通过

如何配置全局安全访问威胁情报(预览版)

威胁智能使你能够基于当前威胁的实时数据保护用户访问 Internet 上的恶意目标。

你可以配置威胁情报策略,以阻止用户从高严重性已知的恶意 Internet 目标。 在此策略中,Microsoft Entra Internet Access 基于来自Microsoft和第三方威胁情报提供程序的域和 URL 指示器阻止流量。 使用威胁智能规则引擎,还可以配置用于处理误报的允许列表。 所有这些策略都可以通过安全配置文件框架了解上下文,将全局安全访问(GSA)安全策略链接到条件访问。

先决条件

  • 全局安全访问 功能交互的管理员必须具有以下一个或多个角色分配,具体取决于他们正在执行的任务。
  • 完成 全局安全访问指南入门
  • 在最终用户设备上安装 Global Secure Access 客户端
  • 必须通过 HTTPS(安全 DNS)禁用域名系统(DNS)以隧道传输网络流量。 在流量转发配置文件中使用完全限定域名(FQDN)的规则。 有关详细信息,请参阅 配置 DNS 客户端以支持 DoH
  • 在 Chrome 和 Microsoft Edge 上禁用内置 DNS 客户端。
  • 客户端不会获取 IPv6 流量,因此直接传输到网络。 若要启用要隧道传输的所有相关流量,请将网络适配器属性设置为 首选 IPv4
  • Internet Access 的当前预览版不支持用户数据报协议(UDP)流量(即 QUIC)。 大多数网站都支持在无法建立 QUIC 时回退到传输控制协议(TCP)。 为了改善用户体验,可以部署阻止出站 UDP 443 的 Windows 防火墙规则:
@New-NetFirewallRule -DisplayName "Block QUIC" -Direction Outbound -Action Block -Protocol UDP  -RemotePort 443

高级步骤

配置威胁情报有几个步骤。 记下需要配置条件访问策略的位置。

  1. 启用 Internet 流量转发。
  2. 创建威胁情报策略。
  3. 配置允许列表(可选)。
  4. 创建安全配置文件。
  5. 将安全配置文件链接到条件访问策略。

启用 Internet 流量转发

第一步是启用 Internet 访问流量转发配置文件。 若要详细了解配置文件以及如何启用它,请参阅 如何管理 Internet 访问流量转发配置文件

可以将 Internet 访问配置文件的范围限定为特定用户和组。 若要详细了解用户和组分配,请参阅 如何使用流量转发配置文件分配和管理用户和组

创建威胁情报策略

  1. 浏览到 全局安全访问>安全>威胁情报策略
  2. 选择“创建策略”。
  3. 输入策略的名称和说明,然后选择“ 下一步”。
  4. 威胁情报的默认作是“允许”。 这意味着,如果流量与威胁情报策略中的规则不匹配,策略引擎将允许流量转到下一个安全控制。
  5. 选择 “下一步 ”并 查看 新的威胁情报策略。
  6. 选择 创建

重要

创建此策略时,规则会阻止访问检测到高严重性威胁的目标。 Microsoft将高严重性威胁定义为与活动恶意软件分发、网络钓鱼活动、命令和控制(C2)基础结构和其他线程关联的域或 URL,这些线程由Microsoft和第三方威胁情报源识别,具有很高的置信度。

配置允许列表(可选)

如果你知道可能具有业务关键性或标记为误报的网站,则可以配置允许这些网站的规则。 请注意此作涉及的安全风险,因为 Internet 威胁形势正在不断变化。

  1. “全局安全访问>安全>威胁情报策略”下,选择所选的威胁情报策略。
  2. 选择 规则
  3. 选择 “添加规则”。
  4. 输入规则的名称、说明、优先级和状态。
  5. 编辑 目标 FQDN 并选择允许列表的域列表。 可以将这些 FQDN 输入为逗号分隔域。
  6. 选择 并添加

创建安全配置文件或配置基线配置文件

安全配置文件是一组安全控件,如 Web 内容筛选和威胁情报策略。 可以使用 Microsoft Entra 条件访问策略分配或链接安全配置文件。 一个安全配置文件可以包含每种类型的策略。

在此步骤中,你将创建一个安全配置文件来对筛选策略(如 Web 内容筛选和/或威胁智能)进行分组。 然后,使用条件访问策略分配或链接安全配置文件,使它们能够识别用户或上下文。

由于威胁情报对于用户的基本安全状况至关重要,因此,也可以将威胁情报策略链接到基线安全配置文件,该配置文件将策略应用于租户中的所有用户的流量。

注释

只能为每个安全配置文件配置威胁情报策略。 每个安全控制中的规则优先级处理异常,安全控制遵循排序、(1)TLS 检查 > (2) Web 内容筛选 > (3) 威胁情报 > (4) 文件类型 > (6) 数据丢失防护 > (7) 第三方

  1. 浏览到“全球安全访问”“安全”>“安全配置文件”>
  2. 选择“ 创建配置文件”。
  3. 输入配置文件的名称和说明,然后选择“ 下一步”。
  4. 选择 “链接策略 ”,然后选择 “现有威胁情报策略”。
  5. 选择已创建的威胁情报策略,然后选择“ 添加”。
  6. 选择 “下一步 ”以查看安全配置文件和关联的策略。
  7. 选择“ 创建配置文件”。
  8. 选择 “刷新 ”以查看新配置文件。

为最终用户或组创建条件访问策略,并通过条件访问会话控制传送安全配置文件。 条件访问是 Internet 访问策略的用户和上下文感知的传递机制。

  1. 浏览到 标识>保护>条件访问
  2. 选择“创建新策略”。
  3. 输入名称并分配用户或组。
  4. 选择“目标资源和具有全局安全访问的所有 Internet 资源”。
  5. 选择 “会话>使用全局安全访问安全配置文件 ”并选择安全配置文件。
  6. 选择 选择
  7. “启用策略 ”部分中,确保已选择 “打开 ”。
  8. 选择 创建

注释

应用新的安全配置文件最多可能需要 60-90 分钟,因为安全配置文件是通过访问令牌强制执行的。

验证最终用户策略强制实施

使用已安装全局安全访问客户端的 Windows 设备。 以分配 Internet 流量获取配置文件的用户身份登录。 测试是否按预期阻止导航到恶意网站。

注释

配置威胁情报策略后,可能需要 清除浏览器的缓存 以验证策略强制实施。

  1. 右键单击任务管理器托盘中的全局安全访问客户端图标,并打开 高级诊断>转发配置文件。 确保存在 Internet 访问获取规则。
  2. 导航到已知的恶意网站(例如, entratestthreat.comsmartscreentestratings2.net)。 确保被阻止,并且“威胁类型”字段在流量日志中为 nonempty。 流量日志可能需要长达 5 分钟才能显示在门户中。
  3. 如果 Windows Defender 或智能屏幕阻止,请覆盖并访问站点以测试全局安全访问阻止消息。 为此,可以在“更多信息”下选择“继续访问不安全站点”(不建议这样做)。
  4. 若要测试允许列表,请在威胁情报策略中创建规则以允许访问站点。 在 2 分钟内,应该能够访问它。 (可能需要清除浏览器缓存。
  5. 根据已知威胁指标评估威胁源的其余部分。

显示未加密或 TLS 检查的 HTTP 流量的纯文本浏览器错误的屏幕截图。

注意

应在沙盒或测试环境中执行使用真实恶意站点进行测试,以保护设备和企业。

后续步骤

  • Last updated on