Microsoft Defender ATP is al een tijd als preview te vinden in Microsoft Defender ATP – sinds 6 juli is hierop een wijziging geweest vanuit Microsoft. Het is vanaf nu niet meer vereist om een aparte licentie af te nemen voor dit product bij Cyren. De dienst is nu standaard aanwezig in het Microsoft Defender ATP product en te gebruiken met een E5 licentie. Hiermee komt er een essentiële functionaliteit beschikbaar voor Microsoft Defender ATP. In dit blog een toelichting van de configuratie en inrichting. 

Web content filtering

Het grootste voordeel van de wijziging is de volledigheid op kosten. Er is hierdoor geen aparte licentie vereist voor de web content filtering functionaliteit. Ook voor de bestaande implementaties is het eenvoudig om om te schakelen naar het nieuwe model zonder Cyren abonnement.

Cyren Partner integration verwijderen

Het is eenvoudig om de reeds bestaande partner integration te verwijderen. Volg hiervoor de volgende stappen:

  • Ga naar Azure Active Directory > App Registrations 
  • Zoek naar de app welke is geregistreerd voor de Cyren dienst
  • Selecteer de applicatie en verwijder de applicatie in zijn geheel

Meer informatie over de wijziging is te vinden op de website van Microsoft.  

Minimale eisen

Om te starten met web protection is het volgende nodig:

  • Windows 10 Enterprise E5/A5 of een trial
  • Toegang tot Microsoft Defender Security portal
  • Windows 10 met minimaal 1903 voor de beste ervaring met SmartScreen
  • Network protection geactiveerd op de devices

Configuratie

Omdat Web protection nu onderdeel is van Microsoft Defender ATP ben je niet meer vereist om een Cygen trial aan te vragen. Allereerst open de Microsoft Defender Security Center portal en ga naar settings -> advanced features om de Web content filtering functionaliteit te activeren.

Aanmaken device group

Voor de test/ pilot is het aangeraden om een device group met test devices aan te maken, hiermee voorkom je dat de settings beschikbaar worden voor alle devices in de organisaties. Voor deze actie is het vereist om een Role group aan te maken welke is gebaseerd op een AzureAD groep.

Voor het aanmaken van een testgroep:

  • Open Microsoft Defender Security Center
  • Open Settings
  • Vervolgens onder Permissions klik op Device groups (1)
  • Klik op Add device group (2)
  • Vul een naam in (3)
  • Selecteer een automation level (4)
  • Maak vervolgens een member match voor de devices (5)
  • Selecteer vervolgens bij User access de User access Azure AD group

Aanmaken Web content filtering rules

Voor het aanmaken van de web content filtering rules is bovenstaande groep een vereiste indien de scope is gericht op een selecte groep devices. Zeker voor de test is dit wel aangeraden. Voor het aanmaken van een web content filtering rule;

  • Ga naar settings binnen de Microsoft Defender Security Center portal (6)
  • Klik op Web content filtering (7)
  • Klik op Add Item (8)

Tijdens het aanmaken van de settings zijn er verschillende configuraties mogelijk. Allereerst is de Policy name vereist. In dit geval een policy gericht op gaming.

Blocked categories is bedoeld om de specifieke web content groepen aan te geven welke vereist zijn in de policy. De categorieën zijn verdeeld in verschillende groepen met daaronder opties. Games valt onder Leisure. Vooralsnog zijn de categorieën, met daaronder de nodige subcategorieën :

  • Adult content
    • Cults
    • Gambling
    • Nudity
    • Pornography/Sexually explicit
    • Sex education
    • Tasteless
    • Violence
  • High bandwidth
    • Download sites
    • Image sharing
    • Peer-to-peer
    • Streaming media & downloads
  • Legal liability
    • Child abuse images
      Criminal activity
    • Hacking
    • hate & intolerance
    • Illegal drug
    • Illegal software
    • School cheating
    • Self-harm
    • Weapons
  • Leisure
    • Chat
    • Games
    • Instant messaging
    • Professional network
    • Social networking
    • Web-based e-mail
  • Uncategorized

De stap scope is gericht om te bepalen welke devices in de scope zitten voor de policy. Er zijn twee opties mogelijk;

  • All devices in my scope
  • Select from list

Gezien de test is het in dit geval optie 2 met de eerder aangemaakte device group. Het is mogelijk om de settings te activeren in een audit only policy. Hierdoor kan je inzage krijgen in het gedrag. Om een audit-only policy aan te maken deploy de policy zonder het selecteren van een categorie. Bron

Vervolgens is de setting aangemaakt en zal deze verschijnen in het overzicht Web content Filtering.

In de praktijk

Vervolgens is het mogelijk om de resultaten te bekijken op de test devices welke onderdeel zijn van de scope. Via de website van Cyren is het mogelijk om de URL te bekijken op de categories. Als voorbeeld zie je de game; World of Warcraft onderdeel uitmaken van gaming.

Door op het device te checken in verschillende browsers zie je een aantal verschillende resultaten. De beste end-user ervaring is gebaseerd op smartscreen. Overige browsers maken gebruik van Network protection.

Network protection is via verschillende manieren te configureren, waaronder via Microsoft Endpoint Manager, Powershell, Registry of Configuration Manager. Bekijk de toelichting van Microsoft.

Voor Microsoft Endpoint Manager is onderstaand een voorbeeld van de configuratie voor Windows 10;

Resultaat browsers

Edge chromium;

Chrome:

Internet Explorer:

Rapportages

Vanuit de Microsoft Defender Security Center portal is er een rapportage mogelijkheid te vinden. In een vervolg blog komt hiervan een extra toelichting.

Ga hiervoor naar: Reports > Web protection

Afbeelding afkomstig van Microsoft, vanwege gegevens eigen tenant.

Ook via de device Timeline: Device name -> Timeline is het mogelijk om de resultaten te bekijken. Via de filters is het mogelijk om te filteren op de specifieke event groups, in dit geval Smart Screen events.

Conclusie

Door de wijziging is het niet meer nodig om een abonnement af te nemen bij Cyren en is er volledige integratie aanwezig met het product van Microsoft. Hierdoor is de configuratie eenvoudig en bespaar je dubbele systemen en dubbele kosten. Gezien de preview status zijn nog niet alle functionaliteiten aanwezig – maar het begin is er zeker. Vooral de volledige integratie met Microsoft Cloud App Security heeft enorm veel voordelen.

Bronnen:

Microsoft: Web content filtering

Cyren: Web filtering check

Microsoft: An update on Web Content Filtering