Global Secure Access 与 Netskope 的高级威胁防护和数据丢失防护集成

在当今不断变化的威胁格局中，组织面临着保护敏感数据和系统免受网络攻击的挑战。 全球安全访问高级威胁防护（ATP）将Microsoft安全服务边缘（SSE）与 Netskope 的高级威胁检测和数据丢失防护（DLP）功能相结合，以提供全面的安全解决方案。 此集成提供针对恶意软件、零日漏洞和数据泄漏的实时保护，并通过统一平台简化管理。

本指南提供了有关配置 ATP 和 DLP 策略以保护组织的分步说明。 通过执行这些步骤，IT 管理员可以应用 Microsoft SSE 和 Netskope 的强大功能，以增强组织的安全状况并简化威胁管理。

高级体系结构

先决条件

若要完成这些步骤，请确保满足以下先决条件：

• Microsoft Entra ID 中用于配置全局安全访问设置的全局安全访问管理员角色。
• 如配置传输层安全 (TLS) 检查中所述配置了传输层安全 (TLS) 检查策略的租户。
• 运行 Windows 10 或 Windows 11 并加入或混合加入 Microsoft Entra ID 的设备或虚拟机。
• 安装了全局安全访问客户端的设备。 有关要求和安装说明 ，请参阅 Microsoft Windows 的 Global Secure Access 客户端 。
• 用于配置条件访问策略的条件访问管理员角色。
• 试用Microsoft Entra Internet Access 许可证。 有关许可详细信息，请参阅全局安全访问 许可概述。 可以购买许可证或获取试用许可证。 若要激活 Internet Access 试用版，请浏览到 aka.ms/InternetAccessTrial。

启用 Internet 访问流量配置文件

1. 登录到 Microsoft Entra 管理中心。

2. 浏览到 全局安全访问>连接>流量转发 并启用 Internet 访问配置文件。

3. 在 Internet 访问配置文件>用户和组分配下，选择 “视图 ”以选择参与的用户。

   有关详细信息，请参阅 如何管理 Internet 访问流量转发规则。

   重要

   在继续之前，请检查客户端的 Internet 流量是否通过全局安全访问服务路由。

4. 在测试设备上，右键单击系统托盘中的“全局安全访问”图标，然后选择“ 高级诊断”。

5. 在“转发配置文件”选项卡上，验证“规则”部分中是否存在 Internet 访问规则。 启用 Internet 访问流量配置文件后，此配置最多可能需要 15 分钟才能应用于客户端。

启用 TLS 检查

大量 Internet 流量已加密。 在边缘终止 TLS 允许全局安全访问检查解密流量并应用安全策略。 此过程支持威胁检测、内容筛选和精细访问控制。

若要启用 TLS 检查，请按照 配置传输层安全检查中的步骤作。

启用和测试 ATP 和 DLP 策略

可以通过完成以下高级步骤，直接从 Microsoft Entra 管理中心创建由 Netskope 引擎提供支持的 ATP 和 DLP 策略。 每个步骤的详细信息如下。

1. 通过全球安全访问市场激活 Netskope 产品/服务
2. 创建 ATP 策略
3. 创建 DLP 策略
4. 将 ATP、DLP 或 TLS 检查策略链接到安全配置文件
5. 创建条件访问策略以强制实施 ATP、DLP 和 TLS 检查策略
6. 测试 ATP 策略
7. 测试 DLP 策略

通过全球安全访问市场激活 Netskope 产品/服务

可以激活免费试用版，或联系 Netskope 获取私人产品/服务。 选择标签页以按照首选选项的步骤进行操作。

创建 ATP 策略

1. 浏览到 全局安全访问>安全>威胁防护策略。

2. 选择“+ 创建策略”。

3. 在“基本信息”选项卡上：

   1. 将 安全提供程序 设置为 Netskope。
   2. 输入策略名称。
   3. 选择策略 位置。
      • 当 Netskope 处理多个 ATP 和 DLP 策略时，位置设置策略优先级。
      • Netskope 的 ATP 和 DLP 策略共享一个常见的排序列表。 指定的位置适用于 Netskope 中的 ATP 和 DLP 策略。 例如，Netskope_ATP_Policy_1 的位置可能为 1，后跟位置为 2 的 Netskope_DLP_Policy_1，Netskope_ATP_Policy_2 的位置为 3。
      • 如果分配另一个 Netskope ATP 或 DLP 策略已使用的位置，则较低策略的位置会自动向下移动一个。
   4. 将 状态 设置为 已启用。
   5. 选择“下一步”。

4. 在“ 策略 ”选项卡上：

   1. 选择 “选择目标 ”链接。

   2. 对于 目标类型，请选择 类别 或 应用程序。

   3. 搜索并选择所需的类别或应用程序。 若要确定要选择哪个 Netskope Web 类别，请参阅 Netskope URL 分类查找。

   4. 选择应用。

   5. 选择触发策略 的活动 类型： 上传 （从用户流向 Internet 的数据）、 下载 （从 Internet 流向用户的数据）或 上传下载。

   6. 对于“操作”，请选择“选择操作”链接，并为“低”、“中”和“高”威胁严重性设置动作。 这些设置指示威胁引擎针对每个威胁严重性采取的行动。

   7. 选择应用。

   8. 高级设置允许你选择“患者零”选项，该选项指示威胁引擎对威胁运行更多诊断，并阻止用户上传或下载，直到威胁引擎到达判决为止。 这些诊断最多可能需要 15 分钟。

      注意

      请勿选中 Patient zero 复选框，除非您完全理解并希望包含该功能的特性。 启用患者零时，策略仅匹配二进制和可执行文件文件类型。 患者零的含义如下：

      • 如果文件类型为二进制和可执行文件，并且 Netskope 威胁引擎具有判断，则威胁引擎将采取与政策匹配的行动。
      • 如果文件类型为二进制和可执行文件，并且 Netskope 威胁引擎没有确定的判断，则威胁引擎会阻止此活动。
      • 如果文件类型不是二进制文件且可执行文件，则该文件与策略不匹配。

   有关 Netskope 的 ATP 策略建议，请参阅本文档的 常见问题解答部分 。

5. 选择“下一步”。

6. 查看上传详细信息，然后选择“提交”。

创建 DLP 策略

1. 浏览到 全局安全访问>安全>数据丢失防护策略。
2. 选择 “+ 创建策略>Netskope 策略”。
3. 在 “基本信息 ”选项卡上：
   1. 输入策略 的名称 和 说明 （可选）。
   2. 选择策略 位置。 当 Netskope 处理多个 ATP 和 DLP 策略时，位置设置策略优先级。
   3. 将 状态 设置为 “已启用”。
   4. 选择“下一步”。
4. 在“ 策略 ”选项卡上：
   1. 选择 “选择目标 ”链接。
   2. 对于 目标类型，请选择“ 类别 ”或 “应用程序”。
   3. 搜索并选择所需的类别或应用程序。
   4. 选择应用。
   5. 选择应受此策略 约束的活动类型 。 选择 “上传 ”和 “下载”。 可用的活动因所选类别和应用程序而异。 除了 上传 和 下载之外，Netskope 还对各种应用程序和应用程序类别的活动提供精细支持。 通过这些类别，可以应用全面的数据丢失防护策略来保护业务关键型应用程序和应用程序类别中的数据。
   6. 若要选择并配置 DLP 配置文件，请选择 “选择配置文件 ”链接。 可以从 DLP 配置文件中进行选择，这些配置文件涵盖预定义的数据标识符和个人标识符，例如财务数据、医疗数据、生物数据、不适当的术语和行业重点信息。
   7. 选择与所需信息类型匹配的 DLP 配置文件，然后为每个信息类型选择要强制执行的操作。 （出于初始测试目的，请选择 DLP-PCI 和 DLP-PII。
   8. 选择应用。
   9. （可选）选择 “选择高级设置” 链接，然后选择“ 继续策略评估”。 “继续策略评估”选项可确保 DLP 策略评估不会在 DLP 策略匹配后停止。 每次 DLP 匹配都会引发警报，并对每个剩下的 DLP 政策进行评估。 或者，如果希望在第一个 DLP 匹配之后停止策略评估， 而不 继续执行 DLP 策略的其余部分，请不要选择 “继续策略评估 ”选项。
   10. 选择应用。
   11. 选择“下一步”。
5. 查看上传详细信息，然后选择“提交”。

有关如何创建自定义 DLP 配置文件的说明，请参阅 “创建自定义 DLP 配置文件”。

将 ATP、DLP 或 TLS 检查策略链接到安全配置文件

使用 安全配置文件 和 条件访问 向用户分配 ATP 和 DLP 策略。

1. 浏览到“全球安全访问”“安全”>“安全配置文件”>。
2. 选择要修改的安全配置文件。
3. 切换到 “链接策略 ”视图。
4. 关联 ATP 策略：
   1. 选择 “+ 链接一个策略>”现有威胁防护策略。
   2. 从 “策略名称 ”菜单中，选择你创建的威胁防护策略。
   3. 将 Position 和 State 设置为默认值。
   4. 选择 并添加。
5. 链接 DLP 策略：
   1. 选择 + 关联策略>现有 Netskope DLP 策略。
   2. 从 “策略名称 ”菜单中，选择创建的 DLP 策略。
   3. 将 Position 和 State 设置为默认值。
   4. 选择 并添加。
6. 链接 TLS 检查策略：
   1. 选择 + 链接策略>现有 TLS 检查策略。
   2. 从 “策略名称 ”菜单中，选择创建的 TLS 检查策略。
   3. 将 优先级 和 状态 设置为默认值。
   4. 选择 并添加。
7. 关闭安全配置文件。

为了防止Microsoft和 Netskope 策略之间的混淆，Netskope 策略在其优先级列表中包括 NS 。 平台首先评估Microsoft安全策略。 然后，流量将转到 Netskope，后者在将流量发送到目标之前应用 ATP 和 DLP 策略。

创建条件访问策略以强制实施 ATP、DLP 和 TLS 检查策略

若要强制实施全局安全访问安全配置文件和 TLS 检查策略，请创建具有以下详细信息的条件访问策略。 有关详细信息，请参阅 “创建和链接条件访问策略”。

验证配置

由于全局安全访问客户端上的令牌有效期，对安全配置文件策略或 ATP 策略的更改最多可能需要一小时才能应用。

若要确保 TLS 检查按预期工作，请禁用浏览器的 QUIC 协议支持。 若要禁用 QUIC，请参阅 Internet 访问不支持 QUIC。 有关更多详细信息，请参阅故障排除部分“TLS 检查仅适用于某些站点”。

若要验证配置设置，请执行以下作：

1. 验证客户端设备是否已安装全局安全访问客户端。
2. 验证是否强制执行使用条件访问的相应安全配置文件。
3. 浏览到 netskope.com/url-lookup。

成功：如果看到搜索字段和 搜索 按钮，Netskope 正在分析流量，并且策略生效。

失败：如果看到消息“URL 查找仅适用于 Netskope 客户。 使用 Netskope 引导方法访问此服务。”测试失败。 请查看 “故障排除”部分 以获取指导。

测试 ATP 策略

若要测试 ATP 策略，请使用欧洲计算机防病毒研究所 （EICAR） 反恶意软件测试文件。 若要进行更高级的测试，请与安全团队或红色团队联系。 关于 EICAR 测试：

1. 使用以你创建的条件访问策略为目标的测试用户登录到测试设备。
2. 下载 EICAR 测试文件。 如果Microsoft Defender SmartScreen阻止下载，请选择“更多操作”，然后选择“保留”。
3. 禁用浏览器的 QUIC 协议支持。 若要禁用 QUIC，请参阅 Internet 访问不支持 QUIC。

测试 DLP 策略

测试 DLP 策略：

1. 根据“创建 DLP 策略”部分中的建议验证 DLP-PCI 和 DLP-PII DLP 配置文件。
2. 打开包含 PCI 和 PII 数据（如 dlptest.com/sample-data.pdf）的测试文件。
3. 如果策略配置正确，则会使用以下消息阻止该作：

“违规操作。 IT 管理员阻止了当前操作。

监视和日志记录

转到 全局安全访问>仪表板检查警报。

威胁警报

若要查看威胁警报，请转到 全局安全访问>警报。

可能会根据威胁类型（如 检测到恶意软件 或 数据丢失防护）提供更多报告。 选择警报 说明 以检查警报类型并查看更多详细信息。

1. 展开“实体”部分。
2. 切换到 “文件哈希 ”选项卡。
3. 若要下载结构化威胁信息 eXpression 威胁报告，请选择“ 下载恶意软件 STIX 报告”。
4. 若要下载引爆图像（如果可用），请选择“ 下载其他恶意软件详细信息”。
   
5. 若要查看威胁 URL，请切换到 “URL ”选项卡。

流量日志

若要查看流量日志，请转到 全局安全访问>监视器>流量日志。

要显示所有经过 Netskope 检查的流量，请执行以下步骤：

1. 转到“ 事务 ”选项卡。
2. 选择“添加筛选器”。
3. 搜索或滚动以查找 供应商名称 筛选器。
4. 在字段中输入 Netskope 以仅显示 Netskope 流量。
5. 选择应用。
   

此示例显示了由 ATP 策略触发的事件，其中包含阻止的内容。 检查 filteringProfileName 和 policyName ，以确定负责应用作的策略。

{
    "action": "Block",
    "agentVersion": "1.7.669",
    "connectionId": "0000000000000000.0.0",
    "createdDateTime": "07/25/2024, 05:00 PM",
    "destinationFQDN": "secure.eicar.org",
    "destinationIp": "172.16.0.0",
    "destinationPort": "0000",
    "destinationWebCategory/displayName": "General,IllegalSoftware",
    "deviceCategory": "Client",
    "deviceId": "00001111-aaaa-2222-bbbb-3333cccc4444",
    "deviceOperatingSystem": "Windows 10 Pro",
    "deviceOperatingSystemVersion": "10.0.19045",
    "filteringProfileId": "11112222-bbbb-3333-cccc-4444dddd5555",
    "filteringProfileName": "ATP Profile",
    "headers/origin": "secure.eicar.org",
    "headers/referrer": "secure.eicar.org/text.html",
    "headers/xForwardedFor": "10.0.0.0",
    "initiatingProcessName": "chrome.exe",
    "networkProtocol": "IPv4",
    "policyId": "22223333-cccc-4444-dddd-5555eeee6666",
    "policyName": "Block Malware",
    "policyRuleId": "33334444-dddd-5555-eeee-6666ffff7777",
    "policyRuleName": "*",
    "receivedBytes": "14.78 KB",
    "resourceTenantId": "",
    "sentBytes": "0 bytes",
    "sessionId": "",
    "sourceIp": "clipped",
    "sourcePort": "00000",
    "tenantId": "44445555-eeee-6666-ffff-7777aaaa8888",
    "trafficType": "Internet",
    "transactionId": "55556666-ffff-7777-aaaa-8888bbbb9999",
    "transportProtocol": "TCP",
    "userId": "66667777-aaaa-8888-bbbb-9999cccc0000",
    "userPrincipalName": "user@contoso.com",
    "vendorNames": "Netskope"
}

故障排除

如果在配置或使用全局安全访问高级威胁防护（ATP）和 DLP 与 Netskope 集成时遇到问题，请尝试以下建议。

无法创建 Netskope ATP 或 DLP 策略

检查您是否有有效的 Netskope 优惠。

无法购买 Netskope 产品/服务，或者状态显示为失败

若要启用 TLS 检查，请按照 配置传输层安全检查中的步骤作。

我配置了 TLS 检测，现在在浏览互联网时出现错误

如果看到“连接不专用”或其他证书错误等错误，请检查该错误

• 你已将用于签署 TLS 检查证书的证书颁发机构证书导入设备。
• 将证书颁发机构证书放置在正确的证书存储受信任的根证书颁发机构中。

确认 TLS 检查是否正常工作

若要检查 TLS 检查是否正常工作，请转到要检查的网站，选择 “查看网站信息 ”图标，然后选择“ 连接是安全的”。 选择显示证书图标，并验证证书的颁发者是否为Microsoft Global Secure Access Intermediate CA。 此证书颁发者的存在表明Microsoft截获了 TLS 会话。
“证书查看器”对话框的屏幕截图，其中显示了证书的颁发者是 Microsoft Global Secure Access 中级证书颁发机构。

如果您正确配置了 TLS 检查，在配置后至少等待 10 分钟，但仍看不到由 Microsoft Global Secure Access Intermediate 生成的 TLS 会话，请检查主机文件的配置。

TLS 检查仅适用于某些站点

全局安全访问客户端当前不会截获使用 QUIC 协议的请求。 全局安全访问客户端在 高级诊断>运行状况检查中检查 QUIC 状态。 若要在浏览器中禁用 QUIC，请参阅 Internet 访问不支持 QUIC。

检测 URL 所映射的 Netskope Web 类别

若要确保 Netskope 策略设置为正确的 Web 或应用程序类别，请参阅 Netskope URL 分类查找： www.netskope.com/url-lookup. 若要成功访问查找工具，请求必须通过 Netskope 代理，这要求至少配置一个 Netskope 策略并将其链接到正在使用的安全配置文件。 注意：默认情况下不会检查 Web 类别教育、政府、财政和健康与医学。

检查 Netskope ATP 是否正在分析您的流量

若要测试 Netskope 的 ATP 引擎是否正在分析流量，请通过转到 iplocation.net 检查测试计算机的出口 IP 地址。 检查 ISP 字段，确认流量是否通过 Netskope 的 ATP 引擎路由。

已知的限制

高级威胁防护的已知限制包括：

• 基线安全配置文件不支持在此预览版中强制实施 ATP 或 DLP 策略。 使用安全配置文件和条件访问向用户分配威胁防护策略。
• 不支持 Firefox。

常见问题 (FAQ)

Netskope ATP 提供哪些威胁检测能力？

Netskope ATP 提供快速扫描和深度扫描选项。

• 快速扫描是默认选项。 它使用 Netskope 的标准威胁防护提供实时（T+0）扫描。
• 深度扫描使用 Netskope 的高级威胁防护提供更彻底的 T+1 小时扫描。

是否有建议的威胁防护策略？

是的，Netskope 建议为威胁防护创建以下两种基于类别的策略：

Microsoft产品和 Netskope 功能的定价是什么？

可以激活免费试用版，或联系 Netskope 获取私人产品/服务。 有关详细信息，请参阅 通过全球安全访问市场激活 Netskope 产品/服务。

Netskope 威胁引擎支持哪些活动？

Netskope 威胁引擎支持三个活动： 上传、 下载和 浏览。

默认情况下，Netskope 扫描分类为“浏览”的流量，因此无需配置策略。 可以通过符合要求的策略配置“上传”和“下载”。 有关 Netskope Web 活动和策略用法的详细信息，请参阅 Netskope 有关 实时保护策略的文档。

如何自定义或修改 DLP 配置文件以适应组织策略？

有关如何创建自定义 DLP 配置文件的说明，请参阅 “创建自定义 DLP 配置文件”。

在以下文章中详细了解 Netskope 威胁防护：

• Netskope 威胁防护概述
• Netskope 威胁防护文档
• Netskope 数据丢失防护

相关内容

• 了解 Microsoft 和 Netskope 的安全服务边缘 (SSE) 共存
• 配置传输层安全检查
• 创建自定义数据丢失防护配置文件