Microsoft Defender for Endpoint – Web content filtering

O que é filtragem de conteúdo da Web?

A filtragem de conteúdo da Web faz parte dos recursos de proteção da Web em Microsoft Defender para Ponto de Extremidade e Microsoft Defender para Empresas. A filtragem de conteúdo da Web permite que sua organização acompanhe e regular o acesso a sites com base em suas categorias de conteúdo. Muitos desses sites (mesmo que não sejam mal-intencionados) podem ser problemáticos devido a regulamentos de conformidade, uso de largura de banda ou outras preocupações.

Configure políticas em seus grupos de dispositivos para bloquear determinadas categorias. Bloquear uma categoria impede que usuários em grupos de dispositivos especificados acessem URLs associadas à categoria. Para qualquer categoria que não esteja bloqueada, as URLs são auditadas automaticamente. Seus usuários podem acessar as URLs sem interrupções e você coletará estatísticas de acesso para ajudar a criar uma decisão de política mais personalizada. Seus usuários verão uma notificação de bloco se um elemento na página que eles estão exibindo estiver fazendo chamadas para um recurso bloqueado.

A filtragem de conteúdo da Web está disponível nos principais navegadores da Web, com blocos executados pelo Windows Defender SmartScreen (Microsoft Edge) e Proteção de Rede (Chrome, Firefox, Brave e Opera).

Benefícios da filtragem de conteúdo da Web

  • Os usuários são impedidos de acessar sites em categorias bloqueadas, quer estejam navegando no local ou fora.
  • Sua equipe de segurança pode acessar relatórios da Web no mesmo local central, com visibilidade sobre blocos reais e uso da Web.
  • Se você estiver usando o Defender para Ponto de Extremidade, sua equipe de segurança poderá implantar convenientemente políticas em grupos de usuários usando grupos de dispositivos definidos em Microsoft Defender para Ponto de Extremidade configurações de controle de acesso baseado em função.
  • Se você estiver usando o Defender para Empresas, poderá definir uma política de filtragem de conteúdo da Web que será aplicada a todos os usuários.

Pré-requisitos

Antes de experimentar esse recurso, verifique se você atende aos requisitos descritos na tabela a seguir:

RequisitoDescrição
AssinaturaSua assinatura deve incluir um dos seguintes:
– Windows 10/11 Enterprise E5
– Microsoft 365 E5
– Microsoft 365 A5
– Microsoft 365 E5 Security
– Microsoft 365 E3
– Microsoft Defender para Ponto de Extremidade Plano 1 ou Plano 2
– Microsoft Defender para Empresas
– Microsoft 365 Business Premium
Acesso ao portalVocê deve ter acesso ao portal Microsoft 365 Defender.
Sistema operacionalOs dispositivos da sua organização devem estar executando um dos seguintes sistemas operacionais com as atualizações antivírus/antimalware mais recentes:
– Windows 11
– Atualização de aniversário do Windows 10 (versão 1607) ou posterior
– Para obter informações sobre a disponibilidade do MacOS, consulte Proteção de Rede para MacOS
– Para obter informações sobre a disponibilidade do Linux, consulte Proteção de Rede para Linux
NavegadorOs dispositivos da sua organização devem estar executando um dos seguintes navegadores:
– Microsoft Edge
– Google Chrome
– Mozilla FireFox
-Corajoso
-Ópera
– Internet Explorer
Proteção relacionadaO Windows Defender SmartScreen e a proteção de rede devem estar habilitados nos dispositivos da sua organização.

Passo a passo

Onboard dispositivo Microsoft Defender for Enpoint

Para que os dispositivos possam usar a filtragem de contéudo da Web os dispositivos precisam ter instalado o Sensor do Microsoft Defender for Endpoint.

Já escrevi alguns artigos no blog mostrando como realizar o onboarding dos dispositivos para o Microsoft Defender for Endpoint.

Onboarding Microsoft Defender for Endpoint utilizando Group Policy Management (GPO)

Onboarding Microsoft Defender for Endpoint utilizando o Intune

Habilitar a proteção de rede

O Microsoft Edge é protegido pelo Defender SmartScreen, outros navegadores não usarão a funcionalidade Defender SmartScreen. Para usar a filtragem de conteúdo da web com êxito em todos os navegadores, certifique-se de que a proteção de rede (NP) esteja habilitada e o Defender SmartScreen. A proteção de rede expande o escopo do Microsoft Defender SmartScreen para bloquear todo o tráfego HTTP(s) de saída.

A filtragem de conteúdo da Web usa diversas técnicas para navegadores Microsoft e não Microsoft e fornece resultados visuais diferentes. Vamos explicar:

  • Navegadores Microsoft: (Microsoft Edge): Cliente Smart Screen
  • Navegadores de terceiros: (Chrome, Firefox ed): Driver de proteção de rede (NP)

Para configurar a proteação de rede no Intune siga as seguintes etapas:

01 – Faça login no portal do Intune.

https://endpoint.microsoft.com

02 – No portal do Intune clique em Endpoint security.

03 – Em Endpoint security em Manage clique em Antívirus.

04 – Na tela Endpoint security | Antivirus em AV policies clique em + Create Policy.

05 – Na tela Create a profile em Platform selecione Windows 10, Windows 11, and Windows Server, em Profile selecione Microsoft Defender Antívirus, em seguida clique em Create.

06 – Em Basics diigite um nome para política e descrição, em seguida clique em Next.

07 – Em configuration settings expanda Defender, para a opção Enable Netwotk Protection selecione Enabled (Block mode), em seguida clique em Next.

08 – Para a opção Scope tags clique em Next.

09 – Para a opção Assignments em Included groups clique em Add groups, na tela Select groups to include selecione o grupo que deseja adicionar a política e clique em Select.

10 – De volta a opção Assigments clique em Next.

11 – Na tela Review + create clique em Create.

12 – Como podemo observar a política foi criada.

13 – Execute o seguinte comando para verificar se a proteção de rede está habilitada no dispositivo.

Get-MpPreference 

Habilitar a proteção de rede utilizando PowerShell

A proteção de rede também pode ser configurada executando o seguinte comando no PowerShell do dispositivo.

Ativar modo de bloqueio

Set-MpPreference -EnableNetworkProtection Enabled

Ativar modo de auditoria

Set-MpPreference -EnableNetworkProtection Enabled

Configurar a filtragem de conteúdo da Web

14 – Faça login no portal do Microsoft 365 Defender.

https://security.microsoft.com

15 – No portal do Microsoft 365 Defender clique em Settings.

16 – Em Settings selecione Endpoints.

17 – Na tela Endpoints em Advanced features habilite a opção Web content filtering, em seguida clique em Save preferences.

18 –  Em Rules selecione Web content filtering.

19 – Em Web content filtering clique em + Add Policy.

20 – Na tela Add Policy digite um nome para a política e clique em Next.

21 – Para a opção Blocked Categories podemos bloquear as categorias de site de acordo com as políticas da organização, selecione as categorias que deseja e clique em Next.

As políticas podem ser implantadas para bloquear qualquer uma das seguintes categorias pai ou filho:

Categoria ParentalCategorias secundárias
Conteúdo adulto– Cultos : Sites relacionados a grupos ou movimentos cujos membros demonstram paixão por um sistema de crenças diferente daqueles socialmente aceitos.

– Jogos de azar : jogos de azar online e sites que promovem habilidades e práticas de jogo.

– Nudez : Sites que fornecem imagens ou vídeos frontais e seminus, normalmente em forma artística, e podem permitir o download ou a venda de tais materiais.

– Pornografia/Sexualmente explícito : Sites que contêm conteúdo sexualmente explícito em forma textual ou baseada em imagens. Qualquer forma de material de orientação sexual também está listada aqui.

– Educação sexual: Sites que discutem sexo e sexualidade de forma informativa e não voyeurística, incluindo sites que fornecem educação sobre reprodução humana e contracepção, sites que oferecem conselhos sobre prevenção de infecções por doenças sexuais e sites que oferecem conselhos sobre questões de saúde sexual.

– Insípido : Sites orientados para conteúdo impróprio para crianças em idade escolar ou que um empregador se sentiria desconfortável com o acesso de seus funcionários, mas não necessariamente violento ou pornográfico.

– Violência : Sites que exibem ou promovem conteúdo relacionado à violência contra humanos ou animais.

Alta largura de banda– Sites de download : Sites cuja função principal é permitir que os usuários baixem conteúdo de mídia ou programas, como programas de computador.

– Compartilhamento de imagens : Sites utilizados principalmente para busca ou compartilhamento de fotos, inclusive aqueles que possuem aspectos sociais.

– Ponto a ponto : Sites que hospedam software ponto a ponto (P2P) ou facilitam o compartilhamento de arquivos usando software P2P.

– Streaming de mídia e downloads : sites cuja função principal é a distribuição de streaming de mídia ou sites que permitem aos usuários pesquisar, assistir ou ouvir streaming de mídia.

Responsabilidade legal– Imagens de abuso infantil : sites que incluem imagens de abuso infantil ou pornografia.

– Atividade criminosa : Sites que fornecem instruções, conselhos ou promoção de atividades ilegais.

– Hacking : Sites que fornecem recursos para uso ilegal ou questionável de software ou hardware de computador, incluindo sites que distribuem material protegido por direitos autorais que foi hackeado.

– Ódio e intolerância : sites que promovem opiniões agressivas, degradantes ou abusivas sobre qualquer segmento da população que possa ser identificado por raça, religião, sexo, idade, nacionalidade, deficiência física, situação económica, preferências sexuais ou qualquer outra opção de estilo de vida.

– Droga ilegal: sites que vendem substâncias ilegais/controladas, promovem o abuso de substâncias ou vendem parafernália relacionada.

– Software ilegal : sites que contêm ou promovem o uso de malware, spyware, botnets, golpes de phishing ou pirataria e roubo de direitos autorais.

– Colapso escolar : Sites relacionados a plágio ou trapaça escolar.

– Automutilação : Sites que promovem automutilação, incluindo sites de cyberbullying que contêm mensagens abusivas e/ou ameaçadoras dirigidas aos usuários.

– Armas : Qualquer site que venda armas ou defenda o uso de armas, incluindo, entre outros, revólveres, facas e munições.

Lazer– Bate-papo : sites que são principalmente salas de bate-papo baseadas na web.

– Jogos : Sites relacionados a jogos de vídeo ou de computador, incluindo sites que promovem jogos por meio de hospedagem de serviços on-line ou informações relacionadas a jogos.

– Mensagens instantâneas : Sites que podem ser usados ​​para baixar software de mensagens instantâneas ou mensagens instantâneas baseadas em clientes.

– Rede profissional : Sites que fornecem serviços de networking profissional.

– Redes sociais : Sites que fornecem serviços de redes sociais.

– E-mail baseado na Web : Sites que oferecem serviços de correio baseados na Web.

Sem categoria– Domínios recém-registrados : Sites que foram registrados recentemente nos últimos 30 dias e ainda não foram movidos para outra categoria.

– Domínios estacionados : Sites que não possuem conteúdo ou estão estacionados para uso posterior.

22 – Para a opção Scope podemos aplicar a política para todos os grupos de dispositivos,  para grupos especificos de dispositivos, e para dispositvos que não fazem parte de um grupo, em nosso exemplo vamos aplicar para todos os grupos.

23 – Em Summary verifique se todas as informações estão corretas, em seguida clique em Submit.

Em seguida clique em Done.

24 – Como podemos observar a política foi criada.

Validação da polítca de filtragem de conteúdo da Web

No dispositivo protegido pelo Microsoft Defender for Endpoint vamos executar um site na categoria jogos de azar.

https://www.playusa.com

25 – Como podemos observar o site foi bloqueado pela filtragem de contéudo da web do Microsoft Defender for Endpoint.

Advanced Hunting

Utilizando KQL é possível visualizar todos os eventos da filtragem de proteção da web.

26 – No portal do Microsoft 365 Defender expanda Hunting em seguida clique em Advanced hunting.

27 – Na tela Advanced hunting execute a seguinte consulta em kql:

DeviceEvents  | where ActionType == ”SmartScreenUrlWarning” | extend ParsedFields=parse_json(AdditionalFields) | project DeviceName, ActionType, Timestamp, RemoteUrl, InitiatingProcessFileName, Experience=tostring(ParsedFields.Experience) | where Experience == ”CustomPolicy”

Como podemos observar temos a visibilidade da execução do site www.playusa.com

Reporting

Para visualizar todas as atividades, vários relatórios estão disponíveis para o recurso de proteção de conteúdo da web.

28 – No portal do Microsoft 365 Defender clique em Reports.

29 – Na tela Reports em Endpoint selecione Web protection.

30 – No relatório web content filtering blocks podemos vermos os sites bloqueados por categoria, clique em Details.

31 – Na tela web content filtering blocks details podemos ver os sites bloqueados por categoria, clique em Gambling.

32 – Após selecionar Gambling podemos ver o total de acessos ao site, o dominio e máquina que acessou o site.

33 – Em Domains podemos ver os dominios, total de requisições, bloqueios e categoria.

Comente suas sugestões e observações! 

Forte abraço, obrigado e até o próximo post.

Me siga nas redes sociais:
https://lnkd.in/enx4eSV

Deixe um comentário

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *