, que o utilizador pode utilizar para submeter feedback ao administrador numa tentativa de justificar o acesso ao site.

    Mostra uma notificação de conteúdo de phishing conhecido da proteção de rede bloqueado

Proteção de rede: deteção e remediação C2

Na sua forma inicial, o ransomware é uma ameaça de commodity, pré-programada e focada em resultados específicos e limitados (por exemplo, encriptação de um computador). No entanto, o ransomware tornou-se numa ameaça sofisticada orientada pelos humanos, adaptável e focada numa escala maior e resultados mais abrangentes; Como a retenção de recursos ou dados de toda a organização para resgate.

O suporte para servidores de Comando e Controlo (C2) é um dos pontos chave desta evolução do ransomware e é o que permite que estes ataques se adaptem ao ambiente de que são alvo. A quebra da ligação à infraestrutura de comandos e controlo interrompe a progressão de um ataque para a fase seguinte.

Desbloquear o SmartScreen

Uma nova funcionalidade no Defender para indicadores de Pontos Finais permite aos administradores permitir que os utilizadores finais desapassem os avisos gerados para alguns URLs e IPs. Dependendo do motivo pelo qual o URL foi bloqueado, quando é encontrado um bloqueio do SmartScreen pode oferecer aos administradores a capacidade de desbloquear o site durante até 24 horas. Nesses casos, será apresentada uma notificação Segurança do Windows aviso, permitindo ao utilizador final desbloquear o URL ou IP durante o período de tempo definido.

Segurança do Windows notificação para proteção de rede

Microsoft Defender para Endpoint os Administradores podem configurar a funcionalidade Desbloquear o SmartScreen Microsoft 365 Defender utilizando a seguinte ferramenta de configuração. A partir do portal Microsoft 365 Defender, navegue para o caminho para o ConfigToolName.

Proteção de rede SmartScreen bloquear configuração do formulário ULR e IP

Utilizar a proteção da rede

A proteção da rede está ativada por dispositivo, que normalmente é feita através da sua infraestrutura de gestão. Para saber os métodos suportados, consulte Ativo a proteção da rede.

Nota

O Antivírus do Microsoft Defender tem de estar ativo para ativar a Proteção de rede.

Pode ativar a proteção da rede no Modo de auditoria ou no modo de Bloqueio. Se quiser avaliar o impacto de ativar a proteção de rede antes de bloquear realmente endereços IP ou URLs, pode ativar a proteção de rede no modo de Auditoria durante um período de tempo para recolher dados sobre o que seria bloqueado. Os registos do modo de auditoria são registados quando os utilizadores finais se ligaram a um endereço ou site que, de outra forma, teria sido bloqueado pela proteção da rede.

Investigação avançada

Se estiver a utilizar uma pesquisa avançada para identificar eventos de auditoria, terá um histórico de até 30 dias disponível a partir da consola. Consulte a Pesquisa avançada.

Pode encontrar os dados de auditoria em Pesquisa avançada no portal do Defender para Ponto Final (https://security.microsoft.com).

Os eventos estão em DeviceEvents com um ActionType de ExploitGuardNetworkProtectionAudited. Os blocos são apresentados por ExploitGuardNetworkProtectionBlocked.

O seguinte exemplo inclui as ações bloqueadas:


DeviceEvents

- Where ActionType in ('ExploitGuardNetworkProtectionAudited','ExploitGuardNetworkProtectionBlocked')

Pesquisa avançada para auditoria e identificação de eventos

Dica

Estas entradas têm dados na coluna Campos Adicionais, o que lhe fornece ótimas informações sobre a ação. Se expandir Campos Adicionais também pode obter os campos : IsAudit, ResponseCategory e DisplayName.

Eis outro exemplo:


DeviceEvents:

- where ActionType contains "ExploitGuardNetworkProtection"
- extend ParsedFields=parse_json(AdditionalFields)
- project DeviceName, ActionType, Timestamp, RemoteUrl, InitiatingProcessFileName, IsAudit=tostring(ParsedFields.IsAudit), ResponseCategory=tostring(ParsedFields.ResponseCategory), DisplayName=tostring(ParsedFields.DisplayName)
- sort by Timestamp desc

A categoria Response diz-lhe o que causou o evento, por exemplo:

ResponseCategory Funcionalidade responsável pelo evento
CustomPolicy WCF
CustomBlockList Indicadores personalizados
CasbPolicy Defender for Cloud Apps
Malicioso Ameaças na Web
Phishing Ameaças na Web

Para obter mais informações, consulte Remoção de blocos de pontos finais.

Pode utilizar a lista resultante de URLs e IPs para determinar o que poderia ter sido bloqueado se o dispositivo estivesse no modo de bloqueio e qual a funcionalidade que os bloqueou. Reveja cada item na lista para identificar URLS ou IPs se algum é necessário para o seu ambiente. Se encontrar entradas auditadas que sejam essenciais para o seu ambiente, crie um Indicador para permitir que sejam auditadas na sua rede. Permitir indicadores DE URL/IP têm precedência sobre qualquer bloco.

Assim que criar um indicador, pode ver a resolução do problema sub acordo:

  • SmartScreen – revisão de pedidos
  • Indicador – modificar indicador existente
  • MCA – rever APLICAÇÃO nãoanscedida
  • WCF – recategorização de pedidos

Ao utilizar estes dados, pode tomar uma decisão informada sobre como ativar a Proteção de rede no modo de Bloqueio. Consulte Ordem de precedência para blocos de proteção de rede.

Nota

Uma vez que se trata de uma definição por dispositivo, se houver dispositivos que não podem mudar para o modo Bloquear, pode simplesmente deixá-los na auditoria até poder rectificar o desafio e continuará a receber os eventos de auditoria.

Para obter informações sobre como comunicar falsos positivos, consulte Reportar falsos positivos.

Para obter detalhes sobre como criar os seus próprios relatórios do Power BI, consulte Criar relatórios personalizados com o Power BI.

Configurar a proteção da rede

Para obter mais informações sobre como ativar a proteção da rede, consulte Ativar a proteção da rede. Utilize Política de Grupo, PowerShell ou CSPs de MDM para ativar e gerir a proteção de rede na sua rede.

Depois de ativar os serviços, poderá ter de configurar a sua rede ou firewall para permitir as ligações entre os serviços e os seus dispositivos (também conhecidos como pontos finais).

  • .smartscreen.microsoft.com
  • .smartscreen-prod.microsoft.com

Ver eventos de proteção de rede

A proteção de rede funciona melhor com Microsoft Defender para Endpoint rede, o que lhe fornece relatórios detalhados sobre a exploração de eventos de proteção e blocos como parte de cenários de investigação de alertas.

Quando a proteção da rede bloqueia uma ligação, é apresentada uma notificação a partir do Centro de Ação. A sua equipa de operações de segurança pode personalizar a notificação com os detalhes e informações de contacto da sua organização. Além disso, as regras de redução da superfície de ataque individuais podem ser ativadas e personalizadas para se adequar a determinadas técnicas para monitorizar.

Também pode utilizar o modo de auditoria para avaliar como a proteção de rede afetaria a sua organização se estivesse ativada.

Rever eventos de proteção de rede no portal Microsoft 365 Defender Rede

O Defender para Ponto Final fornece relatórios detalhados sobre eventos e blocos como parte dos cenários de investigação de alertas. Pode ver estes detalhes no portal de Microsoft 365 Defender (https://security.microsoft.com) na fila de alertas ou ao utilizar a procura avançada. Se estiver a utilizar o modo de auditoria, pode utilizar uma pesquisa avançada para ver como as definições de proteção de rede afetariam o seu ambiente se estivessem ativadas.

Eis uma consulta de exemplo para procura avançada:


DeviceNetworkEvents
|where ActionType in ('ExploitGuardNetworkProtectionAudited','ExploitGuardNetworkProtectionBlocked', 'ConnectionSuccess')

Rever eventos de proteção de rede no Windows Visualizador de Eventos

Pode rever o registo de eventos do Windows para ver os eventos criados quando a proteção de rede bloqueia (ou auditorias) o acesso a um domínio ou IP malicioso:

  1. Copie o XML diretamente.

  2. Selecione OK.

Este procedimento cria uma vista personalizada que filtra para mostrar apenas os seguintes eventos relacionados com a proteção de rede:

ID do Evento Descrição
5007 Evento quando as definições são alteradas
1125 Evento quando a proteção de rede é atenhada no modo de auditoria
1126 Evento quando a proteção de rede é ateada no modo de bloqueio

Proteção da rede e o handshake de três sentidos TCP

Com a proteção da rede, a determinação de se é permitido ou bloqueado o acesso a um site é feita após a conclusão do handshake de três vias TCP/IP. Desta forma, quando um site é bloqueado pela proteção da rede, ConnectionSuccess NetworkConnectionEvents poderá ver um tipo de ação no portal Microsoft 365 Defender, mesmo que o site tenha sido bloqueado. NetworkConnectionEvents são comunicados a partir da camada TCP e não a partir da proteção da rede. Após concluir o handshake de três sentidos, o acesso ao site é permitido ou bloqueado pela proteção da rede.

Eis um exemplo de como funciona:

  1. Imagine que um utilizador tenta aceder a um site no respetivo dispositivo. O site é aloizado num domínio perigoso e deve ser bloqueado pela proteção da rede.

  2. O handshake de três via TCP/IP é intermédio. Antes de ser concluída, é registada uma ação NetworkConnectionEvents e esta é ActionType listada como ConnectionSuccess. No entanto, assim que o processo handshake de três sentidos terminar, a proteção da rede bloqueia o acesso ao site. Tudo isto acontece rapidamente. Ocorre um processo semelhante com o Microsoft Defender SmartScreen; É quando o handshake de três sentidos conclui que é tomada uma determinação e o acesso a um site é bloqueado ou permitido.

  3. No portal Microsoft 365 Defender, é apresentado um alerta na fila de alertas. Os detalhes do alerta incluem ambos NetworkConnectionEvents e AlertEvents. Pode ver que o site foi bloqueado, mesmo que também tenha um item com o NetworkConnectionEvents ActionType de ConnectionSuccess.

Considerações sobre a execução de múltiplas sessões Windows 10 Enterprise para ambiente de trabalho do Windows

Devido à natureza multi-utilizador das Windows 10 Enterprise, tenha em atenção os seguintes pontos:

  1. A proteção da rede é uma funcionalidade que abrange todo o dispositivo e não pode ser direccionada para sessões de utilizador específicas.

  2. As políticas de filtragem de conteúdos Web também estão em toda a largura do dispositivo.

  3. Se precisar de diferenciar entre grupos de utilizadores, considere criar atribuições e agrupamentos de anfitriões do Windows Virtual Desktop separados.

  4. Teste a proteção de rede no modo de auditoria para avaliar o seu comportamento antes de ser finalizado.

  5. Considere redimentar a sua implementação se tiver um grande número de utilizadores ou um grande número de sessões de vários utilizadores.

Opção alternativa para proteção de rede

Para Windows 10 Enterprise Sessão Múltipla 1909 e superior, utilizados no Windows Virtual Desktop no Azure, a proteção de rede para o Microsoft Edge pode ser ativada através do seguinte método:

  1. Utilize Ativar a proteção da rede e siga as instruções para aplicar a sua política.

  2. Execute os seguintes comandos do PowerShell:

    • Set-MpPreference -EnableNetworkProtection Enabled
    • Set-MpPreference -AllowNetworkProtectionOnWinServer 1
    • Set-MpPreference -AllowNetworkProtectionDownLevel 1
    • Set-MpPreference -AllowDatagramProcessingOnWinServer 1

Remoção de problemas de proteção de rede

Devido ao ambiente em que a proteção de rede é executada, a Microsoft pode não conseguir detetar definições de proxy do sistema operativo. Em alguns casos, os clientes de proteção de rede não conseguem aceder ao serviço em nuvem. Para resolver o problema de conectividade, configure um proxy estático para o Antivírus do Microsoft Defender.

Otimizar o desempenho da proteção de rede

A proteção da rede tem agora uma otimização de desempenho que permite ao Modo de Bloqueio iniciar a inspeção assíncrona de ligações longas depois de validadas e permitidas pelo SmartScreen, o que poderá reduzir potencialmente o custo que a inspeção tem na largura de banda e também pode ajudar com problemas de compatibilidade de aplicações. Esta capacidade de otimização está ativada por predefinição. Pode desligá-la ao utilizar o seguinte cmdlet do PowerShell:

Set-MpPreference -AllowSwitchToAsyncInspection $false

Consulte também