Microsoft Defender XDR/MDE

Deploy Microsoft Defender for Endpoint (MDE). (8) Web Protection

Pepuri 2023. 12. 17. 06:51
반응형

이전글

2023.12.16 - [Microsoft 365/MDE] - Deploy Microsoft Defender for Endpoint (MDE). (7) Automated investigation and remediation (AIR)

 

이번에는 Web Protection 대해서 다루겠습니다.

Web protection | Microsoft Learn

 

I. Introduction

- 브라우저 기반에서 동작되는 위협으로부터 장치 보호

- 사전에 정의된 범주를 기반으로 동작

- Edge 브라우저는 SmartScreen, 3rd Party 브라우저는 Network Protection 연계하여 동작

- 악성 사이트부터 업무에 불필요하다고 판단되는 사이트 범주들을 차단할 있습니다.

 

1P = 1st Party, 3P = 3rd Party

Web Protection Flow

 

II. Enable Feature

Endpoints -> General -> Advanced features -> Web content filtering -> On

Enable Web content filtering

-> Web content filtering SmartScreen Network Protection 연계하여 동작합니다.

 

III. Add Policy

Endpoints -> Genernal -> Advanced features -> Add Policy

Add Policy

 

정책 이름 지정

Policy Name

 

차단할 범주를 지정합니다.

범주 지정

 

이전에 생성한 디바이스 그룹을 지정합니다.

디바이스 그룹 지정

 

Submit

Submit

 

생성된 정책확인

정책 생성

 

IV. Enable Smart Screen

Edge에서 Web Protection 적용하려면 Smart Screen 활성화 해야합니다.

저는 Intune Configuration Profile 기준으로 작성하였습니다. (GPO 가능함)

정책읜 해외 MVP 블로그 글들을 보고 참고하여 작성했습니다.

 

Devices -> Configuration Profiles -> Create Policy

Create Configuration Profile

 

Windows 10 and later -> Settings catalog -> create

create a profile

 

정책 이름 입력 -> Next

정책 이름 지정

 

+Add settings

세부 설정

 

Smartscreen settings -> Microsoft Edge\SmartScreen settings

SmartScreen 지정

 

SmartScreen1

 

SmartScreen2

 

SmartScreen3

 

적용할 그룹을 지정 -> Next

그룹 할당

 

Create

프로필 생성

 

V. Test

Edge 에서 twitter.com 접속 -> SmartScreen + Web Contents Filtering 적용 -> 차단 확인

Edge Test

 

Chrome (3rd Party 브라우저) -> Twitter.com 접속 -> Network Protection + Web Contents Filtering 적용 -> 차단 확인 (추측하단에 Block 메시지 표시)

3rd Party test

 

Advanced hunting에서 다음 쿼리문으로 기록을 확인할 있습니다.

#Edge

DeviceEvents
| where ActionType == "SmartScreenUrlWarning"
| extend ParsedFields=parse_json(AdditionalFields)
| project DeviceName, ActionType, Timestamp, RemoteUrl, InitiatingProcessFileName, Experience=tostring(ParsedFields.Experience)
| where Experience == "CustomPolicy"

 

SmartScreen 기록 쿼리

 

#3rd Party 브라우저

DeviceEvents 
| where ActionType == "ExploitGuardNetworkProtectionBlocked" 
| extend ParsedFields=parse_json(AdditionalFields) 
| project DeviceName, ActionType, Timestamp, RemoteUrl, InitiatingProcessFileName, ResponseCategory=tostring(ParsedFields.ResponseCategory) 
| where ResponseCategory == "CustomPolicy"

 

NetworkProtection 쿼리

 

 

이번 글은 Web Protection에 대한 기본적인 설정에 다루었습니다. Skill up이 된 후 나중에 다양한 활용방법에 대해서 다뤄 보도록 하겠습니다.

반응형