重要事項
有些資訊與預先發行的產品有關,在商業發行之前可能會進行大幅修改。 Microsoft 對此處提供的資訊,不提供任何明確或隱含的瑕疵擔保。
概觀
Microsoft 正在將網絡保護功能引入 Linux。
網路保護有助於減少裝置因網際網路事件的攻擊面。 它可防止員工使用任何應用程式存取可能託管的危險網域:
- 網路釣魚詐騙
- 漏洞利用
- 互聯網上的其他惡意內容
網路保護會擴充 SmartScreen Microsoft Defender範圍,以封鎖所有嘗試連線到低信譽來源的輸出 HTTP () 流量。 出站 HTTP (的) 流量的封鎖是根據網域或主機名稱而定。
適用於 Linux 的 Web 內容過濾
您可以使用 Web 內容篩選來測試 Linux 的網路保護。 請參閱 網頁內容篩選。
已知問題
- 網路保護是實作為虛擬私人網路 (VPN) 隧道。 可以使用自訂 nftables/iptables 腳本的進階封包路由選項。
- 目前,封鎖/警告使用者體驗無法使用。
注意事項
大多數 Linux 服務器安裝都缺少圖形用戶界面和 Web 瀏覽器。 若要評估 Linux 的 Web 威脅防護有效性,建議在具有圖形使用者介面和 Web 瀏覽器的非生產伺服器上進行測試。
必要條件
- 授權:您必須擁有適用於端點的 Defender 租使用者的付費或試用訂用帳戶。
- 必要條件: Linux 上適用於端點的 Defender 必要條件
- 適用於端點的 Microsoft Defender Linux 用戶端版本:Insiders-Slow 或內部人員快速通道上的 101.78.13 或更新版本。
重要事項
若要評估 Linux 的網路保護,請傳送電子郵件至您的 xplatpreviewsupport@microsoft.com 組織 ID。 我們將根據您的每個要求在您的租用戶上啟用此功能。 網路保護功能僅適用於基於 AMD64 的 Linux 伺服器的預覽版。
指示
手動部署 Linux,請參閱在 Linux 上手動部署適用於端點的 Microsoft Defender
下列範例顯示 ubuntu 20.04 上 mdatp 套件所需的命令序列,以取得內部人員快速通道。
curl -o microsoft.list https://packages.microsoft.com/config/ubuntu/20.04/insiders-fast.list
sudo mv ./microsoft.list /etc/apt/sources.list.d/microsoft-insiders-fast.list
sudo apt-get install gpg
curl https://packages.microsoft.com/keys/microsoft.asc | sudo apt-key add -
sudo apt-get install apt-transport-https
sudo apt-get update
sudo apt install -y mdatp
裝置上線
若要將裝置上線,您必須從 Microsoft Defender 入口網站下載適用於 Linux 伺服器的 Python 上線套件。 移至 [設定>裝置管理][>上線],然後執行下列命令:
sudo python3 MicrosoftDefenderATPOnboardingLinuxServer.py
驗證
檢查網路防護對一律封鎖的網站有影響:
檢查診斷記錄
sudo mdatp log level set --level debug sudo tail -f /var/log/microsoft/mdatp/microsoft_defender_np_ext.log
結束驗證模式
停用網路保護並重新啟動網路連線:
sudo mdatp config network-protection enforcement-level --value disabled
進階設定
根據預設,Linux 網路保護在預設閘道上處於作用中狀態;路由和隧道是在內部配置的。 若要自訂網路介面,請從 /opt/microsoft/mdatp/conf/ 組態檔變更 networkSetupMode 參數,然後重新啟動服務:
sudo systemctl restart mdatp
組態檔也可讓使用者自訂:
- 代理設定
- SSL 憑證存放區
- 通道裝置名稱
- IP
- 以及其他
已針對所有發行版測試預設值,如 Linux 上的適用於端點的 Microsoft Defender中所述
Microsoft Defender 入口網站
此外,請確定在 Microsoft Defender>設定>端點進>階功能中,已啟用「自訂網路指標」切換。
重要事項
上述「自訂網路指示器」切換可控制所有支援網路保護的平台(包括 Windows)的自訂指示器啟用。 提醒您,在 Windows 上,若要強制執行指標,您也必須明確啟用網路保護。
如何探索這些功能
瞭解如何使用 Web 威脅防護來 保護您的組織免受 Web 威脅 。
- Web 威脅防護是適用於端點的 Microsoft Defender 中 Web 保護的一部分。 它使用網路保護來保護您的裝置免受網路威脅。
執行自訂 入侵指標 流程,以取得自訂指標類型的區塊。
探索 Web 內容篩選。
注意事項
如果您同時移除原則或變更裝置群組,可能會導致原則部署延遲。 專業提示:您可以部署原則,而不選取裝置群組上的任何類別。 此動作會建立僅限稽核原則,以協助您在建立封鎖原則之前瞭解使用者行為。
適用於端點的 Defender 方案 1 和方案 2 支援裝置群組建立。
將適用於端點的 Microsoft Defender與Defender for Cloud Apps集成,您啟用網絡保護的 macOS 設備將具有端點策略強制執行功能。
注意事項
這些平台目前不支援探索和其他功能。
案例
在公開預覽期間支援下列案例:
網頁威脅防護
Web 威脅防護是適用於端點的 Microsoft Defender 中 Web 保護的一部分。 它使用網路保護來保護您的裝置免受網路威脅。 透過與 Microsoft Edge 和流行的第三方瀏覽器(如 Chrome 和 Firefox)集成,網路威脅防護可以在沒有 Web 代理的情況下阻止網路威脅。 Web 威脅防護可以在裝置在內部部署或離開時保護裝置。 Web 威脅防護會停止存取下列類型的網站:
- 網路釣魚網站
- 惡意軟體媒介
- 漏洞利用網站
- 不受信任或低信譽的網站
- 您在自訂指標清單中封鎖的網站
如需詳細資訊,請參閱 保護您的組織免受 Web 威脅
自訂入侵指標
IoC () 匹配的入侵指標是每個端點保護解決方案中的基本功能。 這項功能可讓 SecOps 設定偵測指標清單,以及封鎖 (預防和回應) 。
建立定義實體偵測、預防和排除的指標。 您可以定義要採取的動作,以及套用動作的持續時間,以及要套用動作的裝置群組範圍。
目前支援的來源是適用於端點的 Defender 的雲端偵測引擎、自動化調查和補救引擎,以及防病毒軟體) (Microsoft Defender 端點防護引擎。
如需相關資訊,請參閱: 建立 IP 和 URL/網域的指標。
Web 內容篩選
Web 內容篩選是適用於端點的 Microsoft Defender 和適用於企業的 Microsoft Defender 中 Web 保護功能的一部分。 Web 內容篩選可讓您的組織根據網站的內容類別來追蹤和規範對網站的存取。 其中許多網站 (,即使它們不是惡意的) 也可能因為合規法規、頻寬使用或其他問題而出現問題。
跨裝置群組設定原則,以封鎖特定類別。 封鎖類別可防止指定裝置群組內的使用者存取與該類別相關聯的 URL。 對於任何未封鎖的類別,系統會自動稽核 URL。 您的使用者可以在不中斷的情況下存取 URL,而且您將收集存取統計資料,以協助建立更自訂的原則決策。 如果使用者正在檢視的頁面上的元素正在呼叫封鎖的資源,您的使用者將會看到封鎖通知。
Web 內容過濾可在主要 Web 瀏覽器上使用,由 Windows Defender SmartScreen 執行的阻止 (Microsoft Edge) 和 Chrome、Firefox、Brave 和 Opera) (網路保護。 如需瀏覽器支援的詳細資訊,請參閱先 決條件。
如需報告的詳細資訊,請參閱 網頁內容篩選。
Microsoft Defender for Cloud Apps
Microsoft Defender for Cloud Apps/雲端應用程式目錄會識別您希望使用者在使用 Microsoft Defender 全面偵測回應 for Endpoint 存取時收到警告的應用程式,並將其標示為 [受監視]。 受監視應用程式底下所列的網域稍後會同步處理至適用於端點的 Microsoft Defender 全面偵測回應:
在 10-15 分鐘內,這些網域會列在 Microsoft Defender 全面偵測回應 的 [指標 > URL/網域] 底下,並具有 Action=Warn。 在強制 SLA 內 (請參閱本文結尾的詳細資料) 。
另請參閱
提示
想要深入了解? 在我們的技術社區中與Microsoft安全社區Engage:適用於端點的 Microsoft Defender技術社區。