Protection réseau pour macOS

Configuration requise

• Licences : Microsoft Defender XDR pour le plan de point de terminaison 1 ou Microsoft Defender XDR pour le plan de point de terminaison 2 (version d’évaluation possible) ou Microsoft Defender pour entreprises.
• Machines intégrées : version macOS : Big Sur (11) ou ultérieure, avec la version de produit 101.94.13 ou ultérieure.
• Navigateurs web non-Microsoft, tels que Brave, Chrome, Opera et Safari
• Navigateur Microsoft Edge pour macOS

Vue d’ensemble

La protection réseau permet de réduire la surface d’attaque de vos appareils à partir d’événements Basés sur Internet. Il empêche les utilisateurs d’utiliser une application pour accéder à des domaines dangereux susceptibles d’héberger :

• escroqueries par hameçonnage
• Exploits
• autres contenus malveillants sur Internet

La protection réseau étend l’étendue de Microsoft Defender SmartScreen pour bloquer tout le trafic HTTP/HTTPS sortant qui tente de se connecter à des sources de mauvaise réputation sur tous les principaux navigateurs. Les blocs sur le trafic HTTP/HTTPS sortant sont basés sur le domaine ou le nom d’hôte.

Dans les processus non-Microsoft Edge, la Protection réseau détermine le nom de domaine complet pour chaque connexion HTTPS en examinant le contenu de l’établissement d’une liaison TLS qui se produit après une liaison TCP/IP. Cela nécessite que la connexion HTTPS utilise TCP/IP (et non UDP/QUIC) et que le message ClientHello ne soit pas chiffré. Pour désactiver QUIC et Encrypted Client Hello dans Google Chrome, consultez QuicAllowed et EncryptedClientHelloEnabled. Pour Mozilla Firefox, consultez Désactiver EncryptedClientHello et network.http.http3.enable.

Disponibilité

La protection réseau pour macOS est désormais disponible pour tous les appareils macOS intégrés Microsoft Defender pour point de terminaison qui répondent à la configuration minimale requise. Toutes vos stratégies protection réseau et protection contre les menaces web actuellement configurées sont appliquées sur les appareils macOS où la protection réseau est configurée pour le mode bloc.

Pour déployer la protection réseau pour macOS, nous vous recommandons les actions suivantes :

• Créez un groupe d’appareils pour un petit ensemble d’appareils que vous pouvez utiliser pour tester la protection réseau.
• Évaluez l’impact de la protection contre les menaces web, des indicateurs personnalisés de compromission, du filtrage de contenu web et des stratégies d’application Microsoft Defender for Cloud Apps qui ciblent les appareils macOS où la protection réseau est en mode Bloc.
• Déployez une stratégie d’audit ou de mode bloc sur ce groupe d’appareils et vérifiez qu’il n’y a pas de problèmes ou de flux de travail rompus.
• Déployez progressivement la protection réseau sur un plus grand ensemble d’appareils jusqu’à ce qu’ils soient déployés.

Fonctionnalités actuelles

• Indicateurs personnalisés de compromission sur les domaines et les adresses IP.

• Le filtrage de contenu web prend en charge les actions suivantes :

  • Bloquer les catégories de sites web limitées aux groupes d’appareils via des stratégies créées dans le portail Microsoft Defender.
  • Les stratégies sont appliquées aux navigateurs, y compris Microsoft Edge pour macOS.

• Repérage avancé : les événements réseau sont répercutés dans la chronologie de la machine et peuvent être interrogés dans la chasse avancée pour faciliter les investigations de sécurité.

• Microsoft Defender for Cloud Apps :

  • Découverte de l’informatique fantôme : identifiez les applications utilisées dans votre organization.
  • Bloquer les applications : bloquez l’utilisation d’applications entières (telles que Slack et Facebook) dans votre organization.

• VPN d’entreprise en tandem ou côte à côte avec la protection réseau :

  • Actuellement, aucun conflit VPN n’est identifié.
  • Si vous rencontrez des conflits, vous pouvez fournir des commentaires via le canal de commentaires répertorié en bas de cette page.

Problèmes connus

• Il existe un problème d’incompatibilité d’application connu avec la fonctionnalité « Per-App Tunnel » de VMware. (Cette incompatibilité peut entraîner une incapacité à bloquer le trafic qui passe par le « tunnel par application »).

• Il existe un problème d’incompatibilité d’application connu avec le proxy Blue Coat. (Cette incompatibilité peut entraîner des blocages de la couche réseau dans des applications non liées lorsque le proxy Blue Coat et la protection réseau sont activés.)

Remarques importantes

• Nous vous déconseillons de contrôler la protection réseau à partir des préférences système. Utilisez plutôt l’outil en ligne de commande mdatp ou JamF/Intune pour contrôler la protection réseau pour macOS.

• Pour évaluer l’efficacité de la protection contre les menaces web macOS, nous vous recommandons de l’essayer dans des navigateurs autres que Microsoft Edge pour macOS (par exemple, Safari). Microsoft Edge pour macOS dispose d’une protection contre les menaces web (Smartscreen) intégrée, qui est activée quel que soit l’état de la protection réseau.

Instructions de déploiement

Microsoft Defender XDR pour point de terminaison

Installez la version la plus récente du produit via Microsoft AutoUpdate. Pour ouvrir Microsoft AutoUpdate, exécutez la commande suivante à partir du terminal :

open /Library/Application\ Support/Microsoft/MAU2.0/Microsoft\ AutoUpdate.app

Configurez le produit avec vos informations organization en suivant les instructions de notre documentation.

La protection réseau est désactivée par défaut, mais elle peut être configurée pour s’exécuter dans l’un des modes suivants (également appelés niveaux d’application) :

• Audit : utile pour s’assurer qu’il n’affecte pas les applications métier ou pour avoir une idée de la fréquence à laquelle les blocs se produisent
• Bloquer : la protection réseau empêche la connexion à des sites web malveillants
• Désactivé : tous les composants associés à la protection réseau sont désactivés

Vous pouvez déployer cette fonctionnalité de l’une des manières suivantes : manuellement, via JAMF ou via Intune. Les sections suivantes décrivent chacune de ces méthodes en détail.

Déploiement manuel

Pour configurer le niveau d’application, exécutez la commande suivante à partir du terminal :

mdatp config network-protection enforcement-level --value [enforcement-level]

Par exemple, pour configurer la protection réseau pour qu’elle s’exécute en mode bloquant, exécutez la commande suivante :

mdatp config network-protection enforcement-level --value block

Pour vérifier que la protection réseau a été correctement démarrée, exécutez la commande suivante à partir du terminal et vérifiez qu’elle affiche « démarré » :

mdatp health --field network_protection_status

Déploiement DE JAMF Pro

Un déploiement JAMF Pro réussi nécessite un profil de configuration pour définir le niveau d’application de la protection réseau.

Après avoir créé ce profil de configuration, affectez-le aux appareils sur lesquels vous souhaitez activer la protection réseau.

Configurer le niveau d’application

1. DansProfils de configurationdes ordinateurs>, sélectionnez Options>Applications & Paramètres personnalisés.

2. Sélectionnez Charger un fichier (fichier PLIST).

3. Définissez domaine de préférence sur com.microsoft.wdav.

4. Chargez le fichier plist suivant.

   <?xml version="1.0" encoding="UTF-8"?>
   <!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
   <plist version="1.0">
   <dict>
       <key>networkProtection</key>
       <dict>
           <key>enforcementLevel</key>
           <string>block</string>
       </dict>
   </dict>
   </plist>
   

déploiement Intune

Un déploiement Intune réussi nécessite un profil de configuration pour définir le niveau d’application de la protection réseau. Après avoir créé ce profil de configuration, affectez-le aux appareils sur lesquels vous souhaitez activer la protection réseau.

Configurer le niveau d’application à l’aide de Intune

1. Dans le centre d’administration Microsoft Intune à l’adresse https://intune.microsoft.com, accédez à la section >Appareils>Gérer les appareilsConfiguration. Ou, pour accéder directement aux appareils | Page de configuration , utilisez https://intune.microsoft.com/#view/Microsoft_Intune_DeviceSettings/DevicesMenu/~/configuration.

2. Sous l’onglet Stratégies des appareils | Page De configuration , sélectionnez Créer une>stratégie.

3. Dans le menu volant Créer un profil qui s’ouvre, configurez les paramètres suivants :

   • Plateforme : sélectionnez macOS.
   • Profil : sélectionnez le catalogue paramètres.

   Sélectionnez Créer.

4. L’Assistant Création d’une stratégie s’ouvre. Sous l’onglet Informations de base , configurez les paramètres suivants :

   • Nom Entrez un nom unique et descriptif pour la stratégie.
   • Description : entrez une description facultative.

   Sélectionnez Suivant.

5. Sous l’onglet Paramètres de configuration , sélectionnez Ajouter des paramètres. Dans le menu volant du sélecteur de paramètres qui s’ouvre, faites défiler vers le bas et sélectionnez Microsoft Defender>Protection réseau. Dans la liste des paramètres qui s’affiche, sélectionnez Niveau d’application, puis fermez le menu volant du sélecteur de paramètres .

   De retour sous l’onglet Paramètres de configuration , modifiez niveau d’application pour bloquer.

   Sélectionnez Suivant.

6. Sous l’onglet Balises d’étendue , la balise d’étendue nommée Default est sélectionnée par défaut, mais vous pouvez la supprimer et sélectionner d’autres balises d’étendue existantes. Lorsque vous avez terminé, cliquez sur Suivant.

7. Sous l’onglet Affectations , configurez les paramètres suivants :

   • Section Groupes inclus : sélectionnez l’une des options suivantes :
     • Ajouter des groupes : sélectionnez un ou plusieurs groupes à inclure.
     • Ajouter tous les utilisateurs
     • Ajouter tous les appareils
   • Groupes exclus : sélectionnez Ajouter des groupes pour spécifier les groupes à exclure.

   Lorsque vous avez terminé d’accéder à l’onglet Créer un profil , sélectionnez Suivant.

8. Sous l’onglet Vérifier + créer , vérifiez les paramètres, puis sélectionnez Créer.

Déploiement mobileconfig

Pour déployer la configuration via un .mobileconfig fichier, qui peut être utilisé avec des solutions GPM non-Microsoft ou distribué directement aux appareils, procédez comme suit :

1. Enregistrez la charge utile suivante sous com.microsoft.wdav.xml.mobileconfig.

   <?xml version="1.0" encoding="utf-8"?>
   <!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
   <plist version="1">
       <dict>
           <key>PayloadUUID</key>
           <string>C4E6A782-0C8D-44AB-A025-EB893987A295</string>
           <key>PayloadType</key>
           <string>Configuration</string>
           <key>PayloadOrganization</key>
           <string>Microsoft</string>
           <key>PayloadIdentifier</key>
           <string>com.microsoft.wdav</string>
           <key>PayloadDisplayName</key>
           <string>Microsoft Defender ATP settings</string>
           <key>PayloadDescription</key>
           <string>Microsoft Defender ATP configuration settings</string>
           <key>PayloadVersion</key>
           <integer>1</integer>
           <key>PayloadEnabled</key>
           <true/>
           <key>PayloadRemovalDisallowed</key>
           <true/>
           <key>PayloadScope</key>
           <string>System</string>
           <key>PayloadContent</key>
           <array>
               <dict>
                   <key>PayloadUUID</key>
                   <string>99DBC2BC-3B3A-46A2-A413-C8F9BB9A7295</string>
                   <key>PayloadType</key>
                   <string>com.microsoft.wdav</string>
                   <key>PayloadOrganization</key>
                   <string>Microsoft</string>
                   <key>PayloadIdentifier</key>
                   <string>com.microsoft.wdav</string>
                   <key>PayloadDisplayName</key>
                   <string>Microsoft Defender ATP configuration settings</string>
                   <key>PayloadDescription</key>
                   <string/>
                   <key>PayloadVersion</key>
                   <integer>1</integer>
                   <key>PayloadEnabled</key>
                   <true/>
                   <key>networkProtection</key>
                   <dict>
                       <key>enforcementLevel</key>
                       <string>block</string>
                   </dict>
               </dict>
           </array>
       </dict>
   </plist>
   

2. Vérifiez que le fichier de l’étape précédente a été copié correctement. À l’aide de Terminal, exécutez la commande suivante et vérifiez qu’elle génère OK :

   plutil -lint com.microsoft.wdav.xml
   

Comment explorer les fonctionnalités

1. Découvrez comment protéger votre organization contre les menaces web à l’aide de la protection contre les menaces web.

   • La protection contre les menaces web fait partie de la protection web dans Microsoft Defender pour point de terminaison. Il utilise la protection réseau pour sécuriser vos appareils contre les menaces web.

2. Exécutez le flux Indicateurs personnalisés de compromission pour obtenir des blocs sur le type d’indicateur personnalisé.

3. Explorez le filtrage de contenu web.

   Remarque

   Si vous supprimez une stratégie ou modifiez des groupes d’appareils en même temps, cela peut entraîner un retard dans le déploiement de la stratégie. Conseil professionnel : vous pouvez déployer une stratégie sans sélectionner de catégorie sur un groupe d’appareils. Cette action crée une stratégie d’audit uniquement pour vous aider à comprendre le comportement des utilisateurs avant de créer une stratégie de bloc.

   La création de groupes d’appareils est prise en charge dans Defender pour point de terminaison Plan 1 et Plan 2.

4. Intégrez Microsoft Defender pour point de terminaison à Defender for Cloud Apps et vos appareils macOS compatibles avec la protection réseau disposent de fonctionnalités d’application de stratégie de point de terminaison.

   Remarque

   La découverte et d’autres fonctionnalités ne sont actuellement pas prises en charge sur ces plateformes.

Scénarios

Les scénarios suivants sont pris en charge.

Protection contre les menaces web

La protection contre les menaces web fait partie de la protection web dans Microsoft Defender XDR pour point de terminaison. Il utilise la protection réseau pour sécuriser vos appareils contre les menaces web. En s’intégrant à Microsoft Edge pour macOS et aux navigateurs non-Microsoft populaires (tels que Brave, Chrome, Firefox, Safari, Opera), la protection contre les menaces web arrête les menaces web sans nécessiter de proxy web. Pour plus d’informations sur la prise en charge des navigateurs, consultez Prérequis la protection contre les menaces web peut protéger les appareils lorsqu’ils sont locaux ou absents . La protection contre les menaces web arrête l’accès aux types de sites suivants :

• sites d’hameçonnage
• vecteurs de programmes malveillants
• sites d’exploitation
• sites non approuvés ou de mauvaise réputation
• sites bloqués dans votre liste d’indicateurs personnalisés

Pour plus d’informations, consultez Protéger votre organization contre les menaces web

Indicateurs personnalisés de compromission

L’indicateur de correspondance de compromission (IoC) est une fonctionnalité essentielle dans chaque solution endpoint protection. Cette fonctionnalité permet à SecOps de définir une liste d’indicateurs de détection et de blocage (prévention et réponse).

Créez des indicateurs qui définissent la détection, la prévention et l’exclusion des entités. Vous pouvez définir l’action à entreprendre, ainsi que la durée d’application de l’action et l’étendue du groupe d’appareils auquel l’appliquer.

Les sources actuellement prises en charge sont le moteur de détection cloud de Defender pour point de terminaison, le moteur automatisé d’investigation et de correction et le moteur de prévention des points de terminaison (antivirus Microsoft Defender).

Pour plus d’informations, consultez : Créer des indicateurs pour les adresses IP et les URL/domaines.

Filtrage du contenu web

Le filtrage de contenu web fait partie des fonctionnalités de protection web dans Microsoft Defender pour point de terminaison et Microsoft Defender pour entreprises. Le filtrage de contenu web permet à vos organization de suivre et de réglementer l’accès aux sites web en fonction de leurs catégories de contenu. La plupart de ces sites web (même s’ils ne sont pas malveillants) peuvent être problématiques en raison des réglementations de conformité, de l’utilisation de la bande passante ou d’autres problèmes.

Configurez des stratégies sur vos groupes d’appareils pour bloquer certaines catégories. Le blocage d’une catégorie empêche les utilisateurs au sein de groupes d’appareils spécifiés d’accéder aux URL associées à la catégorie. Pour toute catégorie qui n’est pas bloquée, les URL sont automatiquement auditées. Vos utilisateurs peuvent accéder aux URL sans interruption, et vous collectez des statistiques d’accès pour vous aider à créer une décision de stratégie plus personnalisée. Vos utilisateurs verront une notification de blocage si un élément de la page qu’ils consultent effectuent des appels à une ressource bloquée.

Le filtrage de contenu web prend en charge les principaux navigateurs web (Brave, Chrome, Firefox, Safari et Opera) avec le blocage appliqué par la protection réseau.

Pour plus d’informations sur la prise en charge des navigateurs, consultez Prérequis.

Pour plus d’informations sur la création de rapports, consultez Filtrage de contenu web.

Microsoft Defender for Cloud Apps

Le catalogue d’applications Microsoft Defender for Cloud Apps/Cloud identifie les applications que les utilisateurs finaux doivent être avertis lors de l’accès, et les marque comme supervisées. Les domaines répertoriés sous applications surveillées sont ensuite synchronisés avec Microsoft Defender XDR pour point de terminaison :

Dans les 10 à 15 minutes, ces domaines sont répertoriés dans Microsoft Defender XDR sous URL/domaines indicateurs > avec Action=Avertir. Dans le contrat SLA d’application (voir les détails à la fin de cet article), les utilisateurs finaux reçoivent des messages d’avertissement lorsqu’ils tentent d’accéder à ces domaines :

Lorsqu’un utilisateur final tente d’accéder à des domaines surveillés, il est averti par Defender pour point de terminaison. L’utilisateur obtient une expérience de bloc simple accompagnée du message toast suivant, qui s’affiche par le système d’exploitation, y compris le nom de l’application bloquée (par exemple, Blogger.com)

Si l’utilisateur final rencontre un blocage, l’utilisateur a deux résolutions possibles : la déviation et l’éducation.

Contournement de l’utilisateur

• Pour une expérience de message toast : appuyez sur le bouton Débloquer . En rechargeant la page web, l’utilisateur peut continuer et utiliser l’application cloud. (Cette action s’applique aux prochaines 24 heures, après quoi l’utilisateur doit se débloquer à nouveau.)

Éducation des utilisateurs

• Pour une expérience de message toast : appuyez sur le message toast lui-même. L’utilisateur final est redirigé vers une URL de redirection personnalisée définie globalement dans Microsoft Defender for Cloud Apps (Plus d’informations en bas de cette page)

Annexe

Modèle de site SharePoint du centre d’éducation des utilisateurs finaux

Pour de nombreuses organisations, il est important de prendre les contrôles cloud fournis par Microsoft Defender for Cloud Apps et non seulement de définir des limitations sur les utilisateurs finaux si nécessaire, mais également de les former et de les former sur les points suivants :

• l’incident spécifique
• pourquoi cela s’est produit
• la raison d’être de cette décision
• comment la rencontre de sites bloqués peut être atténuée

En cas de comportement inattendu, la confusion des utilisateurs peut être réduite en leur fournissant autant d’informations que possible, non seulement pour expliquer ce qui s’est passé, mais aussi pour les informer afin qu’ils soient plus conscients la prochaine fois qu’ils choisit une application cloud pour terminer leur travail. Par exemple, ces informations peuvent inclure :

• Stratégies et instructions de sécurité et de conformité de l’organisation pour l’utilisation d’Internet et du cloud
• Applications cloud approuvées/recommandées à utiliser
• Applications cloud restreintes/bloquées à utiliser

Informations importantes à connaître

1. La propagation et la mise à jour des domaines d’application sur les appareils de point de terminaison peuvent prendre jusqu’à deux heures (généralement moins), une fois qu’ils sont marqués comme surveillés.

2. Par défaut, une action est effectuée pour toutes les applications et domaines marqués comme surveillés dans Microsoft Defender for Cloud Apps pour tous les points de terminaison intégrés dans le organization.

3. Les URL complètes ne sont actuellement pas prises en charge et ne sont pas envoyées de Microsoft Defender for Cloud Apps à Microsoft Defender pour point de terminaison. Si des URL complètes sont répertoriées sous Microsoft Defender for Cloud Apps en tant qu’applications surveillées, les utilisateurs ne sont pas avertis lorsqu’ils tentent d’accéder à un site. (Par exemple, google.com/drive n’est pas pris en charge, tandis que drive.google.com est pris en charge.)

4. Les administrateurs doivent s’assurer que Encrypted Client Hello et QUIC sont désactivés lors du test pour s’assurer que les sites sont bloqués correctement. Consultez les instructions ci-dessus.

Voir aussi

• Microsoft Defender XDR pour point de terminaison sur Mac
• Microsoft Defender XDR pour l’intégration de point de terminaison à Microsoft Microsoft Defender XDR for Cloud Apps
• Découvrir les fonctionnalités innovantes de Microsoft Edge
• Protéger votre réseau
• Activer la protection du réseau
• Protection web
• Créer des indicateurs
• Filtrage du contenu web