Настройка аналитики угроз глобального безопасного доступа

Обзор

Аналитика угроз позволяет защитить пользователей от доступа к вредоносным назначениям в Интернете на основе данных в режиме реального времени по текущим угрозам.

Вы можете настроить политику угроз для блокировки доступа пользователей к известным опасным интернет-ресурсам с высокой степенью опасности. В этой политике Microsoft Entra Internet Access блокирует трафик на основе индикаторов домена и URL-адресов от поставщиков аналитики угроз майкрософт и сторонних производителей. С помощью обработчика правил аналитики угроз можно также настроить списки разрешений для обработки ложных срабатываний. Все эти политики могут адаптироваться к контексту с помощью фреймворка профилей безопасности, связывающего политики безопасности глобального безопасного доступа (GSA) с политиками условного доступа.

Предпосылки

  • Администраторы, взаимодействующие с функциями глобального безопасного доступа , должны иметь одно или несколько следующих назначений ролей в зависимости от выполняемых задач.
    • Роль глобального администратора безопасного доступа для управления функциями глобального безопасного доступа.
    • Администратор условного доступа для создания и взаимодействия с политиками условного доступа.
  • Выполните инструкцию по началу работы с руководством по глобальному безопасному доступу .
  • Установите клиент Global Secure Access на устройствах конечных пользователей.
  • Для туннелирования сетевого трафика необходимо отключить систему доменных имен (DNS) по протоколу HTTPS (Secure DNS). Используйте правила полных доменных имен (FQDN) в профиле пересылки трафика. Дополнительные сведения см. в разделе "Настройка DNS-клиента для поддержки DoH".
  • Отключите встроенный DNS-клиент в Chrome и Microsoft Edge.
  • Трафик IPv6 не приобретается клиентом и поэтому передается непосредственно в сеть. Чтобы включить туннелирование всего соответствующего трафика, установите для свойств сетевого адаптера параметр IPv4 предпочтительный.
  • Трафик протокола UDP (например, QUIC) не поддерживается. Большинство веб-сайтов поддерживают резервный вариант протокола управления передачей (TCP), если не удается установить QUIC. Для улучшения пользовательского интерфейса можно развернуть правило брандмауэра Windows, которое блокирует исходящий UDP 443:
New-NetFirewallRule -DisplayName "Block QUIC" -Direction Outbound -Action Block -Protocol UDP -RemotePort 443

Шаги высокого уровня

Существует несколько шагов по настройке аналитики угроз. Запишите, где необходимо настроить политику условного доступа.

  1. Включите переадресацию трафика в Интернете.
  2. Создайте политику аналитики угроз.
  3. Настройте список разрешений (необязательно).
  4. Создайте профиль безопасности.
  5. Свяжите профиль безопасности с политикой условного доступа.

Включение перенаправления трафика в Интернет

Первым шагом является включение профиля пересылки трафика через Интернет. Дополнительные сведения о профиле и его включении см. в статье "Управление профилем пересылки трафика через Интернет".

Профиль Доступа к Интернету можно ограничить определенными пользователями и группами. Дополнительные сведения о назначении пользователей и групп см. в статье "Назначение пользователей и групп" и управление ими с помощью профилей пересылки трафика.

Создание политики аналитики угроз

  1. Перейдите к Global Secure Access>Secure>Политики угроз для интеллектуального анализа.
  2. ВыберитеCreate policy (Создать политику).
  3. Введите имя и описание политики и нажмите кнопку "Далее".
  4. Действие по умолчанию для аналитики угроз — "Разрешить". Это означает, что если трафик не соответствует правилу в политике аналитики угроз, подсистема политик позволит трафику перейти к следующему элементу управления безопасностью.
  5. Нажмите кнопку "Далее " и просмотрите новую политику аналитики угроз.
  6. Нажмите кнопку Создать

Это важно

Эта политика создается с помощью правила, блокирующего доступ к назначениям, в которых обнаружены угрозы с высоким уровнем серьезности. Корпорация Майкрософт определяет угрозы с высоким уровнем серьезности как домены или URL-адреса, связанные с активным распространением вредоносных программ, фишинговыми кампаниями, инфраструктурой и инфраструктурой управления (C2) и другими потоками, определенными корпорацией Майкрософт и сторонними веб-каналами аналитики угроз с высокой уверенностью.

Настройка списка разрешений (необязательно)

Если вы знаете о сайтах, которые могут быть критически важными для бизнеса или помечены как ложные положительные результаты, вы можете настроить правила, которые разрешают доступ к этим сайтам. Обратите внимание на риски безопасности, связанные с этим действием, так как ландшафт интернет-угроз постоянно меняется.

  1. В разделе "Глобальный безопасный доступ>secure>Threat Intelligence Policies" выберите выбранную политику аналитики угроз.
  2. Выберите правила.
  3. Выберите Добавить правило.
  4. Введите имя, описание, приоритет и состояние правила.
  5. Измените полное доменное имя назначения и выберите список доменов для списка разрешений. Эти полные доменные имена можно ввести как домены, разделенные запятыми.
  6. Нажмите кнопку "Добавить".

Создание профиля безопасности или настройка базового профиля

Профили безопасности — это группирование элементов управления безопасностью, таких как фильтрация веб-содержимого и политики аналитики угроз. Вы можете назначить профили безопасности с помощью политик условного доступа Microsoft Entra или связать их. Один профиль безопасности может содержать политику каждого типа.

На этом шаге вы создадите профиль безопасности для группирования политик фильтрации, таких как фильтрация веб-содержимого и (или) аналитика угроз. Затем вы назначаете профили безопасности с политикой условного доступа или связываете их с учетом пользователя или контекста.

Так как разведка угроз критически важна для базовой системы безопасности пользователей, вы также можете связать политику разведки угроз с базовым профилем безопасности, которая применяет политику на весь трафик пользователей в арендаторе.

Замечание

Политику аналитики угроз можно настроить только для каждого профиля безопасности. Приоритеты правил в каждом элементе управления безопасностью обрабатывают исключения, а элементы управления безопасностью следуют указаниям, (1) проверка > TLS (2) Фильтрация > веб-содержимого (3) Аналитика > угроз (4) Тип > файла (5) Защита от > потери данных (6) Сторонняя сторона

  1. Перейдите к Глобальному безопасному доступу>Безопасные>профили безопасности.
  2. Выберите "Создать профиль".
  3. Введите имя и описание профиля и нажмите кнопку "Далее".
  4. Выберите "Связать политику" и выберите "Существующая политика аналитики угроз".
  5. Выберите уже созданную политику аналитики угроз и нажмите кнопку "Добавить".
  6. Нажмите кнопку "Далее", чтобы просмотреть профиль безопасности и связанную политику.
  7. Выберите "Создать профиль".
  8. Выберите "Обновить" , чтобы просмотреть новый профиль.

Создайте политику условного доступа для конечных пользователей или групп и доставьте профиль безопасности с помощью элементов управления сеансом условного доступа. Условный доступ — это механизм реализации осведомленности пользователей и контекста для политик доступа в Интернет.

  1. Перейдите к Идентификация>Защита>условному доступу.
  2. Выберите "Создать новую политику".
  3. Введите имя и назначьте пользователя или группу.
  4. Выберите целевые ресурсы и все интернет-ресурсы с помощью глобального безопасного доступа.
  5. Выберите Сеанс>Используйте профиль безопасности Global Secure Access и выберите профиль безопасности.
  6. Выберите Выбрать.
  7. В разделе "Включить политику " убедитесь, что выбран параметр On .
  8. Нажмите кнопку "Создать".

Замечание

Применение нового профиля безопасности может занять до 60–90 минут, так как профили безопасности применяются с помощью маркеров доступа.

Замечание

Чтобы ускорить изменение конфигурации условного доступа для тестирования, отмените сеансы пользователей в Центре администрирования Entra (выберите "Отозвать сеансы " на странице обзора пользователя). Это заставляет пользователей получать новые токены с обновленными политиками. Дополнительные сведения об оценке непрерывного доступа.

Проверка применения политики конечных пользователей

Используйте устройство Windows с установленным клиентом Глобального безопасного доступа. Войдите в систему как пользователь, которому назначен профиль приобретения трафика Интернета. Проверьте, что посещение вредоносных веб-сайтов заблокировано должным образом.

Замечание

После настройки политики аналитики угроз может потребоваться очистить кэш браузера для проверки применения политик.

  1. Щелкните правой кнопкой мыши значок клиента Глобального безопасного доступа в области диспетчера задач и откройте Расширенные диагностики>профиль пересылки. Убедитесь, что существуют правила приобретения доступа к Интернету.
  2. Перейдите к известному вредоносному сайту (например, entratestthreat.com или smartscreentestratings2.net). Убедитесь, что доступ к вам блокируется и что поле "Тип угрозы" не является пустым в журналах сетевого трафика. Для отображения журналов трафика на портале может потребоваться до 5 минут.
  3. Если Microsoft Defender или Смарт-экран блокируют сайт, обойдите блокировку и получите доступ к сайту, чтобы проверить сообщение о блокировке Глобального безопасного доступа. Для этого выберите "Продолжить небезопасный сайт (не рекомендуется)" в разделе "Дополнительные сведения".
  4. Чтобы проверить список разрешений, создайте правило в политике аналитики угроз, чтобы разрешить доступ к сайту. Через 2 минуты вы сможете получить доступ к нему. (Возможно, потребуется очистить кэш браузера.)
  5. Оцените оставшийся поток угроз против ваших известных индикаторов угроз.

Снимок экрана: ошибка браузера с открытым текстом для незашифрованного или проверенного HTTP-трафика TLS.

Caution

Тестирование с помощью реальных вредоносных сайтов должно выполняться в песочнице или тестовой среде для защиты устройства и предприятия.

Дальнейшие шаги

  • Last updated on